Db2 Warehouse Capacidades de SCC

Al instalar el Db2 Warehouse servicio, se crean automáticamente restricciones de contexto de seguridad personalizadas (SCC) para el servicio.

También puede crear manualmente un SCC, una cuenta de servicio, un rol y un enlace de rol para el Db2 Warehouse servicio y especificar estos objetos antes de la implementación Db2 Warehouse. Para obtener más información, consulte:

Creación manual de la restricción de contexto de seguridad personalizada par Db2 Warehouse
Especificar una cuenta de servicio personalizada, SCC, función y enlace de funciones antes de implementar un Db2 Warehouse

Los SCC Db2 Warehouse predeterminados, creados automáticamente, tienen las siguientes capacidades:

SYS_RESOURCE: Permite manipular las reservas, las asignaciones de memoria y los límites de recursos. La asignación de memoria máxima continúa estando restringida por el límite de memoria cgroup (memcg), que no puede sustituirse por esta sys-capability. El motor Db2 Warehouse de base de datos necesita esta capacidad del sistema para aumentar los límites de recursos ( IE.ulimits ).
IPC_OWNER: Omite las comprobaciones de permisos para las operaciones en objetos IPC. Incluso cuando los parámetros del núcleo IPC se establecen en valores máximos en los nodos host/trabajador, el Db2 Warehouse motor sigue intentando limitar dinámicamente esos valores. Esta función del sistema se proporciona junto con la posibilidad de compartir el espacio de nombres IPC con el host.
SYS_NICE: Permite cambiar las prioridades de los procesos. Dado que cada contenedor tiene su propio espacio de nombres PID, esta función solo se aplica a este contenedor. El motor Db2 Warehouse de la base de datos se basa en la priorización de subprocesos para garantizar que el procesamiento de Work Load Management (WLM) y Fast Communications Manager (FCM) tenga prioridad sobre el trabajo genérico del agente.
CHOWN: Es necesario ejecutar chown para cambiar la propiedad de los archivos o directorios en volúmenes persistentes.
DAC_OVERRIDE: Omite las comprobaciones de permisos de lectura, grabación y ejecución de archivos.
FSETID: Impide la limpieza de bits de modalidad setuid y setgid cuando se modifica un archivo.
FOWNER: Omite las comprobaciones de permisos en las operaciones que normalmente requieren que el UID del sistema de archivos del proceso coincida con el UID del archivo (por ejemplo, chmod(2), utime(2)), excluidas las operaciones cubiertas por CAP_DAC_OVERRIDE y CAP_DAC_READ_SEARCH.
SETGID: Necesario para ejecutar procesos Db2 Warehouse del motor con privilegios de grupo elevados.
SETUID: Necesario para ejecutar procesos Db2 Warehouse del motor con privilegios de usuario elevados.
SETFCAP: Se utiliza para establecer las prestaciones en los archivos.
SETPCAP: Se utiliza para establecer las prestaciones en los procesos.
SYS_CHROOT: Es necesario utilizar el mandato chroot.
KILL: Omite las comprobaciones de permisos para el envío de señales. Es necesario para el manejo de señales durante el proceso de gestión.
AUDIT_WRITE: Es necesario para escribir registros en el registro de auditoría del kernel cuando está habilitado SELinux.