setuid/setgid 程式清單
啟用 BAS 的 AIX® 系統,都會建立授信應用程式清單。
針對由 root 或授信群組所擁有的所有非授信程式,都會停用 suid/sgid 位元。安裝 BAS 之後,系統上存在的 suid 且由 root 擁有,或者是 sgid 且由其中一個授信群組擁有的程式為 system、sys、adm、uucp、mail、security、cron、printq、audit 及 shutdown。只可將授信使用者新增至這些群組。
在建立授信應用程式清單時,系統會考慮至少屬於下列其中一個種類的所有應用程式:
- 相對應的應用程式已啟用 SUID root 位元
- 其中一個授信群組已啟用 SGID 位元
- 應用程式依據管理者指引文件存取任何授信資料庫
註: 系統管理者應該移除 ipcs 指令的 setuid 位元。系統管理者應該執行 chmod u-s /usr/bin/ipcs 及 chmod u-s /usr/bin/ipcs64 指令。