/etc/security/domobjs 文件
用途
包含域分配的对象的安全属性。
描述
/etc/security/domobjs 文件是一个 ASCII 节文件,其中包含域分配的对象及其安全性属性。 /etc/security/domobjs 文件中的每个节都由命令的完整路径名标识,后跟冒号 (:) 。 每个节都包含 "属性 = 值" 表单中的属性。 如果对象的类型为文件或设备,并且不能包含符号链接,那么路径名必须是对象的绝对路径。 每个 "属性 = 值" 对都以换行符结束,每个节都以一个额外的换行符结束。 有关节的示例,请参阅 示例 。
注: 域是不可继承的。
直到通过 塞斯特 命令将整个域分配的对象数据库发送到内核安全性表,或者直到重新引导系统为止,对 多莫比什 文件进行的更改不会影响安全性注意事项。
修改和列示 privcmds 文件中的条目
请勿直接编辑 /etc/security/domobjs 文件。 请使用下列命令和子例程来处理授权数据库:
- setsecattr
- 向 /etc/security/domobjs 文件中添加命令条目或更改命令条目。
- Lssecattr
- 显示属性及其值。
- Rmsecattr
- 从 domobjs 文件中除去一个命令。
要编写影响 /etc/security/domobjs 文件中的条目的程序,请使用以下一个或多个子例程:
- 杰托巴特尔
- 杰托比耶特斯
- 普托巴特尔
- 普托比耶特斯
属性
此文件中的一个节包含以下一个或多个安全性属性:
| 属性 | 定义 |
|---|---|
| domains | 定义允许访问该对象的域的列表。 |
| conflictsets | 定义被禁止访问该对象的域的列表。 |
| objtype | 定义该对象的类型。 有效值为:
|
| secflags | 此对象的安全性标志。 有效值为 FSF_DOM_ALL 和 FSF_DOM_ANY。 它仅修改 "域" 属性的访问行为。 如果值为 FSF_DOM_ANY ,那么具有属性域中列出的任何域的任何用户/进程都可以访问该对象。 FSF_DOM_ALL 要求访问对象的用户/进程必须具有 "域" 属性中列出的所有域。 如果未提供,那么将采用缺省值 FSF_DOM_ALL 。 |
安全性
Root 用户和安全组都拥有此文件。 向 root 用户授予读和写访问权。 对其他用户和组的访问权取决于系统的安全策略。
示例
object 的以下示例显示文件中的典型节:/usr/local/share/myfile:
domains=INTRANET,APPLICATION
conflictsets=INTERNET
objtype=file
secflags=FSF_DOM_ANY此条目指示想要访问此对象的用户或进程必须属于其中一个域 INTRANET 或 APPLICATION ,并且不应属于 INTERNET 域