特权设备数据库
特权设备数据库会存储允许从设备读取或写入设备的特权列表。 此数据库提供了一种机制,通过使用该机制,管理员对设备访问权的控制程度比可通过传统设备访问控件进行管理的程度更强。
当此数据库存储在本地时,它包含在 /etc/security/privdevs 文件中。 该数据库存储了访问以下属性中读或写操作的给定设备所需的特权:
- readprivs
- 列出允许从设备进行读取的特权
- writeprivs
- 列出允许写入到设备的特权
当请求以读取方式打开某个特权设备时,仅当 readprivs 属性中指定的某个特权存在于进程的有效特权集 (EPS) 中时,才允许打开该设备。 同样,如果以写入方式打开设备,writeprivs 属性中的特权必须存在于 EPS 中。
将设备添加到特权设备数据库的过程通常不是常用操作。 lssecattr 和 setsecattr 命令可用于列示和处理数据库,但添加或修改数据库中的条目需要进行大量调查。 因为设备的读和写许可权是通过特权控制的,所以必须对命令和应用程序执行详细的调查以确保指定了正确的特权。