AIX 特権
AIX® で使用可能な特権を下の表にリストします。 各特権およびその関連システム・コールの説明が付けられています。 一部の特権は階層が形成されていて、この場合、1 つの特権で別の特権と関連付けられているすべての権限を認可できます。
特権について検査するときに、システムは最初にプロセスが必要な最も低位の特権を持っているかどうかを判別し、
続いて、より強力な特権の存在について、階層を上げて検査を進めます。
例えば、PV_AU_ 特権を持っているプロセスは自動的に PV_AU_ADMIN、PV_AU_ADD、PV_AU_PROC、PV_AU_READ、
および PV_AU_WRITE 特権も所有し、PV_ROOT 特権を持っているプロセスは PV_SU_ 特権の場合を除いて、
以下にリストする特権のすべてを自動的に所有します。
特権 | 説明 | システム・コール参照 |
---|---|---|
PV_ROOT | PV_SU_ (およびこれより上位にある特権) を除いて、以下にリストするすべての特権に相当するプロセスを認可します | |
PV_AU_ADD | プロセスが監査レコードを記録/追加することを許可します | auditlog |
PV_AU_ADMIN | プロセスが監査システムを構成および照会することを許可します | audit、 auditbin、 auditevents、 auditobj |
PV_AU_PROC | プロセスがプロセスの監査状態を取得および設定することを許可します | auditproc |
PV_AU_READ | プロセスが Trusted AIX 内の監査ファイルとしてマークを付けられたファイルを読み取ることを許可します | |
PV_AU_WRITE | プロセスが Trusted AIX 内の監査ファイルとしてマークを付けられたファイルの書き込みまたは削除を行うこと、 あるいは監査ファイルとしてファイルにマークを付けることを許可します | |
PV_AU_ | 上位のすべての監査特権 (PV_AU_*) を結合したものと同等 | |
PV_AZ_ADMIN | プロセスがカーネルのセキュリティー・テーブルを変更することを許可します | sec_setkst |
PV_AZ_READ | プロセスがカーネルのセキュリティー・テーブルを取得することを許可します | sec_getkat、 sec_getkpct、 sec_getkpdt、 sec_getkrt など |
PV_AZ_ROOT | exec() (継承の目的のために使用される) での許可検査をプロセスにパスさせます | |
PV_AZ_CHECK | すべての許可検査をプロセスにパスさせます | sec_checkauth |
PV_DAC_R | プロセスが DAC 読み取り制限をオーバーライドすることを許可します | access、 creat、 accessx、 open、 read、 faccessx、 mkdir、 getea、 rename、 statx、 _sched_getparam、 _sched_getscheduler、 statea、 listea |
PV_DAC_W | プロセスが DAC 書き込み制限をオーバーライドすることを許可します | 上位のほとんど、 および setea、 write、 symlink、 _setpri、 _sched_setparam、 _sched_setscheduler、 fsetea、 rmdir、 removeea |
PV_DAC_X | プロセスが DAC 実行制限をオーバーライドすることを許可します | 上位のほとんど、および execve、 symlink、rmdir、chdir、fchdir、 ra_execve |
PV_DAC_O | プロセスが DAC 所有権制限をオーバーライドすることを許可します | chmod、 utimes、 setacl、 revoke、 mprotect |
PV_DAC_UID | プロセスがそのユーザー ID を変更することを許可します | setuid、seteuid、setuidx、setreuid、 ptrace64 |
PV_DAC_GID | プロセスがそのグループ ID を新規に設定または変更することを許可します | setgid、 setgidx、 setgroups、 ptrace64 |
PV_DAC_RID | プロセスがそのロール ID を新規に設定または変更することを許可します | setroles、getroles |
PV_DAC_ | 上位のすべての DAC 特権 (PV_DAC_*) を結合したものと同等 | |
PV_FS_MOUNT | プロセスがファイルシステムをマウントおよびアンマウントすることを許可します | vmount、umount |
PV_FS_MKNOD | プロセスが不特定タイプのファイルを作成すること、または mknod システム・コールを実行することを許可します | mknod |
PV_FS_CHOWN | プロセスがファイルの所有権を変更することを許可します | chown、 chownx、 fchownx、 lchown |
PV_FS_QUOTA | プロセスがディスク割り当て量の関連操作を管理することを許可します | quotactl |
PV_FS_LINKDIR | プロセスがディレクトリーへのハード・リンクを作成することを許可します | link、unlink、remove |
PV_FS_CNTL | ファイルシステムの拡張および縮小を除いて、プロセスが各種制御操作を実行することを許可します | fscntl |
PV_FS_RESIZE | プロセスがファイルシステムでの操作の拡張および縮小を実行することを許可します | fscntl |
PV_FS_CHROOT | プロセスがそのルート・ディレクトリーを変更することを許可します | chroot |
PV_FS_PDMODE | プロセスが分割タイプのディレクトリーを作成または設定することを許可します | pdmkdir |
PV_FS_ | 上位のすべてのファイルシステム特権 (PV_FS_*) を結合したものと同等 | |
PV_PROC_PRIV | プロセスがプロセスと関連付けられた特権セットを変更または表示することを許可します | setppriv、getppriv |
PV_PROC_PRIO | プロセス/スレッドが優先順位、ポリシーおよびその他のスケジューリング・パラメーターを変更することを許可します | _prio_requeue、 _setpri、 _setpriority、 _getpri、 _sched_setparam、 _sched_setscheduler、 _thread_setsched、 thread_boostceiling、 thread_setmystate、 thread_setstate |
PV_PROC_CORE | プロセスがコアをダンプすることを許可します | gencore |
PV_PROC_RAC | プロセスがユーザー当たりの制限より多いプロセスを作成することを許可します | appsetrlimit、 setrlimit64、 mlock、 mlockall、 munlock、 munlockall、 plock、 upfget、 upfput、 restart、 brk、 sbrk |
PV_PROC_RSET | リソース・セット (rset) をプロセスまたはスレッドに接続することを許可します | bindprocessor、 ra_attachrset、 ra_detachrset、 rs_registername、 rs_setnameattr、 rs_discardname、 rs_setpartition、 rs_getassociativity、 kra_mmapv |
PV_PROC_ENV | プロセスがユーザー情報をユーザー構造体に設定することを許可します | ue_proc_register、 ue_proc_unregister、 usrinfo |
PV_PROC_CKPT | プロセスが別のプロセスのチェックポイントを取るかまたは再始動することを許可します | setcrid、restart |
PV_PROC_CRED | プロセスが資格情報属性を設定することを許可します | __pag_setvalue、 __pag_setvalue64、 __pag_genpagvalue |
PV_PROC_SIG | プロセスが関連付けられていないプロセスへシグナルを送信することを許可します | _sigqueue、 kill、 signohup、 gencore、 thread_post、 thread_post_many |
PV_PROC_TIMER | プロセスが精度の高いタイマーを送信および使用することを許可します | appresabs、 appresinc、 absinterval、 incinterval、 _poll、 _select、 _timer_settime |
PV_PROC_RTCLK | プロセスが CPU 時間クロックをアクセスすることを許可します | _clock_getres、 _clock_gettime、 _clock_settime、 _clock_getcpuclockid |
PV_PROC_VARS | プロセスがプロセスのチューナブル・パラメーターを取得および更新することを許可します | smttune |
PV_PROC_PDMODE | プロセスが分割ディレクトリーの REAL モードを変更することを許可します | setppdmode |
PV_PROC_ | 上位のすべてのプロセス特権 (PV_PROC_*) を結合したものと同等 | |
PV_TCB | プロセスがカーネル・トラステッド・ライブラリー・パスを変更することを許可します | chpriv、fchpriv |
PV_TP | プロセスはトラステッド・パス・プロセスであり、トラステッド・パス・プロセスへの制限付きアクションを許可します。 (注: 旧 AIX BYPASS_TPATH 特権と同じ) | |
PV_WPAR_CKPT | プロセスが WPAR でチェックポイント・リスタート操作を実行することを許可します | smcr_proc_info、 smcr_exec_info、 smcr_mapinfo、 smcr_net_oper、 smcr_procattr、 aio_suspend_io、 aio_resume_io |
PV_KER_ACCT | プロセスがアカウンティング・サブシステムに関する制限付き操作を実行することを許可します | acct、 _acctctl、 projctl |
PV_KER_DR | プロセスが動的再構成操作を起動することを許可します | _dr_register、 _dr_notify、 _dr_unregister、 dr_reconfig |
PV_KER_TIME | プロセスがシステム・クロックおよびシステム時刻を変更することを許可します | adjtime、 appsettimer、 _clock_settime |
PV_KER_RAC | プロセスが共有メモリー・セグメント用にラージ (ページング不可) ページを使用することを許可します | shmctl、vmgetinfo |
PV_KER_WLM | プロセスが WLM 構成を初期化および変更することを許可します | _wlm_set、 _wlm_tune、 _wlm_assign |
PV_KER_EWLM | プロセスが eWLM 環境を初期化または照会することを許可します | |
PV_KER_VARS | プロセスがカーネル・ランタイムのチューナブル・パラメーターをテストまたは設定することを許可します | sys_parm、 getkerninfo、 __pag_setname、 sysconfig、 kunload64 |
PV_KER_REBOOT | プロセスがシステムをシャットダウンすることを許可します | reboot |
PV_KER_RAS | プロセスが RAS レコード、エラー・ロギング、トレース、ダンプ機能について、構成または書き込むことを許可します | mtrace_set、mtrace_ctl |
PV_KER_LVM | プロセスが LVM サブシステムを構成することを許可します | |
PV_KER_NFS | プロセスが NFS サブシステムを構成することを許可します | |
PV_KER_VMM | プロセスがカーネル内でスワップ・パラメーターおよびその他の VMM チューナブル・パラメーターを変更することを許可します | swapoff、 _swapon_ext、 vmgetinfo |
PV_KER_WPAR | プロセスがワークロード区画を構成することを許可します | brand、 corral_config、 corral_delete、 corral_modify、 wpar_mkdevexport、 wpar_rmdevexport、 wpar_lsdevexport |
PV_KER_CONF | プロセスが各種のシステム構成操作を実行することを許可します | sethostname、 sethostid、 unameu、 setdomainname |
PV_KER_EXTCONF | プロセスがカーネル・エクステンション内で各種の構成タスク (カーネル・エクステンション・サービス用) を実行することを許可します | |
PV_KER_IPC | プロセスが IPC メッセージ・キュー・バッファーの値を大きくすること、および範囲指定された shmget の接続を許可します | msgctl、 shm_open、 shmget、 ra_shmget、 ra_shmgetv、 shmctl |
PV_KER_IPC_R | プロセスが IPC メッセージ・キュー、セマフォー・セット、または共有メモリー・セグメントを読み取ることを許可します。 | msgctl、 __msgrcv、 _mq_open、 semctl、 shmat、 shm_open、 __semop、 shmctl、 __semtimedop、 sem_post、 _sem_wait、 __msgrcv、 __msgxrcv |
PV_KER_IPC_W | プロセスが IPC メッセージ・キュー、セマフォー・セット、または共有メモリー・セグメントに書き込むことを許可します。 | _mq_open、 shmat、 _sem_open、 semctl、 shm_open、 shmctl、 mq_unlink、 sem_unlink、 shm_unlink、 msgctl、 __msgsnd |
PV_KER_IPC_O | プロセスがすべての IPC オブジェクトで DAC 所有権をオーバーライドすることを許可します | msgctl、semctl、shmctl、fchmod、 fchown |
PV_KER_SECCONFIG | プロセスがカーネル・セキュリティー・フラグを設定することを許可します | sec_setsecconf、 sec_setrunmode、 sec_setsyslab、 sec_getsyslab |
PV_KER_PATCH | プロセスがカーネル・エクステンションをパッチすることを許可します | |
PV_KER_ | 上位のすべてのカーネル特権 (PV_KER_*) を結合したものと同等 | |
PV_DEV_CONFIG | プロセスがカーネル・エクステンションおよびシステムのデバイスを構成することを許可します | sysconfig |
PV_DEV_LOAD | プロセスがカーネル・エクステンションおよびシステムのデバイスをロードおよびアンロードすることを許可します | sysconfig |
PV_DEV_QUERY | プロセスがカーネル・モジュールを照会することを許可します | sysconfig |
PV_SU_ROOT | プロセスに標準 AIX スーパーユーザーと関連付けられたすべての特権を認可する | |
PV_SU_EMUL | UID が 0 の場合、 プロセスに標準 AIX スーパーユーザーと関連付けられたすべての特権を認可する | |
PV_SU_UID | getuid システム・コールでは 0 を戻すようにする | getuidx |
PV_SU_ | 上位のすべてのスーパーユーザー特権 (PV_SU_*) を結合したものと同等 | |
PV_NET_CNTL | プロセスがネットワーク・テーブルを変更することを許可します | socket、 bind、 listen、 _naccept、 econnect、 ioctl、 rmsock、 setsockopt |
PV_NET_PORT | プロセスが特権付きポートにバインドすることを許可します | bind |
PV_NET_RAWSOCK | プロセスがネットワーク層への直接アクセス権限を持つことを許可します | socket、 _send、 _sendto、 sendmsg、 _nsendmsg |
PV_NET_CONFIG | プロセスがネットワーク・パラメーターを構成することを許可します | |
PV_NET_ | 上位のすべてのネットワーキング特権 (PV_NET_*) を結合したものと同等 |
以下の特定にリストされた特権は Trusted AIX に固有です。
Trusted AIX 特権 | 説明 | システム・コール参照 |
---|---|---|
PV_LAB_CL | プロセスがプロセスの認可の対象になるサブジェクト SCL を変更することを許可します | |
PV_LAB_CLTL | プロセスがプロセスの認可の対象になるサブジェクト TCL を変更することを許可します | |
PV_LAB_LEF | プロセスがラベル・エンコード・ファイルを読み取ることを許可します | |
PV_LAB_SLDG | プロセスがプロセスの認可の対象になる SL をダウングレードすることを許可します | |
PV_LAB_SLDG_STR | プロセスがプロセスの認可の対象になるパケットの SL をダウングレードすることを許可します | |
PV_LAB_SL_FILE | プロセスがプロセスの認可の対象になるオブジェクト SL を変更することを許可します | |
PV_LAB_SL_PROC | プロセスがプロセスの認可の対象になるサブジェクト SL を変更することを許可します | |
PV_LAB_SL_SELF | プロセスがプロセスの認可の対象になるプロセス自体の SL を変更することを許可します | |
PV_LAB_SLUG | プロセスがプロセスの認可の対象になる SL をアップグレードすることを許可します | |
PV_LAB_SLUG_STR | プロセスがプロセスの認可の対象になるパケットの SL をアップグレードすることを許可します | |
PV_LAB_TL | プロセスがサブジェクトおよびオブジェクト TL を変更することを許可します | |
PV_LAB_ | 上位のすべてのラベル特権 (PV_LAB_*) を結合したものと同等 | |
PV_MAC_CL | プロセスが機密性認可の制限をバイパスすることを許可します | |
PV_MAC_R_PROC | ターゲット・プロセスのラベルがプロセスの認可への対処の範囲内にあれば、 プロセスに関する情報を読み取るときに、プロセスが MAC 読み取り制限をバイパスすることを許可します | |
PV_MAC_W_PROC | ターゲット・プロセスのラベルがプロセスの認可への対処の範囲内にあれば、 プロセスへシグナルを送信するときに、プロセスが MAC 書き込み制限をバイパスすることを許可します | |
PV_MAC_R | プロセスが MAC 読み取り制限をバイパスすることを許可します | |
PV_MAC_R_CL | オブジェクトのラベルがプロセスの認可の範囲内であるときに、プロセスが MAC 読み取り制限をバイパスすることを許可します | |
PV_MAC_R_STR | メッセージのラベルがプロセスの認可の範囲内にあれば、 STREAM からメッセージを読み取るときに、プロセスが MAC 読み取り制限をバイパスすることを許可します | |
PV_MAC_W | プロセスが MAC 書き込み制限をバイパスすることを許可します | |
PV_MAC_W_CL | オブジェクトのラベルがプロセスの認可の範囲内であるときに、プロセスが MAC 書き込み制限をバイパスすることを許可します | |
PV_MAC_W_DN | プロセス・ラベルがオブジェクトのラベルより上位にあり、オブジェクトのラベルがプロセスの認可の範囲内であるときに、 プロセスが MAC 書き込み制限をバイパスすることを許可します | |
PV_MAC_W_UP | プロセス・ラベルがオブジェクトのラベルより下位にあり、オブジェクトのラベルがプロセスの認可の範囲内であるときに、 プロセスが MAC 書き込み制限をバイパスすることを許可します | |
PV_MAC_OVRRD | MAC の対象外であるとフラグを立てられたファイルに対して、MAC 制限をバイパスする | |
PV_MAC_ | 上位のすべての MAC 特権 (PV_MAC_*) を結合したものと同等 | |
PV_MIC | プロセスが保全性制限をバイパスすることを許可します | |
PV_MIC_CL | プロセスが保全性認可の制限をバイパスすることを許可します |