13 他の特権のアクセス制御:allowpriv

これまで出てきた以外にも、OSにはセキュリティ上重要な操作（攻撃者にとられ たら危ない権限）があります。これらを制限するのがallowprivです。

• 書式
  allowpriv string;
  stringに権限名を書いていきます。どんな名前が指定可能かは、 後述します。
• 意味
  stringで指定した権限を許可。

さて、stringに記述可能な権限は、以下のように分類できます。この分類 にそって紹介していきます。

• POSIX capability
  
• カーネル関連
  
• SELinux管理操作
  
• その他

13.1 POSIX capability

cap_で始まる文字列は、POSIX capability(ケーパビリティ)です。 POSIX Capabilityは、特権を分割して与えるものです。 POSIX capabilityの詳細は、man capabilitiesを参考にしてください。

13.1.1 設定不能なPOSIX capability

以下のものは、設定ができないようになっています（デフォルトで許可されま す）。なぜなら、他のallow文と完全に重なるからです。

• CAP_NET_BIND_SERVICE
  wellknownポートの利用制限ですが、allownetでもっと細かく制限できる ので省略します。
• CAP_MKNOD
  allowpriv devcreateと重なるので省略。
• CAP_AUDIT_WRITE
  allowpriv audit_writeと重なるので省略。
• CAP_AUDIT_CONTROL
  allowpriv audit_controlと重なるので省略。

13.1.2 設定可能なcapability

詳細は、man capabilitiesを参照してください。

• cap_sys_pacct
  Configures kernel accounting(see acct(2)).
• cap_sys_module
  Allows to install kernel module.
• cap_net_admin
  Allow capability CAP_NET_ADMIN(Such as administrate NIC, route table).
• cap_sys_boot
  Allow capabilityCAP_SYS_BOOT. This means allow the usage of reboot system call.
• cap_sys_rawio
  Allow capability CAP_SYS_RAWIO.This means usage of ioperm, iopl system call and access to /dev/mem.
• cap_sys_chroot
  Allow to use chroot.
• cap_sys_nice
  Allow capability CAP_SYS_NICE. This means process scheduling.
• cap_sys_resource
  Allow capability CAP_SYS_RESOURCE. This means usage of rlimit etc.
• cap_sys_time
  Allow capability CAP_SYS_TIME. Thie means modify system clock.
• cap_sys_admin
  The same as POSIX capability CAP_SYS_ADMIN. This permissions overlaps other permissions, so if you allow this, not so serious problem. By denying this, it can restrict sethostname and some ioctl operations.
• cap_sys_tty_config
  The same as capability CAP_TTY_CONFIG. Change keyboard configuration, and usage of vhangup call.
• cap_ipc_lock
  Allow capability CAP_IPC_LOCK. This means to lock memory.
• cap_dac_override
  
• cap_dac_read_search
  
• cap_setuid
• cap_setgid
  
• cap_chown
  
• cap_setpcap
  
• cap_fowner
  
• cap_fsetid
  
• cap_linux_immutable
  
• cap_sys_ptrace
  
• cap_lease
  
• cap_ipc_owner
  
• cap_kill
  

13.2 カーネル関連操作

カーネルとの通信、管理する特権を許可します。

1. netlink
   netlinkソケットを使ってカーネルと通信することを許可
2. klog_read
   syslog(2)システムコールを使ってカーネルメッセージを読むこ とを許可。
3. klog_adm
   カーネルメッセージ出力設定の変更を許可
4. audit_read
   カーネル内のauditサブシステムのステータス読み出しを許可。
5. audit_write
   auditサブシステムにメッセージを送ることを許可。
6. audit_adm
   auditサブシステムの設定変更を許可。

13.3 SELinux管理操作

Allow privileges to administrate SELinux.

1. relabel
   Allow to relabel all files. You must also allow getsecurity and allowpriv search.
2. part_relabel
   Allow to relabel files that the domain can write. You must also allow getsecurity.
3. setfscreate
   This is necessary only applications that use SELinux API(setfscreatecon).
4. getsecurity
   Allow to get security policy decisions, by accessing /selinux.
5. setenforce
   Allow to toggle enforcing/permissive mode.
6. load_policy
   Allow to load policy to kernel.
7. setsecparam
   Change performance parameter of SELinux via /selinux/avc
8. getsecattr
   Get security information(such as domain, stored in /proc/pid/attr) of other processes.

13.4 その他

Allow other privileges.

1. quotaon
   Allow to quotaon.
2. mount
   Allow to mount device.

3. unlabel
   Allow full access to unlabeled files(Files labeled as unlabeled_t).

4. devcreate
   Allow to create device files in directory that the domain can write. Without this, a process can not create device file on a directory even it is configured writable.
5. setattr
   Allow to setattr to files that the domain can s access. Without this setattr permission is granted in w permission.
6. search
   Allow s permission to all files.
7. read
   Allow r permission to all files.
8. write
   Allow w permission to all files.
9. all
   

13.5 denypriv

This can be used to cancel allowpriv configuration.