|
|
日本−日本語 | |
|
|
 |
|
HP OpenVMS: システム・セキュリティ・ガイド > パート III システム管理者のためのセキュリティ
付録 A 特権の割り当て |
|
|
目次
特権は,特定のシステム機能の使用範囲を,登録ユーザのために作成されたプロセスに限定する働きがあります。 この制限により,オペレーティング・システムのコード,データ,資源の一貫性が守られ,その結果としてユーザ・サービスの一貫性が守られます。 特権を個々のユーザに与える場合は,必ず次に示す 2 つの要素を慎重に検討してからにします。
特権は,特権を有するユーザがシステムに与え得る損害に応じて,次に示す 7 つのカテゴリに分類されます。
ユーザの特権は,そのユーザの UAF レコードに,64 ビットの特権マスクの形で記録されます。 ユーザがシステムにログインすると,ユーザの特権が,ユーザのプロセスのヘッダに格納されます。 このようにして,そのユーザの特権は,ユーザに対して作成されるプロセスに渡されます。 ユーザは,DCL の SET PROCESS/PRIVILEGES コマンドを使用して,ユーザに許可される特権の有効/無効の切り換え,およびユーザが実行するイメージで利用できる特権の詳細の制御が可能です。 さらには,SETPRV 特権を持つユーザは任意の特権を有効にすることができます。 表 8-2 「OpenVMS の特権」表 8‐2 に,カテゴリごとに特権を分け,それぞれの簡単な概要を説明します。 以降の節では,OpenVMS システムで利用できるすべての特権について詳しく説明します。 各節のタイトルは対象となる特権のカテゴリ (Normal,Devour など) を示します。 この付録では,それぞれの特権について,特権によって与えられるケーパビリティと特権を与えるべきユーザについて説明します。 ACNT 特権を有するプロセスは,RUN (Process) コマンドを使用できます。 また,会計情報管理が無効になっているプロセスの作成にプロセス作成 ($CREPRC) システム・サービスを使用できます。 会計情報管理が無効になっているプロセスとは,資源の利用状況が現在の会計情報ログ・ファイルに記録されないプロセスのことです。 ALLSPOOL 特権を有するユーザ・プロセスは,デバイス割り当て ($ALLOC) システム・サービスを実行するか,DCL の ALLOCATE コマンドを使用して,スプールされたデバイスを割り当てることができます。 $ALLOC システム・サービスは,デバイスの独占的利用のために,デバイスの割り当て,もしくは予約をします。 マウントされた,共用可能なデバイスを割り当てることはできません。 この特権は,スプールされたデバイスに対して,論理入出力操作または物理入出力操作を実行する必要のあるユーザにのみ付与します。 通常,スプールされたデバイスを割り当てる特権は,シンビオントにのみ付与されます。 ALTPRI 特権を有するユーザ・プロセスは,次のことが可能です。
基本優先順位を上げるには,優先順位設定 ($SETPRI) システム・サービスまたは DCL の SET PROCESS/PRIORITY コマンドを実行します。 一般に,このシステム・サービスにより,プロセスは,自身の基本優先順位を設定したり,別のプロセスの基本優先順位を設定できるようになります。 ただし,あるプロセスが別のプロセスの優先順位を設定できるのは,次のいずれかの条件に該当する場合だけです。
ALTPRI 特権を有するプロセスは,自身よりも優先度の高い独立プロセスを作成できます。 このようなプロセスを作成するには,プロセス作成 ($CREPRC) システム・サービスまたは DCL の RUN/PRIORITY コマンドに省略可能な引数を指定します。 また,ALTPRI 特権を有するユーザは,ジョブのスケジューリング ($SNDJBC) の優先順位を,MAXQUEPRI システム・パラメータで設定されたものより大きい値に調整できます。 この特権を広く付与しないでください。 条件を満たさないユーザが基本優先順位を無制限に設定できるようになると,プロセスの公平かつ秩序立ったスケジューリングが容易に混乱させられる可能性があります。 AUDIT 特権を有するソフトウェアは,$AUDIT_EVENT,$CHECK_PRIVILEGE,$CHKPRO または $CHECK_ACCESS の 4 つのシステム・サービスのいずれかを使用して,システム・セキュリティ・監査ログ・ファイルに監査レコードを追加できます。 さらに,$AUDIT_EVENT システム・サービスにより,監査メッセージのすべての構成要素を指定することができます。 そのため,AUDIT 特権により,オペレーティング・システムまたはユーザ・プロセスに起因すると考えられるイベントをログに記録することが可能となります。 この特権は,監査メッセージをシステム監査ログ・ファイルに追加する必要のある,信頼できるイメージに対してのみ付与します。 この特権を有するユーザが,NSA$M_INTERNAL フラグを設定した状態で無効なイベントを記録しようとして,システム障害を引き起こす可能性があります。 BUGCHK 特権を有するプロセスは,ユーザ・モード,スーパバイザ・モード,互換性モードからのバグチェック・エラー・ログ・エントリの作成 (EXE$BUG_CHECK),またはシステム・エラー・ロガーへのメッセージの送信 ($SNDERR) が可能です。 この特権は,Bugcheck 機能を使用する,HP 製のシステム・ソフトウェアにのみ付与してください。 BYPASS 特権を有するユーザ・プロセスは,UIC ベースの保護,アクセス制御リスト (ACL) による保護,および強制アクセス制御の適用を回避して,すべての保護オブジェクトにフルにアクセスできます。 BYPASS 特権により,システムへの無制限のアクセスが可能になります。 実行可能な操作には次のものがあります。
この特権は,あらゆるオブジェクト保護を無効にするため,付与するときは特に注意してください。 十分テスト済みで信頼性の高いプログラムやコマンド・プロシージャの場合にのみ使用することお勧めします。 SYSPRV 特権は,アクセスのチェックを行いながらすべてのオブジェクトへのアクセスを最終的には付与するため,会話型のアクセスに適しています。 READALL 特権は,バックアップ操作に適しています。 BYPASS 特権を有するプロセスは,次の作業を実行することができます。
CMEXEC 特権を有するユーザ・プロセスは,エグゼクティブ・モードへのモード変更 ($CMEXEC) のシステム・サービスを実行できます。 プロセスは,このシステム・サービスを使用して,自身のアクセス・モードをエグゼクティブ・モードに変更し,指定したルーチンを実行して,システム・サービス呼び出しの前のアクセス・モードに戻れます。 エグゼクティブ・モードでは,プロセスはカーネル・モードへのモード変更 ($CMKRNL) のシステム・サービスを実行する許可を得ます。 この特権は,オペレーティング・システムのデータ構造や内部機能のうち,保護が設定され,機密性の高いものへのアクセスが必要なユーザに対してのみ付与します。 条件に満たないユーザが機密性の高いデータ構造や機能に無制限にアクセスできるようになると,オペレーティング・システムや他のユーザへのサービスが容易に混乱させられる可能性があります。 たとえば,システム障害,システムおよびユーザのすべてのデータの破壊,機密情報の漏洩などの混乱が考えられます。 CMKRNL 特権を有するユーザ・プロセスは,カーネル・モードへのモード変更 ($CMKRNL) のシステム・サービスを実行できます。 プロセスは,このシステム・サービスを使用して,自身のアクセス・モードをカーネル・モードに変更し,指定したルーチンを実行して,システム・サービス呼び出しの前のアクセス・モードに戻れます。 カーネル・モードでは,プロセスは任意のシステム特権を有効にすることができます。 CMKRNL および SYSNAM の両方の特権を有するプロセスは,システム時間を設定できます。 この特権は,特権命令を実行する必要のあるユーザ,またはオペレーティング・システムのデータ構造や機能のうち,保護が設定され,機密性の高いものへのアクセスが必要なユーザに対してのみ付与します。 条件に満たないユーザが特権命令を無制限に使用したり,機密性の高いデータ構造や機能に無制限にアクセスできるようになると,オペレーティング・システムや他のユーザへのサービスが容易に混乱させられる可能性があります。 たとえば,システム障害,システムおよびユーザのすべてのデータの破壊,機密情報の漏洩などの混乱が考えられます。 CMKRNL 特権を有するプロセスは,次の作業を実行することができます。
DIAGNOSE 特権を有するプロセスは,オンライン診断プログラムを実行したり,エラー・ログ・ファイルに書き込まれるすべてのメッセージの取得とコピーを行うことができます。 DIAGNOSE 特権を有するプロセスは,次の作業も実行することができます。
DOWNGRADE 特権を有するプロセスは,強制アクセス制御を操作できます。 この特権により,プロセスは,Bell and LaPadula 制限 (*) プロパティに違反して,秘密性の低いオブジェクトへの書き込みを行うことができます[5]。 この特権は,Security Enhancement Service ソフトウェア (SEVMS) など,高度なセキュリティ製品用に予約済みです[6]。 EXQUOTA 特権により,指定のディスク・ボリュームにあるユーザのファイルが占有している領域が,そのボリュームで当該ユーザに対して設定されている使用制限 (UIC によって決まる値) を超えることができます。 GROUP 特権を有するユーザ・プロセスは,次に示すプロセス制御システム・サービスを実行することにより,同じグループ内の他のプロセスに働きかけることができます。
GROUP 特権を有するユーザ・プロセスは,同じグループ内の別のプロセスを制御できます。 ユーザのプロセスは,ジョブ取得/プロセス情報 ($GETJPI) システム・サービスを実行することで,同じグループ内の他のプロセスを調査することができます。 GROUP 特権を有するプロセスは,グループ内の他のプロセスに対して SET PROCESS コマンドを実行できます。 GROUP 特権は,プロセス自身が作成したサブプロセスや,そのプロセスの UIC を有する他の独立プロセスに対する制御や調査を行う場合には必要ありません。 ただし,この特権は,UIC グループの他のメンバのプロセスや操作を制御する必要のあるユーザには付与する必要があります。 GRPNAM 特権を有するユーザ・プロセスは,システム論理名テーブルに対する任意アクセス制御の適用を回避できます。 そして,論理名作成 ($CRELNM) システム・サービスおよび論理名削除 ($DELLNM) システム・サービスを使用して,プロセスが属しているグループの論理名テーブルに名前を挿入 (または論理名テーブルから名前を削除) することができます。 加えて,特権プロセスは,DCL の ASSIGN コマンドおよび DEFINE コマンドを実行してグループの論理名テーブルに名前を追加したり,DCL の DEASSIGN コマンドを実行してテーブルから名前を削除したりできます。 この特権では,グループ・メンバ間でボリュームを共用するときに,DCL の MOUNT コマンドおよび DISMOUNT コマンドで /GROUP 修飾子を使用することができます (システム・サービスの $MOUNT および $DISMOUNT でも同様)。 この特権は,システムのすべてのユーザには付与しないようにします。 この特権により,ユーザ・プロセスがグループ論理名を無制限に作成できるようになるためです。 条件を満たさないユーザがグループ論理名を無制限に作成できると,システムの動的メモリが過剰に使用され,システムの性能が低下する可能性があります。 また,GRPNAM 特権を有するプロセスが,SYS$SYSTEM など,よく使用される論理名の定義を作成することで,同一グループ内の他のプロセスの動作に影響を与える可能性があります。 プロセスのグループがオブジェクト所有者のグループと一致する場合,GRPPRV 特権を有するプロセスは,オブジェクトのシステム保護フィールドが提供するアクセス権を獲得します。 また,GRPPRV 特権を有するプロセスは,DCL の SET SECURITY コマンドを使用して,そのプロセスのグループと同じ所有者グループの任意のオブジェクトの保護と所有権を変更できます。 この特権は,グループ管理者の役割を果たすユーザに対してのみ付与します。 この特権を,オブジェクトの保護と所有権を変更する必要のない,条件を満たさないユーザに付与すると,そのユーザが,グループの UAF レコードの値を,グループ管理者と同じ値に書き換えてしまう可能性があります。 また,資源の割り当てを増やしたり,権限を与えられている特権を付与したりすることも可能となってしまいます。 GRPPRV 特権を有するプロセスは,次の作業を実行することができます。
プロセスは,MAXJOBS および MAXDETACH で設定されている制限を上回っていなければ,IMPERSONATE 特権がなくてもそのプロセスの UIC を持った独立プロセスを作成できます。 ただし,IMPERSONATE 特権は,プロセスが独立プロセスに対して異なる UIC を指定したい場合に有用です。 IMPERSONATE 特権を持っていれば,独立プロセスに指定できる UIC に制限はありません。 このため,独立プロセスがアクセス可能なファイル,ディレクトリなどのオブジェクトについても制限がありません。 また,IMPERSONATE 特権により,プロセスは,制限値が設定されない独立プロセスを作成できます。 プロセスは,プロセス作成 ($CREPRC) システム・サービスを実行することで,独立プロセスを作成できます。 さらに,IMPERSONATE 特権により,DCL の RUN/DETACH コマンドを使用して,信頼できるサーバ・プロセスを作成できます。 信頼できるプロセスは,通常のシステム・セキュリティ監査ポリシーの適用対象から除外されます。 独立プロセスは,そのプロセスを作成したユーザがシステムからログアウトした後もそのまま残ります。
IMPORT 特権を有するプロセスは,強制アクセス制御を操作できます。 IMPORT 特権により,プロセスは,ラベルのないテープ・ボリュームをマウントできます。 この特権は,SEVMS など,高度なセキュリティ製品用に予約済みです [7] 。 LOG_IO 特権を有するユーザ・プロセスは,入出力要求キュー登録 ($QIO) システム・サービスを実行して,論理レベルの入出力操作を実行できます。 LOG_IO 特権は,パーマネント・ターミナル特性の設定など,特定のデバイス制御機能にも必要です。 LOG_IO および SYSNAMA も有する,典型的な NETMBX 特権と TMPMBX 特権を有するプロセスは,Phase IV ネットワーク設定プロシージャである NICONFIG.COM を使用して,Ethernet を再設定できます。 通常,プロセスの入出力要求は,OpenVMS Record Management Services (RMS) などの入出力パッケージを使用することで,間接的に処理されます。 しかし,入出力操作をより詳細に制御したり,入出力操作の効率を向上させたりするために,上級ユーザの中には,プロセスとシステム入出力ドライバ・プログラムとの間のインタフェースを直接扱うことを好むものもいます。 それには,$QIO を実行します。 多くの場合,対象となる操作は,論理レベルの入出力操作です。 論理レベルの機能は LOG_IO 特権なしでも,/FOREIGN 修飾子を使用してマウントされているデバイス,および非ファイル構造デバイスに対して実行できます。 この特権では,ファイル構造化のメリットに関係なく,選択したボリュームの任意の場所にあるデータにプロセスがアクセスできるため,必要なユーザのみに付与してください。 この特権を必要としない条件に満たないユーザに付与すると,オペレーティング・システムおよび他のプロセスのためのサービスが簡単に混乱させられる可能性があります。 たとえば,システム・デバイス上の情報の破壊,ユーザ・データの破壊,機密情報の漏洩などの混乱が考えられます。 LOG_IO 特権を有するプロセスは,次の作業も実行することができます。
NETMBX 特権を有するプロセスは,DECnet コンピュータ・ネットワークに関連する機能を実行できます。 たとえば,プロセスがターミナル回線を非同期 DECnet プロトコルに切り換えたり,チャネルをネットワーク・デバイスに割り当てたりできます。 この特権は,ネットワークへのアクセスが必要な一般ユーザに付与します。 OPER 特権を有するプロセスは,Operator Communication Manager (OPCOM) プロセスを使用して,ユーザの要求への応答,ログインしているすべてのターミナルへのメッセージのブロードキャストを行えるほか,ターミナルをオペレータのターミナルとして指定し,これらターミナルに表示するメッセージの種類を指定したり,オペレータのメッセージのログ・ファイルの初期化や管理を行ったりできます。 さらに,この特権により,ユーザは,デバイスのスプール,あらゆるキューの作成と管理,非ファイル構造のデバイスすべての保護と所有権の変更を行うことができます。 この特権は,システムのオペレータにのみ付与します。 オペレータとは,一般ユーザの要求に応えるユーザで,システムの周辺機器の管理 (テープ・リールのマウント,プリンタ用紙の交換など),およびシステム運用に関わるその他の日常的な業務を行います。 非特権ユーザは,コンソール・ターミナルにログインすることで,オペレータに対する要求 (テープのマウントなど) に応えることができます。 OPER 特権を有するプロセスは,次の作業を実行することができます。
PFNMAP 特権を有するユーザ・プロセスは,ページ・フレーム番号 (PFN) のグローバル・セクションを作成し,ページまたはレジスタの利用者が誰であるかに関係なく,作成した PFN グローバル・セクションを物理メモリのページまたは入出力デバイス・レジスタにマッピングすることができます。 このような特権プロセスは,システム・サービスの $DGBLSC を使用して,PFN ベースのグローバル・セクションを削除することもできます。 この特権を付与するときは注意が必要です。 条件に満たないユーザが物理メモリに自由にアクセスできるようになると,オペレーティング・システムや他のプロセスへのサービスが容易に混乱させられる可能性があります。 たとえば,システム障害,システムおよびユーザのすべてのデータの破壊,機密情報の漏洩などの混乱が考えられます。 PHY_IO 特権を有するユーザ・プロセスは,入出力要求キュー登録 ($QIO) システム・サービスを実行して,物理レベルの入出力操作を実行できます。 通常,プロセスの入出力要求は,OpenVMS Record Management Services (RMS) などの入出力パッケージを使用することで,間接的に処理されます。 しかし,入出力操作をより詳細に制御したり,アプリケーションの効率を向上させたりするために,上級ユーザの中には,プロセスとシステム入出力ドライバ・プログラムとの間のインタフェースを直接扱うことを好むものもいます。 それには,$QIO システム・サービスを実行します。 多くの場合,対象となる操作は,物理レベルの入出力操作です。 PHY_IO 特権は,必要なユーザにのみ付与します。 LOG_IO 特権の場合よりもさらに慎重にします。 この特権を必要としない条件に満たないユーザに付与すると,オペレーティング・システムおよび他のユーザのためのサービスが簡単に混乱させられる可能性があります。 たとえば,システム・デバイス上の情報の破壊,ユーザ・データの破壊,機密情報の漏洩などの混乱が考えられます。 PHY_IO 特権を有するプロセスは,次の作業も実行することができます。
PRMCEB 特権を有するユーザ・プロセスは,コモン・イベント・フラグ・クラスタ関連付け ($ASCEFC) システム・サービスまたはコモン・イベント・フラグ・クラスタ削除 ($DLCEFC) システム・サービスを実行することによって,パーマネント・コモン・イベント・フラグ・クラスタの作成や削除が行えます。 コモン・イベント・フラグ・クラスタにより,連携するプロセス同士が相互に通信して,処理を同期させることができます。 この特権の付与は慎重に行ってください。 パーマネント・コモン・イベント・フラグ・クラスタは,明示的に削除されないと,システムの動的メモリ内の領域を占有したままになり,システムの性能が低下する可能性があります。 PRMGBL 特権を有するユーザ・プロセスは,セクションの作成とマップ ($CRMPSC) システム・サービスまたはグローバル・セクション削除 ($DGBLSC) システム・サービスを実行することによって,パーマネント・グローバル・セクションの作成または削除が行えます。 さらに,この特権 (CMKRNL 特権と SYSGBL 特権も必要) を有するプロセスは,インストール・ユーティリティ (INSTALL) を使用できます。 グローバル・セクションとは,同時に複数のプロセスの仮想アドレス空間内にマッピングできる共用可能な構造のことです。 すべてのプロセスが,同じコードまたはデータを参照します。 グローバル・セクションは,リエントラント・サブルーチンまたはデータ・バッファに使用されます。 この特権の付与は慎重に行ってください。 パーマネント・グローバル・セクションは,明示的に削除されないと,限られた資源であるグローバル・セクションとグローバル・ページ・テーブル内の空間を占有したままになります。 PRMMBX 特権を有するユーザ・プロセスは,メールボックス作成とチャネル割り当て ($CREMBX) システム・サービスまたはメールボックス削除 ($DELMBX) システム・サービスを実行することによって,パーマネント・メールボックスの作成または削除が行えます。 この特権では,$CREMBX サービスを使用して一時的メールボックスを作成することもできます。 メールボックスとは,レコード指向入出力デバイスであるかのように扱われる仮想メモリ内のバッファのことです。 メールボックスは,一般的なプロセス間通信に使用されます。 PRMMBX は,システムのすべてのユーザには付与しないでください。 パーマネント・メールボックスは,メールボックス作成プロセスが削除されても自動的には削除されません。 そのため,システムの動的メモリの一部が使用され続けてしまいます。 システムの動的メモリが不足してくると,システムの性能が低下するので注意してください。 PSWAPM 特権を有するユーザ・プロセスは,プロセス・スワップ・モード設定 ($SETSWM) システム・サービスを実行することによって,プロセスをバランス・セットからスワップ・アウトするかどうかを制御できます。 プロセスは,自身をバランス・セット内にロックしたり (スワップの無効化のため),バランス・セット内での自身に対するロックを解除したり (スワップの有効化のため) するのにこの特権が必要です。 この特権により,プロセスは,プロセス作成 ($CREPRC) システム・サービスにオプションの引数を指定して実行するか,プロセスの作成に DCL の RUN コマンドを使用して /NOSWAPPING 修飾子を指定することによって,バランス・セット内でロックされる (スワップ・モードが無効になる) プロセスを作成することができます。 さらに,プロセスは,メモリ内にページをロック ($LCKPAG) システム・サービスを使用して,物理メモリ内のページまたはページ範囲をロックすることができます。 この特権は,性能上の理由からメモリ内にプロセスをロックする必要のあるユーザにのみ付与します。 通常,これに該当するのはリアルタイム・プロセスです。 条件を満たさないプロセスが,バランス・セット内のプロセスを自由にロックできるようになると,物理メモリが不必要に占有され,その結果,システム性能が低下する可能性があります。 READALL 特権を有するプロセスは,オブジェクトの読み込みを禁止する既存の制限の適用を回避できます。 ただし,書き込みや削除が可能な BYPASS 特権とは異なり,READALL 特権ではオブジェクトの読み込みのみが許可され,バックアップ日など,バックアップ関連のファイル特性の更新が可能です。 バックアップ操作についての詳細は,『OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』および『OpenVMS システム管理者マニュアル』を参照してください。 READALL 特権は,ボリュームのバックアップに十分な特権となるように考えられています。 したがって,この特権は,システム・バックアップを実行するオペレータに付与します。 READALL 特権を有するプロセスは,次の作業を実行することができます。
SECURITY 特権を有するプロセスは,システム・パスワードの変更 (DCL の SET PASSWORD/SYSTEM コマンドを使用),システム・アラームと監査設定の変更 (DCL の SET AUDIT コマンドを使用) といったセキュリティ関連の機能を実行できます。 この特権では,ユーザ・プロセスが SET AUDIT を使用して監査サーバ・プロセスの開始と停止が行えるだけでなく,SET AUDIT を使用して監査データベースの特性 (監査サーバ,システム監査ジャーナル,セキュリティ・アーカイブ・ファイル,資源モニタリング,監査モード,アラーム・モード,障害モードなどの特性) を変更することもできます。 この特権は,セキュリティ管理者にのみ付与します。 条件を満たさないユーザがこの特権を獲得すると,そのユーザが,システムのセキュリティ機構を弱体化させ,システム・パスワードの不適切な設定によりユーザを締め出し,セキュリティ監査を無効にする可能性があります。 SECURITY 特権を有するプロセスは,次の作業も実行することができます。
SETPRV 特権を有するユーザ・プロセスは,オプションの引数を指定してプロセス作成 ($CREPRC) システム・サービスを実行するか,または DCL の RUN コマンドを実行してプロセスを作成することによって,自身よりも上位の特権を有するプロセスを作成できます。 この特権を有するプロセスは,DCL の SET PROCESS/PRIVILEGES コマンドを実行することで,任意の特権を獲得することもできます。 SETPRV 特権では,プロセスが任意またはすべての特権を有効にできるため,他の特権と同様に,十分に注意して特権を付与します。 SHARE 特権を有するプロセスは,入出力チャネル割り当て ($ASSIGN) システム・サービスを使用して,別のプロセスに割り当てられているデバイスや非共用デバイスに対して,チャネルを割り当てることが可能です。 この特権は,プリント・シンビオントなど,システム・プロセスにのみ付与します。 それ以外の対象に付与すると,条件を満たさないユーザが,他のユーザが所有するデバイスの操作を妨げる恐れがあります。 SHMEM 特権を有するユーザ・プロセスは,適切な PRMGBL 特権,PRMMBX 特権,SYSGBL 特権,および TMPMBX 特権を持っていれば,複数のプロセッサが共用するメモリにグローバル・セクションとメールボックス (パーマネントおよび一時的のどちらも可) を作成できます。 ローカル・メモリの場合と同様に,マルチポート・メモリにおける一時メールボックスに必要な容量は,プロセスに対するバッファード入出力バイト数の制限 (BYTLM) と照合して計算されます。 この特権を有するユーザ・プロセスは,コモン・イベント・フラグ・クラスタ関連付け ($ASCEFC) システム・サービスまたはコモン・イベント・フラグ・クラスタ関連付け解除 ($DACEFC) システム・サービスを実行することによって,共用メモリ内でイベント・フラグ・クラスタの作成や削除が行えます。 SYSGBL 特権を有するユーザ・プロセスは,セクションの作成とマップ ($CRMPSC) システム・サービスまたはグローバル・セクション削除 ($DGBLSC) システム・サービスを実行することによって,システム・グローバル・セクションの作成または削除が行えます。 さらに,この特権 (CMKRNL 特権と PRMGBL 特権も必要) を有するプロセスは,インストール・ユーティリティ (INSTALL) を使用できます。 この特権を付与するときは注意が必要です。 システム・グローバル・セクションは,限られた資源であるグローバル・セクションとグローバル・ページ・テーブル内に領域が必要です。 SYSLCK 特権を有するユーザ・プロセスは,ロック要求キュー登録 ($ENQ) システム・サービスを使用してシステム全体の資源をロックしたり,ロック情報取得 ($GETLKI) システム・サービスを使用してシステム資源に関する情報を取得したりできます。 この特権は,システム全体のネームスペースにおいて,資源をロックするプログラムを実行する必要のあるユーザに付与します。 ただし,この特権を付与するときは注意が必要です。 SYSLCK 特権を有するユーザは,すべてのシステム・ソフトウェアとユーザ・ソフトウェアの同期を妨げる可能性があります。 SYSNAM 特権を有するユーザ・プロセスは,システム論理名テーブルに対する任意アクセス制御の適用を回避できます。 そして,論理名作成 ($CRELNM) システム・サービスおよび論理名削除 ($DELLNM) システム・サービスを使用して,システム論理名テーブルに名前を挿入したり,システム論理名テーブルから名前を削除したりできます。 この特権を有するプロセスは,DCL の ASSIGN コマンドと DEFINE コマンドを使用してシステム論理名テーブルに名前を追加したり,DEASSIGN コマンドを使用してシステム論理名テーブルから名前を削除したりできます。 追加および削除は,ユーザ・モード,エグゼクティブ・モードのいずれでも可能です。 適切なマウント・コマンドまたはディスマウント・コマンド,あるいはシステム・サービスを使用して,システム・ボリュームのマウント,またはシステム・ボリュームやグループ・ボリュームのディスマウントを行うには,SYSNAM 特権が必要です。 この特権は,システム論理名 (ユーザ・デバイス,ライブラリ・ディレクトリ,システム・ディレクトリの名前など) を定義する必要のあるシステム・オペレータまたはシステム・プログラマにのみ付与します。 SYSNAM 特権を有するプロセスは,SYS$SYSTEM や SYSUAF などの重要なシステム論理名を定義し直して,システムの制御権を握ることができる点に注意してください。 SYSNAM 特権を有するプロセスは,次の作業も実行することができます。
SYSPRV 特権を有するプロセスは,システム保護フィールドによって保護されているオブジェクトにアクセスしたり,オブジェクトの所有者 (UIC),UIC ベースの保護コード,ACL の読み込みと変更ができます。 オブジェクトがシステム・アクセスから保護されている場合でも,SYSPRV 特権を有するプロセスは,このオブジェクトの保護を変更して,オブジェクトにアクセスできます。 SYSPRV 特権を有するプロセスは,システム・ユーザ登録ファイル (SYSUAF.DAT) 内のエントリについて,追加,変更,削除を行うことができます。 この特権を付与するときは注意が必要です。 通常,この特権は,システム管理者とセキュリティ管理者にのみ付与します。 条件を満たさないユーザがシステム・アクセス・ライトを獲得すると,オペレーティング・システム,およびその他へのサービスが容易に混乱させられる可能性があります。 たとえば,システム障害,システムおよびユーザのすべてのデータの破壊,機密情報の漏洩などの混乱が考えられます。 SYSPRV 特権を有するプロセスは,次の作業も実行することができます。
グループ UIC がシステム・パラメータの MAXSYSGRP の値以下のプロセスは,SYSPRV を暗黙に有します。 SYSPRV 特権または暗黙の SYSPRV 特権を有するプロセスは,次の作業も実行できます。
TMPMBX 特権を有するユーザ・プロセスはメールボックス作成とチャネル割り当て ($CREMBX) システム・サービスを実行することによって,一時メールボックスを作成できます。 メールボックスとは,レコード指向入出力デバイスであるかのように扱われる仮想メモリ内のバッファのことです。 メールボックスは,一般的なプロセス間通信に使用されます。 明示的に削除する必要があるパーマネント・メールボックスとは異なり,一時メールボックスは,どのプロセスからも参照されなくなった時点で自動的に削除されます。 この特権は,プロセス間通信がスムーズに行われるようにするために,システムのすべてのユーザに付与します。 一時メールボックスの作成を許可することでシステム性能が低下することはまずありません。 一時メールボックスの数が,システムの動的メモリの利用に対する制限 (BYTLM クォータ) によって制御されているためです。 UPGRADE 特権を有するプロセスは,強制アクセス制御を操作できます。 この特権を有するプロセスは,Biba 制限 (*) プロパティに違反して,より機密性の高いオブジェクトへの書き込みを行うことができます。 この特権は,SEVMS など,高度なセキュリティ製品用に予約済みです。 VOLPRO 特権を有するユーザ・プロセスは,次のことが可能です。
VOLPRO 特権では,ユーザのプロセスがマウントまたは初期化することのできるボリュームのみを制御できます。 /SYSTEM 修飾子を使用してマウントされているボリュームは,プロセスが SYSNAM 特権も有する場合を除き,VOLPRO 特権を有するプロセスからは安全です。 VOLPRO 特権を付与するときは特に注意が必要です。 条件を満たさないユーザがボリュームの保護を無効にできると,オペレーティング・システム,およびその他へのサービスが混乱させられる可能性があります。 たとえば,データベースの破壊や機密情報の漏洩などの混乱が考えられます。 VOLPRO 特権を有するプロセスは,次の作業を実行することができます。
WORLD 特権を有するユーザ・プロセスは,次に示すプロセス制御システム・サービスを実行することにより,同じグループ内のプロセスかどうかに関係なく,他のプロセスに働きかけることができます。
ユーザのプロセスは,ジョブ取得/プロセス情報 ($GETJPI) システム・サービスを実行することで,自身のグループ外の他のプロセスを調査することができます。 WORLD 特権を有するプロセスは,他のすべてのプロセスに対して SET PROCESS コマンドを実行できます。 WORLD 特権を有するプロセスは,ロック情報取得 ($GETLKI) システム・サービスを使用して,別のグループに属するプロセスが保持しているロックに関する情報を取得することもできます。 プロセスは,自身が作成したサブプロセスの制御,およびこれらのサブプロセスの調査のために,特別な権限を得る必要はありません。 同じグループ内の他のプロセスへの働きかけ,および調査のために必要な特権は,GROUP 特権だけです。 ただし,WORLD 特権は,自身のグループ以外のプロセスへの働きかけや調査を行う必要があるユーザに付与します。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
