История страницы

Привилегия
Атрибут
Битовая маска

Описание

PARSEC_CAP_AUDIT
pcapaudit
0x00002

Позволяет управлять политикой аудита.

PARSEC_CAP_BYPASS_KIOSK
pcapbypasskiosk
0x08000

Позволяет игнорировать ограничения киоска.

PARSEC_CAP_CAP
pcapcap
0x00400

Позволяет процессу устанавливать любой непротиворечивый набор привилегий для другого процесса и читать привилегии, присвоенные процессамсебя.

PARSEC_CAP_CHMAC
pcapchmac
0x00008

Позволяет изменять метки безопасности файловых объектов.

PARSEC_CAP_FILE_CAP
pcapfilecap
0x00001

Не используется.
Для изменения меток безопасности файловых объектов см. привилегию PARSEC_CAP_CHMAC.
Для изменения меток безопасности процессов см. PARSEC_CAP_SETMAC.
Для изменения привилегий процессов см. PARSEC_CAP_CAP.

PARSEC_CAP_IGNMACCAT
pcapignmaccat
0x00020

Позволяет игнорировать мандатную политику по категориям доступа.
См. также PARSEC_CAP_IGNMACLVL и PARSEC_CAP_IGNMACINT.

PARSEC_CAP_IGNMACINT
pcapignmacint
0x02000

Позволяет игнорировать мандатную политику по уровням целостности.
См. также PARSEC_CAP_IGNMACCAT, PARSEC_CAP_IGNMACLVL, PARSEC_CAP_INHERIT_INTEGRITY.

PARSEC_CAP_IGNMACLVL
pcapignmaclvl
0x00010

Позволяет игнорировать мандатную политику по уровням конфиденциальности.
См. также PARSEC_CAP_IGNMACCAT и PARSEC_CAP_IGNMACINT.

PARSEC_CAP_INHERIT_INTEGRITY
pcapinheritintegrity
0x20000

При создании файловых объектов на них автоматически устанавливается максимально возможная целостность,
однако не выше, чем целостность процесса-создателя и целостность контейнера, в котором создается файловый объект. Используется для установщика пакетов (dpkg).
См. также PARSEC_CAP_IGNMACINT.

PARSEC_CAP_IPC_OWNER
pcapipcowner
0x10000

Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д.
(Parsec-аналог Linux-привилегии CAP_IPC_OWNER.)

PARSEC_CAP_MAC_SOCK
pcapmacsock
0x00800

Позволяет изменять метки безопасности точек соединения (UNIX-сокетов).
Для сетевых сокетов см. PARSEC_CAP_PRIV_SOCK.

PARSEC_CAP_PRIV_SOCK
pcapprivsock
0x00100

Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole).
Привилегированный сокет позволяет осуществлять сетевое взаимодействие, игнорируя мандатную политику.
Для точек соединения (UNIX-сокетов) см. PARSEC_CAP_MAC_SOCK.

PARSEC_CAP_READSEARCH
pcapreadsearch
0x00200

Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи).

PARSEC_CAP_SETMAC
pcapsetmac
0x00004

Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать.
Для изменения меток безопасности файловых объектов см. PARSEC_CAP_CHMAC.
Для изменения привилегий процессов см. PARSEC_CAP_CAP.

PARSEC_CAP_SIG
pcapsig
0x00040

Позволяет посылать сигналы процессам, игнорируя мандатные права.

PARSEC_CAP_SUMAC
pcapsumac
0x04000

Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа).

PARSEC_CAP_UNSAFE_SETXATTR
pcapunsafesetxat
0x01000

Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr.

PARSEC_CAP_UPDATE_ATIME
pcapupdateatime
0x00080

Позволяет изменять время доступа к файловым объектам.

В настоящее время не используется.