Запускать команду от имени "роли" в Solaris 11?
Итак, у нас есть продукт, который запускает демон от имени root, который может взаимодействовать через TCP-сокеты и файлы чтения / записи. Это отлично работает в Solaris 10, но когда мы перенесли его на Solaris 11, возникает множество ошибок записи.
То есть, общение через сокет в порядке (брандмауэр отключен), и продукт может читать все нужные нам файлы. Я отметил, что в Solaris 11 пользователь root отключен, и вместо этого вы должны запускаться от имени "роли" root. Мне интересно, является ли это причиной проблемы; что вместо того, чтобы использовать su или sudo для запуска демона, нам нужно выполнить некоторые другие настройки заранее.
Есть ли кто-нибудь с опытом работы в Solaris 11, RBAC и т. Д., Кто мог бы пролить свет на то, что может пойти не так?
1 ответ
Демон возится с привилегиями? Вы пытались запустить демон с включенной отладкой привилегий? Обратите внимание, что если вы удалите определенные привилегии, вам нужно начать с "basic"; со временем набор базовых привилегий будет расти, и текущие непривилегированные операции начнут нуждаться в новой базовой привилегии; в Solaris 11 мы добавили file_write, file_read и net_access в качестве основных привилегий. Отсутствие привилегии file_write вызовет описанный вами симптом.