Grsecurity/附錄/角色屬性

角色轉換指定了給定角色允許身份驗證到的特殊角色。這適用於不需要密碼身份驗證的特殊角色。如果使用者嘗試身份驗證到不在其轉換表中的角色，他將收到許可權被拒絕的錯誤。建立新特殊角色時常見的錯誤是忘記為該角色建立一個role_transitions將轉換到特殊角色的規則，使用者會將其與輸入了錯誤密碼混淆。該role_transitions規則新增到角色宣告下方，但在任何主題宣告之前。

用法

 role_transitions <special role 1> <special role 2> ... <special role n>

示例

 role person u
 role_transitions www_admin dns_admin
 subject /
 ...

此規則將角色的使用限制為 IP 列表。如果系統上有一個使用者通常會獲得該規則，但不屬於指定的 IP 列表，則系統會回退到其確定使用者角色的方法（檢查適用的組角色，然後回退到預設角色）。此規則可以為角色指定多次。像role_transitions一樣，它應該新增到角色宣告下方，但在任何主題宣告之前。

用法

 role_allow_ip <IP>/<optional netmask>

示例

 role person u
 role_allow_ip 192.168.1.0/24
 subject /
 ...

網路掩碼為0.0.0.0/32僅允許本地程序使用該角色，這些程序尚未被遠端客戶端使用 [1].

此規則可以根據指定的模式，確保給定使用者控制下的檔案具有一系列安全屬性。一個用例是確保使用者無法意外或故意建立其他人可以讀取的檔案（機密性問題）。另一個是確保使用者無法意外或故意建立其他人可以寫入的檔案（完整性問題）。與之前的角色屬性一樣，它應該新增到角色宣告下方，但在任何主題宣告之前。

用法

 role_umask <mask>

示例

 role person u
 role_umask 077
 subject /
 ...

與傳統的 umask 不同，grsecurity 的 RBAC 中的 role_umask 支援還限制了 chmod、fchmod 和 POSIX ACL 允許設定的許可權。