Grsecurity/附录/角色属性

角色转换指定了给定角色允许身份验证到的特殊角色。这适用于不需要密码身份验证的特殊角色。如果用户尝试身份验证到不在其转换表中的角色，他将收到权限被拒绝的错误。创建新特殊角色时常见的错误是忘记为该角色创建一个role_transitions将转换到特殊角色的规则，用户会将其与输入了错误密码混淆。该role_transitions规则添加到角色声明下方，但在任何主题声明之前。

用法

 role_transitions <special role 1> <special role 2> ... <special role n>

示例

 role person u
 role_transitions www_admin dns_admin
 subject /
 ...

此规则将角色的使用限制为 IP 列表。如果系统上有一个用户通常会获得该规则，但不属于指定的 IP 列表，则系统会回退到其确定用户角色的方法（检查适用的组角色，然后回退到默认角色）。此规则可以为角色指定多次。像role_transitions一样，它应该添加到角色声明下方，但在任何主题声明之前。

用法

 role_allow_ip <IP>/<optional netmask>

示例

 role person u
 role_allow_ip 192.168.1.0/24
 subject /
 ...

网络掩码为0.0.0.0/32仅允许本地进程使用该角色，这些进程尚未被远程客户端使用 [1].

此规则可以根据指定的模式，确保给定用户控制下的文件具有一系列安全属性。一个用例是确保用户无法意外或故意创建其他人可以读取的文件（机密性问题）。另一个是确保用户无法意外或故意创建其他人可以写入的文件（完整性问题）。与之前的角色属性一样，它应该添加到角色声明下方，但在任何主题声明之前。

用法

 role_umask <mask>

示例

 role person u
 role_umask 077
 subject /
 ...

与传统的 umask 不同，grsecurity 的 RBAC 中的 role_umask 支持还限制了 chmod、fchmod 和 POSIX ACL 允许设置的权限。