跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
Oracle Solaris 是一种多用户环境。在多用户环境中,所有登录到系统的用户均可读取属于其他用户的文件。使用相应的文件权限,用户还可以使用属于其他用户的文件。有关更多介绍,请参见第 6 章。有关设置相应文件权限的逐步说明,请参见保护文件(任务列表)。
通过使其他用户无法访问某个文件,可以保证此文件的安全。例如,具有 600 权限的文件只能由其所有者和超级用户读取。具有 700 权限的目录同样无法访问。但是,猜中您的口令或者知道 root 口令的用户可以访问该文件。另外,每次将系统文件备份到脱机介质时,还可以在备份磁带上保留原本无法访问的文件。
加密框架提供 digest、mac 和 encrypt 命令来保护文件。有关更多信息,请参见第 13 章。
ACL(发音为 ackkl)可以提供更多的文件权限控制权。如果传统的 UNIX 文件保护无法提供足够的保护,则可添加 ACL。传统的 UNIX 文件保护可为以下三类用户提供读写和执行权限:所有者、组和其他用户。ACL 可提供更精细的文件安全性。
可以使用 ACL 定义以下文件权限:
所有者文件权限
所有者组的文件权限
不属于所有者组的其他用户的文件权限
特定用户的文件权限
特定组的文件权限
先前每个类别的缺省权限
有关使用 ACL 的更多信息,请参见使用访问控制列表保护 UFS 文件。
网络文件服务器可以控制哪些文件可供共享。网络文件服务器还可以控制有权访问文件的客户机,以及允许这些客户机使用的访问类型。一般情况下,文件服务器可以为所有客户机或特定客户机授予读写访问权限或只读访问权限。通过 share 命令使资源可用时,将会指定访问控制。
文件服务器上的 /etc/dfs/dfstab 文件列出了该服务器向网络上的客户机提供的文件系统。有关共享文件系统的更多信息,请参见《系统管理指南:网络服务》中的"自动文件系统共享"。
创建某个 ZFS 文件系统的 NFS 共享后,该文件系统将永久共享,直到共享被删除为止。SMF 会在系统重新引导后自动管理共享。有关更多信息,请参见《Oracle Solaris ZFS 管理指南》中的第 3 章 "Oracle Solaris ZFS 与传统文件系统之间的差别"。
一般情况下,不允许超级用户对网络中共享的文件系统进行 root 访问。NFS 系统将请求程序的用户更改为用户 ID 为 60001 的用户 nobody,以此防止对挂载的文件系统进行 root 访问。用户 nobody 的访问权限与为公众提供的那些访问权限相同。用户 nobody 具有的访问权限与没有凭证的用户所具有的访问权限相同。例如,如果公众只对某个文件具有执行权限,则用户 nobody 只能执行此文件。
NFS 服务器可以按主机授予超级用户对共享文件系统的权限。要授予这些特权,请对 share 命令结合使用 root=hostname 选项。应该谨慎使用此选项。有关 NFS 安全选项的介绍,请参见《系统管理指南:网络服务》中的第 6 章 "访问网络文件系统(参考)"。