跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
设备策略可限制或禁止访问属于系统一部分的设备。策略是在内核中实施的。
% getdevpolicy | more DEFAULT read_priv_set=none write_priv_set=none ip:* read_priv_set=net_rawaccess write_priv_set=net_rawaccess …
示例 4-1 查看特定设备的设备策略
此示例显示了三个设备的设备策略。
% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/hme /dev/allkmem read_priv_set=all write_priv_set=all /dev/ipsecesp read_priv_set=sys_net_config write_priv_set=sys_net_config /dev/hme read_priv_set=net_rawaccess write_priv_set=net_rawaccess
Primary Administrator(主管理员)角色拥有 Device Security(设备安全)权限配置文件。您也可以将 Device Security(设备安全)权限配置文件指定给您创建的角色。要创建该角色并将它指定给用户,请参见示例 9-3。
# update_drv -a -p policy device-driver
指定 device-driver 的 policy。
device-driver 的设备策略。设备策略指定两个特权集。一个用于读取设备,另一个用于写入设备。
设备驱动程序。
有关更多信息,请参见 update_drv(1M) 手册页。
示例 4-2 向现有设备中添加策略
以下示例向 ipnat 设备中添加设备策略。
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=none # update_drv -a \ -p 'read_priv_set=net_rawaccess write_priv_set=net_rawaccess' ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess
示例 4-3 删除设备的策略
以下示例从 ipnat 设备的设备策略中删除读取特权集。
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess # update_drv -a -p write_priv_set=net_rawaccess ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=net_rawaccess
缺省情况下,as 审计类包括 AUE_MODDEVPLCY 审计事件。
Primary Administrator(主管理员)角色拥有 Primary Administrator(主管理员)配置文件。要创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
将 as 类添加到 audit_control 文件的 flags 行中。此文件将显示类似如下的内容:
# audit_control file dir:/var/audit flags:lo,as minfree:20 naflags:lo
有关详细说明,请参见如何修改 audit_control 文件 。
检索 Oracle Solaris IP MIB-II 信息的应用程序应该打开 /dev/arp,而不是 /dev/ip。
% getdevpolicy /dev/ip /dev/arp /dev/ip read_priv_set=net_rawaccess write_priv_set=net_rawaccess /dev/arp read_priv_set=none write_priv_set=none
请注意,读写 /dev/ip 需要具有 net_rawaccess 特权,而 /dev/arp 不需要特权。
此方法不需要特权,它等同于打开 /dev/ip 并推送 arp、tcp 和 udp 模块。现在,由于打开 /dev/ip 需要特权,因此 /dev/arp 是首选方法。