| 跳过导航链接 | |
| 退出打印视图 | |
|
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
6. 配置具有 Trusted Extensions 的无显示系统(任务)
一类用户或资源的获得批准的一组敏感标签。一组有效标签。另请参见 system accreditation range(系统认可范围)和 user accreditation range(用户认可范围)。
一种 role(角色),提供必需的授权、特权命令、特权操作和可信路径 security attribute(安全属性),以允许该角色执行管理任务。角色执行一部分 Solaris 超级用户的权能,例如备份或审计。
一种机制,用于控制对 device(设备)的访问。请参见 device allocation(设备分配)。
在 CDE 中,system(系统)使用搜索路径来查找应用程序和某些配置信息。应用程序搜索路径由 trusted role(可信角色)控制。
授予用户或角色执行某个操作的权限,如果未获得授权,安全策略将不允许执行该操作。授权是在权限配置文件中设置的。特定命令需要用户具备特定授权才能成功执行。例如,要打印 PostScript 文件,需要具有打印 Postscript 授权。
通用 IP 安全选项。CIPSO 是 Trusted Extensions 实施的标签标准。
clearance(安全许可)或 label(标签)的分层组件。等级表示有层次的安全性级别,例如 TOP SECRET 或 UNCLASSIFIED。
用户可工作的标签集合的上限。下限是由 security administrator(安全管理员)指定的 minimum label(最小标签)。安全许可可以是两种类型(会话安全许可或 user clearance(用户安全许可))之一。
连接到网络的系统。
配置有 Trusted Extensions 的系统组成的网络。该网络与任何非 Trusted Extensions 主机分离。这种分离可能是物理的,其中没有网线扩展至 Trusted Extensions 网络之外。这种分离也可能是在软件中实施的,其中 Trusted Extensions 主机只能识别 Trusted Extensions 主机。来自网络之外的数据项将被限制于与 Trusted Extensions 主机连接的外围设备。与 open network(开放式网络)相对。
用于管理 Trusted Extensions 软件的历史窗口环境。Trusted Extensions 可修改该环境以创建 Trusted CDE。也可以修改 Oracle Java Desktop System 以创建 Trusted JDS。
label(标签)的一个无层次组件,与 classification(等级)组件结合使用以构成 clearance(安全许可)或 label(标签)。区间代表信息的集合,例如,将供工程部门或多学科项目团队使用。
多标签系统上的可选设置文件。此文件包含一系列启动文件,例如 .cshrc 或 .mozilla,用户环境或用户应用程序需要这些文件以使系统或应用程序正常运行。.copy_files 中列出的文件然后会被复制到较高级别标签的用户起始目录(如果创建了这些目录)。另请参见 .link_files file(.link_files 文件)。
一种机制,用于保护可分配 device(设备)上的信息免受分配该设备的用户之外的任何人访问。在设备被解除分配之前,只有分配设备的用户可以访问与该设备相关的信息。要使用户可以分配某个设备,该用户必须已由 security administrator(安全管理员)授予了设备分配授权。
设备包括打印机、计算机、磁带机、软盘驱动器、CD-ROM 驱动器、DVD 驱动器、音频设备和内部伪终端设备。设备受 read-equal/write-equal MAC 策略约束。对可移除设备(例如 DVD 驱动器)的访问由 device allocation(设备分配)控制。
文件或目录的所有者自主授予或拒绝的访问类型。Trusted Extensions 提供两种自主访问控制 (discretionary access control, DAC),即 UNIX permission bits(权限位) 和 ACL。
标识本地网络上的一组系统。域名包括一系列用句点分隔的组件名称(例如:example1.town.state.country.org )。在一个域名中,越靠右的组件名称所标识的网域范畴越广(通常指远程区域)。
在配置有 Trusted Extensions 的 Solaris 系统上,系统解释域用于区分可能定义了相似标签的不同 label_encodings 文件。DOI 是一组规则,可将网络包上的安全属性转换为按本地 label_encodings 文件表示这些安全属性。当系统具有相同的 DOI 时,它们将共享该组规则,并可以转换有标签的网络包。
Internet 命名分层结构的一部分。它代表本地网络上一组共享管理文件的系统。
在一个已由认证机构认定为符合特定标准的配置中运行的一个或多个 Trusted Extensions 主机。在美国,这些标准是 TCSEC。评估和认证机构是 NSA。
Solaris 10 11/06 发行版上配置的 Trusted Extensions 软件通过了通用标准 v2.3 [2005 年 8 月](ISO 标准)、评估保证级 (Evaluation Assurance Level, EAL) 4 和许多保护框架的认证。
通过保证连续性,经过 NSA 认证的 Trusted Extensions 软件已配置在 Solaris 10 5/09 发行版上。
通用标准 v2 (Common Criteria v2, CCv2) 和保护框架通过级别 B1+ 使早期的 TCSEC U.S. 标准过时。美国、英国、加拿大、丹麦、荷兰、德国和法国已签署了 CCv2 互认协议。
Trusted Extensions 配置目标提供与 TCSEC C2 和 B1 级别类似的功能以及一些其他功能。
文件和目录的集合,在设置到逻辑分层结构时,组成一组有条理的结构化信息。可以从本地 system(系统)或远程系统挂载文件系统。
Government Furnished Information(政府提供的信息)。在本手册中,是指美国政府提供的 label_encodings file(label_encodings 文件)。要将 GFI 用于 Trusted Extensions 软件,必须将 Oracle 专用的 LOCAL DEFINITIONS 部分添加到 GFI 的末尾。有关详细信息,请参见《Trusted Extensions Label Administration》中的第 5 章 "Customizing LOCAL DEFINITIONS"。
使网络上的其他系统能够识别某个 system(系统)的名称。此名称在给定域内的所有系统之间必须唯一。通常,域标识一个组织。主机名可以是字母、数字和减号 (-) 的任意组合,但不能以减号开头或结尾。
指定给用户或角色的 minimum label(最小标签),用户初始工作区的标签。初始标签是用户或角色可在其中工作的最低级别标签。
一个至少由两人组成的团队,他们一起监视 Trusted Extensions 软件的启用和配置。一名团队成员负责安全决策,另一名成员负责系统管理决策。
Internet 协议地址。标识某个联网系统使其可通过 Internet 协议进行通信的唯一数字。在 IPv4 中,该地址由四个以句点分隔的数字组成。IP 地址的每一部分通常是一个 0 到 225 之间的数字。但第一个数字必须小于 224,最后一个数字不能是 0。
IP 地址在逻辑上分为两部分:网络和网络上的 system(系统),网络号类似于电话区号。相对于网络,系统编号类似于电话号码。
Trusted Extensions 的单标签或多标签敏感标签安装选项。在大多数情况下,标签配置在您站点上的所有系统上都相同。
在该文件中定义完整的 sensitivity label(敏感标签),比如,认可范围、标签视图、缺省标签可见性、缺省用户安全许可以及标签的其他各方面。
指定给命令、区域和可分配设备的一组敏感标签。通过指定最大标签和最小标签来指定范围。对于命令,最小标签和最大标签限定可在其中执行命令的标签。不识别标签的远程主机将被指定单个 sensitivity label(敏感标签),就像 security administrator(安全管理员)想要限制为单个标签的任何其他主机一样。标签范围限定可在其中分配设备的标签,并限定使用设备时可在其中存储或处理信息的标签。
在配置有 Trusted Extensions 的 Solaris 系统上,一个标签可以支配另一个标签、等同于另一个标签或与另一个标签不相交。例如,标签 Top Secret 可支配标签 Secret。对于具有相同 domain of interpretation, DOI(系统解释域)的两个系统,一个系统上的标签 Top Secret 等同于另一个系统上的标签 Top Secret。
一个 labeled system(有标签系统),属于由有标签系统组成的可信网络的一部分。
有标签系统是运行多级别操作系统(例如 Trusted Extensions 或启用了 MLS 的 SELinux)的系统。该系统可以发送和接收在包标头中标有通用 IP 安全选项 (Common IP Security Option, CIPSO) 标签的网络包。
在配置有 Trusted Extensions 的 Solaris 系统上,会为每个区域指定一个唯一标签。虽然会为全局区域添加标签,但有标签区域通常是指指定有标签的非全局区域。相比于 Solaris 系统上未配置标签的非全局区域,有标签区域有两个不同的特征。首先,有标签区域必须使用相同的用户 ID 和组 ID 池。第二,有标签区域可以共享 IP 地址。
指定给某个对象的安全标识符。标签基于该对象中信息应受到保护的级别。根据 security administrator(安全管理员)配置用户的方式,用户可以看到 sensitivity label(敏感标签),或者根本没有标签。标签在 label_encodings file(label_encodings 文件)中进行定义。
多标签系统上的可选设置文件。此文件包含一系列启动文件,例如 .cshrc 或 .mozilla,用户环境或用户应用程序需要这些文件以使系统或应用程序正常运行。 .link_files 中列出的文件然后会被链接到较高级别标签的用户起始目录(如果创建了这些目录)。另请参见 .copy_files file(.copy_files 文件)。
这种访问控制基于文件、目录或 device(设备)的 sensitivity label(敏感标签)与正在尝试进行访问的进程的敏感标签的比较。当位于一个标签的进程尝试读取位于较低级别标签的某个文件时,MAC 规则 read equal–read down 适用。当位于一个标签的进程尝试写入位于另一个标签的目录时,MAC 规则 write equal-read down 适用。
用户的敏感标签的下界和系统的敏感标签的下界。security administrator(安全管理员)指定用户的安全属性时设置的最小标签是用户首次登录时第一个工作区的敏感标签。security administrator(安全管理员)在 label_encodings 文件的最小标签字段指定的敏感标签设置系统的下界。
在配置有 Trusted Extensions 的 Solaris 系统上,用户可以从特定的标签运行桌面。如果用户被授予从多个标签工作的权限,则该用户可以创建单独的工作区以从各个标签工作。在此多级别桌面上,授权的用户可以在不同标签的窗口之间进行剪切和粘贴,从不同的标签接收邮件,以及在不同标签的工作区中查看和使用标记窗口。
在配置有 Trusted Extensions 的 Solaris 系统上,MLP 用于在区域中提供多级别服务。缺省情况下,X 服务器是在全局区域中定义的多级别服务。MLP 是通过端口号和协议指定的。例如,多级别桌面中 X 服务器的 MLP 是通过 6000-6003 和 TCP 指定的。
一个分布式网络数据库,它包含网络上所有系统的关键系统信息,以便系统能够彼此通信。使用命名服务,可以在网络范围的基础上维护、管理和访问系统信息。Oracle 支持 LDAP 命名服务。如果没有这样的服务,每个 system(系统)必须在本地 /etc 文件中维护各自的系统信息副本。
通过硬件和软件相连的一组系统,有时称为局域网 (local area network, LAN)。系统联网时通常需要一个或多个服务器。
未连接到网络或不依赖于其他主机的计算机。
由 Trusted Extensions 主机组成的网络,以物理方式连接到其他网络,并使用 Trusted Extensions 软件与非 Trusted Extensions 主机进行通信。与 closed network(封闭式网络)相对。
在已被证明能够满足 evaluated configuration(评估配置)标准的软件中配置了不满足安全标准的设置时,会将该软件描述为处于评估配置之外。
一种 discretionary access control(自主访问控制)类型,所有者指定一组数位来表示谁可以读取、写入或执行文件或目录。可为每个文件或目录指定三组不同的权限:一组适用于所有者,一组适用于所有者所在的组,一组适用于所有其他情况。
受委托来为组织创建新权限配置文件,以及解决超出 security administrator(安全管理员)和 system administrator(系统管理员)两者能力范围的计算机故障的人员。应当极少地使用此角色。进行初始安全配置后,更多安全站点可以选择不创建此角色,并不为主管理员配置文件指定任何角色。
授予正在执行某个命令的进程的权力。完整权限集合描述了系统的全部特权(从基本权能到管理权能)。绕开 security policy(安全策略)的特权(例如在系统上设置时钟)可由站点的 security administrator(安全管理员)授予。
代表调用命令的用户执行命令的操作。进程会接收来自用户的许多安全属性,包括用户 ID (user ID, UID)、组 ID (group ID, GID)、补充组列表和用户的审计 ID (audit ID, AUID)。进程接收的安全属性包括可用于所执行命令的任何特权和当前工作区的 sensitivity label(敏感标签)。
识别安全属性(例如特权、授权和特殊 UID 及 GID)的特殊 shell。配置文件 shell 通常会将用户限定于执行较少的命令,但可以允许这些命令以更多的权限运行。配置文件 shell 是 trusted role(可信角色)的缺省 shell。
与本地系统不同的系统。远程主机可以是 unlabeled host(无标签主机)或 labeled host(有标签主机)。
适用于命令和 CDE 操作以及指定给这些可执行内容的安全属性的捆绑机制。权限配置文件允许 Solaris 管理员控制谁可以执行哪些命令,以及控制这些命令执行时具有的属性。当用户登录时,指定给该用户的所有权限都将生效,该用户可以访问该用户的所有权限配置文件中指定的所有命令、CDE 操作和授权。
角色与用户类似,只不过角色不能登录。通常,角色用于指定管理权能。角色会被限定于执行一组特定的命令、授权和 CDE 操作。请参见 administrative role(管理角色)。
必须对敏感信息进行保护的组织中,定义并强制实施站点的 security policy(安全策略)的人员。这些人员有权访问站点中所处理的所有信息。在软件中,会将安全管理员 administrative role(管理角色)指定给具有适当 clearance(安全许可)的一个或多个个人。这些管理员配置所有用户和主机的安全属性,以便软件可以强制实施站点的安全策略。与此对比,请参见 system administrator(系统管理员)。
用于强制实施 Trusted Extensions security policy(安全策略)的属性。将会为 process(进程)、用户、区域、主机、可分配设备和其他对象指定各种安全属性集合。
为 tnrhtp database(tnrhtp 数据库)项指定一组独立的安全标签。指定给具有安全标签集合的模板的主机可以发送和接收与标签集合中任一标签匹配的包。
Trusted Extensions 主机上,定义可以如何访问信息的 DAC、MAC 和标签设置规则集合。客户站点上,定义该站点上所处理信息敏感度的规则集合,以及用于保护信息免受未经授权的访问的措施。
指定给某个对象或过程的安全 label(标签)。该标签用于根据所含数据的安全级别来限定访问。
需要两个管理员或角色来创建和验证用户的安全策略。一个管理员或角色负责创建用户、用户起始目录和其他基本管理内容。另一个管理员或角色负责用户的安全属性,例如口令和标签范围。
基于 Java 的管理 GUI,包含管理程序的 toolbox(工具箱)。大多数系统、网络和用户管理都是通过使用控制台工具箱完成的。
根据 security administrator(安全管理员)在 label_encodings file(label_encodings 文件)中定义的规则创建的所有有效标签的集合,以及在配置有 Trusted Extensions 的每个系统上使用的两个管理标签。这两个管理标签为 ADMIN_LOW 和 ADMIN_HIGH。
Trusted Extensions 中,指定给负责执行标准系统管理任务(例如设置用户帐户的非安全相关部分)的用户的 trusted role(可信角色)。与此对比,请参见 security administrator(安全管理员)。
计算机的通用名称。安装后,网络上的系统通常称为主机。
可信网络远程主机数据库。此数据库向远程主机指定一组标签特征。可在 /etc/security/tsol/tnrhdb 中以文件的形式访问该数据库,也可通过 LDAP 服务器访问该数据库。
可信网络远程主机模板。此数据库定义可指定给远程主机的标签特征集合。可在 /etc/security/tsol/tnrhtp 中以文件的形式访问该数据库,也可通过 LDAP 服务器访问该数据库。
Solaris Management Console 中的程序的集合。在 Trusted Extensions 主机上,管理员使用 Policy=TSOL 工具箱。每个工具箱都有在工具箱作用域内可用的程序。例如,"Trusted Network Zones"(可信网络区域)工具,该工具处理系统的 tnzonecfg 数据库,仅存在于 Files 工具箱中,因为它的作用域始终是本地。用户帐户程序存在于所有工具箱中。要创建本地用户,管理员会使用 Files 工具箱;要创建网络用户,管理员会使用 LDAP 工具箱。
在配置有 Trusted Extensions 的 Solaris 系统上,可信编辑器用于创建和修改管理文件。该编辑器不能修改文件名。此外,使用该编辑器要经过审计,并且将会禁用 shell 转义命令。在 Trusted CDE 中,"Admin Editor"(管理编辑器)操作可启动可信编辑器。在 Trusted JDS 中,/usr/dt/bin/trusted_edit 命令可启动可信编辑器。
可信网络远程主机模板 tnrhtp 和可信网络远程主机数据库 tnrhdb 一起定义可与 Trusted Extensions 通信的远程主机数据库。
在配置有 Trusted Extensions 的 Solaris 系统上,可信路径是一种与系统交互时的可靠防篡改方式。可信路径用于确保管理功能不能受到威胁。必须受到保护的用户功能(例如更改口令)也使用可信路径。当可信路径处于活动状态时,桌面会显示防篡改指示器。
一个不能受到欺骗的区域。在 Trusted CDE 中,可信窗口条位于屏幕的底部;在 Trusted JDS 中,可信窗口条位于顶部。可信窗口条提供有关窗口系统状态的可视化反馈:可信路径指示器和窗口 sensitivity label(敏感标签)。当敏感标签配置为不可供用户查看时,可信窗口将缩小为一个仅显示可信路径指示器的图标。
/usr/sbin/txzonemgr 脚本提供一个用于管理有标签区域的简单 GUI。该脚本还提供一些菜单项,这些菜单项适用于联网选项、名称服务选项以及使全局区域成为现有 LDAP 服务器的客户机。txzonemgr 由 root 用户在全局区域中运行。
发送无标签网络包的联网系统,例如正在运行 Solaris OS 的系统。
对于配置有 Trusted Extensions 的 Solaris 系统,无标签系统是未在运行多级别操作系统(例如 Trusted Extensions 或启用了 MLS 的 SELinux)的系统。无标签系统不发送有标签的包。如果正在进行通信的 Trusted Extensions 系统向无标签系统指定了单个标签,则 Trusted Extensions 系统和无标签系统之间的网络通信将从该标签进行。无标签系统也称为“单级别系统”。
一般用户可在 system(系统)中工作的所有可能的标签集合。站点的 security administrator(安全管理员)在 label_encodings file(label_encodings 文件)文件中指定范围。定义 system accreditation range(系统认可范围)的良构标签规则还会受到该文件的 ACCREDITATION RANGE 部分的值的限制:上界、下界、组合约束和其他限制。
设置用户可随时在其中工作的标签集合的上界的 clearance(安全许可)指定的 security administrator(安全管理员)。在任何特定的登录会话期间,用户可以决定接受缺省值或者可以进一步限制该安全许可。
|