JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris Trusted Extensions 配置指南     Oracle Solaris 10 8/11 Information Library (简体中文)
Oracle 技术网
文档库
PDF
打印视图
反馈
search filter icon
search icon

文档信息

前言

1.  Trusted Extensions 的安全规划

2.  Trusted Extensions 的配置任务列表

3.  将 Trusted Extensions 软件添加到 Solaris OS(任务)

初始设置团队的职责

安装或升级 Solaris OS 以使用 Trusted Extensions

安装 Solaris 系统以支持 Trusted Extensions

准备已安装的 Solaris 系统以使用 Trusted Extensions

在启用 Trusted Extensions 之前收集信息并做出决定

在启用 Trusted Extensions 之前收集系统信息

在启用 Trusted Extensions 之前做出系统和安全决策

启用 Trusted Extensions 服务

启用 Trusted Extensions

4.  配置 Trusted Extensions(任务)

5.  为 Trusted Extensions 配置 LDAP(任务)

6.  配置具有 Trusted Extensions 的无显示系统(任务)

A.  站点安全策略

B.  使用 CDE 操作在 Trusted Extensions 中安装区域

C.  Trusted Extensions 的配置核对表

词汇表

索引

在启用 Trusted Extensions 之前收集信息并做出决定

对于要在其上配置 Trusted Extensions 的每个系统,您需要了解一些信息,并做出一些有关配置的决定。例如,因为您要创建有标签区域,您可能需要留出磁盘空间,以便在其中将这些区域克隆为 Solaris ZFS 文件系统。Solaris ZFS 为区域提供额外的隔离。

在启用 Trusted Extensions 之前收集系统信息

  1. 确定系统的主要主机名和 IP 地址。

    主机名是主机在网络上的名称,并且是全局区域。在 Solaris 系统上,getent 命令会返回主机名,如下所示:

    # getent hosts machine1
192.168.0.11   machine1
  2. 确定有标签区域的 IP 地址指定。

    具有两个 IP 地址的系统可用作多级别服务器。具有一个 IP 地址的系统必须拥有对多级别服务器的访问权限才能打印或执行多级别任务。有关 IP 地址选项的论述,请参见规划多级别访问

    大多数系统要求为有标签区域使用另外的 IP 地址。例如,以下是为有标签区域使用了另外的 IP 地址的主机:

    # getent hosts machine1-zones
192.168.0.12   machine1-zones
  3. 收集 LDAP 配置信息。

    对于运行 Trusted Extensions 软件的 LDAP 服务器,您需要以下信息:

    • LDAP 服务器所服务的 Trusted Extensions 域的名称

    • LDAP 服务器的 IP 地址

    • 将装入的 LDAP 配置文件的名称

    对于 LDAP 代理服务器,您还需要用于 LDAP 代理的口令。

在启用 Trusted Extensions 之前做出系统和安全决策

对于要在其上配置 Trusted Extensions 的每个系统,请在启用此软件之前做出这些配置决策。

  1. 确定系统硬件需要得到何种安全程度的保护。

    在安全站点中,已经为每个已安装 Solaris 的系统完成了这一步骤。

    • 对于 SPARC 系统,已提供了 PROM 安全级别和口令。

    • 对于 x86 系统,BIOS 受保护。

    • 在所有系统上,通过口令保护 root

  2. 准备 label_encodings 文件。

    如果您有特定于站点的 label_encodings 文件,必须先检查并安装该文件,然后才能开始其他配置任务。如果您的站点没有 label_encodings 文件,您可使用 Oracle 提供的缺省文件。Oracle 还提供了其他 label_encodings 文件,您可在 /etc/security/tsol 目录中找到这些文件。这些 Oracle 文件是演示文件。它们可能不适合用于生产系统。

    要为您的站点定制文件,请参见《Trusted Extensions Label Administration》

  3. 基于 label_encodings 文件中的标签列表,制作您需要创建的有标签区域的列表。

    下表列出了缺省 label_encodings 文件的标签名和建议的区域名称。


    标签
    区域名称
    PUBLIC
    public
    CONFIDENTIAL : INTERNAL
    internal
    CONFIDENTIAL : NEED TO KNOW
    needtoknow
    CONFIDENTIAL : RESTRICTED
    restricted

    为便于 NFS 挂载,特定标签的区域名称在每个系统上都必须相同。某些系统,例如多级别打印服务器,不需要安装有标签区域。但是,如果您在打印服务器上安装有标签区域,这些区域名称就必须与您网络上其他系统的区域名称相同。

  4. 确定何时创建角色。

    您站点的安全策略可能要求您通过担任角色来管理 Trusted Extensions。如果是这样,或者如果您要配置系统来满足某个已评估配置的条件,您就必须在配置过程的早期阶段创建角色。

    如果不要求您通过使用角色来配置系统,您可以选择作为超级用户来配置系统。这种配置方式不太安全。审计记录不会指示在配置过程中哪个用户是超级用户。超级用户可以在系统上执行所有任务,而一个角色只能执行较为有限的一组任务。因此,在通过角色执行配置时可以对配置进行更好的控制。

  5. 选择区域创建方式。

    您可以从头创建区域,复制区域或克隆区域。这些方式的创建速度、磁盘空间要求和稳健性各不相同。有关权衡事项,请参见在 Trusted Extensions 中规划区域

  6. 规划您的 LDAP 配置。

    对于未联网系统,使用本地文件进行管理比较实际。

    LDAP 是用于联网环境的命名服务。配置多个计算机时需要一个已置备的 LDAP 服务器。

    • 如果您具有现有的 Sun Java System Directory Server(LDAP 服务器),您可在运行 Trusted Extensions 的系统上创建 LDAP 代理服务器。多级别代理服务器处理与无标签 LDAP 服务器的通信。

    • 如果您没有 LDAP 服务器,可将运行 Trusted Extensions 软件的一个系统配置为多级别 LDAP 服务器。

  7. 确定每个系统和网络的其他安全问题。

    例如,您可能会考虑下列安全问题:

    • 确定哪些设备可连接到系统并可供分配使用。

    • 确定可从系统访问哪些标签下的哪些打印机。

    • 确定具有有限标签范围的任何系统,例如,网关系统或公用资讯服务站。

    • 确定哪些有标签系统可以与无标签系统进行通信。

版权所有 © 1994, 2011, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页 下一页