| 跳过导航链接 | |
| 退出打印视图 | |
|
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
设备策略可限制或禁止访问属于系统一部分的设备。策略是在内核中实施的。
以下任务列表列出了与设备策略相关的设备配置过程。
|
% getdevpolicy | more DEFAULT read_priv_set=none write_priv_set=none ip:* read_priv_set=net_rawaccess write_priv_set=net_rawaccess …
示例 5-1 查看特定设备的设备策略
此示例显示了三个设备的设备策略。
% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/bge /dev/allkmem read_priv_set=all write_priv_set=all /dev/ipsecesp read_priv_set=sys_net_config write_priv_set=sys_net_config /dev/bge read_priv_set=net_rawaccess write_priv_set=net_rawaccess
开始之前
您必须分配有 Device Security(设备安全)权限配置文件。
有关更多信息,请参见如何获取管理权限。
# update_drv -a -p policy device-driver
指定 device-driver 的 policy。
device-driver 的设备策略。设备策略指定两个特权集。一个用于读取设备,另一个用于写入设备。
设备驱动程序。
有关更多信息,请参见 update_drv(1M) 手册页。
示例 5-2 向现有设备中添加策略
以下示例向 ipnat 设备中添加设备策略。
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=none # update_drv -a \ -p 'read_priv_set=net_rawaccess write_priv_set=net_rawaccess' ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess
示例 5-3 删除设备的策略
以下示例从 ipnat 设备的设备策略中删除读取特权集。
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess # update_drv -a -p write_priv_set=net_rawaccess ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=net_rawaccess
缺省情况下,as 审计类包括 AUE_MODDEVPLCY 审计事件。
开始之前
您必须分配有 Audit Configuration(审计配置)权限配置文件。
有关更多信息,请参见如何获取管理权限。
# auditconfig -getflags current-flags # auditconfig -setflags current-flags,as
有关详细说明,请参见如何预选审计类。
检索 Oracle Solaris IP MIB-II 信息的应用程序应该打开 /dev/arp,而不是 /dev/ip。
% getdevpolicy /dev/ip /dev/arp /dev/ip read_priv_set=net_rawaccess write_priv_set=net_rawaccess /dev/arp read_priv_set=none write_priv_set=none
请注意,读写 /dev/ip 需要具有 net_rawaccess 特权,而 /dev/arp 不需要特权。
此方法不需要特权,它等同于打开 /dev/ip 并推送 arp、tcp 和 udp 模块。现在,由于打开 /dev/ip 需要特权,因此 /dev/arp 是首选方法。
|