跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
在 Trusted Extensions 中创建用户之前要做的决策
Trusted Extensions 中的 policy.conf 文件缺省值
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
安全管理员可以修改新用户的安全属性。有关包含缺省值的文件的信息,请参见Trusted Extensions 中的缺省用户安全属性。下表显示了可为用户指定的安全属性以及每项指定所产生的影响。
表 10-2 创建用户后指定的安全属性
|
用户帐户创建之后,安全管理员为用户指定安全属性。如果您已经设置了正确的缺省值,则下一步是仅为需要非缺省值的用户指定安全属性。
为用户指定安全属性时,请考虑以下信息:
帐户创建期间,系统管理员可以为用户帐户指定口令。该初始指定之后,安全管理员或用户可以更改口令。
与在 Oracle Solaris 中一样,可强制用户定期更改其口令。口令生命期选项限制了能够猜测或窃取口令的任何入侵者可能能够非法访问系统的时间长度。此外,设定在更改口令之前需经过的最小时间可防止具有新口令的用户立即恢复为旧口令。有关详细信息,请参见 passwd(1) 手册页。
注 - 可以承担角色的用户的口令决不能受制于任何口令生命期约束。
与在 Oracle Solaris OS 中一样,为用户指定授权可将这些授权添加到现有授权。最佳做法是将授权添加到一个权限配置文件中,然后将该配置文件指定给用户。
与在 Oracle Solaris OS 中一样,权限配置文件的顺序很重要。除了授权以外,配置文件机制使用指定的安全属性的第一个实例的值。有关更多信息,请参见《Oracle Solaris 管理:安全服务》中的"搜索指定安全属性的顺序"。
您可以按照对您有利的方式使用配置文件的排序顺序。如果您希望命令在运行时使用的安全属性不同于在现有配置文件中为该命令定义的安全属性,可创建一个新的配置文件并包含您希望为该命令指定的安全属性。然后,将此新配置文件插入到现有配置文件之前。
注 - 请勿将包含管理命令的权限配置文件指定给一般用户。因为一般用户无法进入全局区域,所以该权限配置文件将不能正常工作。
对于许多站点来说,缺省特权集的限制可能不够严厉。要限制系统上任何一般用户的特权集,请更改 policy.conf 文件设置。要更改各个用户的特权集,请参见如何收缩用户的特权集。
与在 Oracle Solaris OS 中一样,为用户指定审计类会修改用户的预选掩码。有关审计的更多信息,请参见《Oracle Solaris 管理:安全服务》中的第 VII 部分, "在 Oracle Solaris 中审计"和第 22 章。
在 Trusted Extensions 中,这些文件会自动从框架目录仅复制到包含帐户的最小标签的区域中。要确保较高级别标签的区域可使用启动文件,用户或管理员必须创建 .copy_files 和 .link_files 文件。
Trusted Extensions 文件 .copy_files 和 .link_files 用来帮助将启动文件自动复制或链接至帐户的起始目录的每个标签中。每当用户在新标签创建工作区时,updatehome 命令都会读取帐户最小标签的 .copy_files 和 .link_files 的内容。然后,该命令将列出的每个文件复制或链接到较高级别的有标签工作区中。
当用户希望在不同的标签使用稍有差别的启动文件时,.copy_files 文件非常有用。例如,当用户在不同的标签使用不同的邮件别名时,应优先采用复制方式。当启动文件在调用它的任何标签都应相同时,.link_files 文件非常有用。例如,当一台打印机用于所有带标签的打印作业时,应优先采用链接方式。有关示例文件,请参见如何在 Trusted Extensions 中为用户配置启动文件。
下面列出了一些您可能希望用户能够复制或链接至较高级别标签的启动文件:
|