跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Studio 12.3 安全指南 Oracle Solaris Studio 12.3 Information Library (简体中文) |
2011 年 12 月,E26471-01
本文档讨论了负责安装 Oracle Solaris Studio 开发者工具的系统管理员以及使用这些工具的开发者应注意的安全注意事项。
本文档包括有关下列内容的信息:
Oracle Solaris Studio 是一个包含编译器、调试器、分析工具和集成开发环境 (integrated development environment, IDE) 在内的工具套件,可用于 Solaris 和 Linux 平台来进行应用程序开发、调试和调优。与其他开发工具一样,Solaris Studio 编译器和工具适用于与生产环境隔离的环境,因为用户可以在执行过程中访问这些工具来处理应用程序。虽然生产环境通常是安全注意事项的重点,但对于开发者工具和开发环境,也应从安全角度予以考虑。
在确定哪些资产需要保护以及实施控制和策略来保护这些资产方面,系统管理员扮演着重要角色。对于用户原本没有其访问权限的资产和操作环境功能,Solaris Studio 本身不能提供任何访问权限。但 Solaris Studio 仍具有一定的风险,它允许无权访问资产或系统的用户通过 Solaris Studio 以外的其他方式使用 Solaris Studio 开发者工具的功能,这可能会导致安全违规。运行 Solaris Studio 工具的用户对调试器和分析器利用的所有功能具有访问权限,可以直接通过操作系统界面访问这些功能。但是通过 Solaris Studio 工具,可以更容易地理解和使用这些操作系统功能来探测应用程序的内部结构,处理硬件寄存器、内存和堆栈,以及控制应用程序的执行。
Oracle Solaris Studio 编译器和工具最初预定在开发环境中使用。如果生产环境中需要 Solaris Studio(例如,要调试生产应用程序或分析性能瓶颈),则应采取措施限制对这些工具的访问。请仅安装开发任务或生产任务所需的 Solaris Studio 组件。Solaris Studio 软件包安装程序允许您选择要安装的 Studio 组件。
Solaris Studio IDE 允许您安装受支持的非 Oracle 插件。在下载任何诸如这些插件的第三方软件之前,评估这类插件的安全性。
使用最新修补程序(尤其是安全修补程序)使 Solaris Studio 安装保持最新状态。
对于某些调试和分析任务,Solaris Studio 性能分析器和 DLight 监测工具需要提升的特权。请通过临时帐户提供这些特权,并相应地监视这些帐户。
Solaris Studio 编译器和工具创建输出文件,例如日志、信息转储和目标文件。将使用用户的缺省权限设置这些文件的权限。为防止对输出文件的恶意访问,请对缺省权限进行限制以仅允许绝对需要的访问权限。用户可以使用 Solaris 和 Linux umask 命令设置缺省权限。
Oracle Solaris Studio 包括了一组在受支持的平台上提供运行时支持的库:针对计算密集型应用程序的性能库,以及在开发环境中对应用程序进行调优时使用的调试和性能分析库。性能库和运行时库用于生产环境中,系统管理员可以根据需要为要运行的应用程序安装这些库。
顾名思义,性能库已针对性能进行优化,这意味着将数据检查降至最低,以确保最高的性能。使用性能库时,应用程序开发者负责验证数据是否传递到了这些库。
在 IDE 中使用远程生成主机需要具有登录凭证。运行 IDE 的客户机系统上易受危害的安全性可能会导致对远程服务器主机的未经授权访问。在共享桌面环境中,对于需要高安全级别的情况,建议不要存储登录凭证。
关于远程开发要考虑的另一个方面是远程开发过程中客户机系统上源代码的高速缓存。为了提高 IDE 性能和响应效率,IDE 的远程开发功能会从服务器高速缓存文件,包括客户机上的源代码。客户机上的高速缓存文件夹为 user_directory /var/cache/remote-files。
在 Solaris 和 Linux 平台上,user_directory 为: ~/.solstudio/ide-12.3-OS-architecture(例如,~/.solstudio/ide-12.3-SunOS-i386)。
在 Microsoft Windows 平台上,user_directory 为 ~/Application Data/.solstudio/dd-12.3。
在 Mac OS X 平台上,user_directory 为 ~/Library/Application\ Support/solstudio/dd-12.3。
在敏感安全环境中,请注意此高速缓存文件夹,包括删除或加密。