JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris 11.1 管理:安全服务     Oracle Solaris 11.1 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分安全性概述

1.  安全性服务(概述)

第 2 部分系统、文件和设备安全性

2.  管理计算机安全性(概述)

控制对计算机系统的访问

维护物理安全性

维护登录控制

管理口令信息

口令加密

特殊系统帐户

远程登录

控制对设备的访问

设备策略(概述)

设备分配(概述)

控制对计算机资源的访问

地址空间布局随机化

限制和监视超级用户访问权限

配置基于角色的访问控制以替换超级用户

防止无意中误用系统资源

设置 PATH 变量

为用户指定受限 Shell

限制对文件中数据的访问

限制 setuid 可执行文件

使用缺省安全 (Secure by Default) 配置

使用资源管理功能

使用 Oracle Solaris 区域

监视计算机资源的使用情况

监视文件完整性

控制对文件的访问

通过加密保护文件

使用访问控制列表

跨计算机共享文件

限制对共享文件的 root 访问

控制网络访问

网络安全性机制

远程访问的验证和授权

防火墙系统

加密和防火墙系统

报告安全问题

3.  控制对系统的访问(任务)

4.  病毒扫描服务(任务)

5.  控制对设备的访问(任务)

6.  使用 BART 验证文件完整性(任务)

7.  控制对文件的访问(任务)

第 3 部分角色、权限配置文件和特权

8.  使用角色和特权(概述)

9.  使用基于角色的访问控制(任务)

10.  Oracle Solaris 中的安全属性(参考信息)

第 4 部分加密服务

11.  加密框架(概述)

12.  加密框架(任务)

13.  密钥管理框架

第 5 部分验证服务和安全通信

14.  使用可插拔验证模块

15.  使用 安全 Shell

16.  安全 Shell(参考信息)

17.  使用简单验证和安全层

18.  网络服务验证(任务)

第 6 部分Kerberos 服务

19.  Kerberos 服务介绍

20.  规划 Kerberos 服务

21.  配置 Kerberos 服务(任务)

22.  Kerberos 错误消息和故障排除

23.  管理 Kerberos 主体和策略(任务)

24.  使用 Kerberos 应用程序(任务)

25.  Kerberos 服务(参考信息)

第 7 部分在 Oracle Solaris 中审计

26.  审计(概述)

27.  规划审计

28.  管理审计(任务)

29.  审计(参考信息)

词汇表

索引

控制对文件的访问

Oracle Solaris 是一种多用户环境。在多用户环境中,所有登录到系统的用户均可读取属于其他用户的文件。使用相应的文件权限,用户还可以使用属于其他用户的文件。有关更多介绍,请参见第 7 章。有关设置相应文件权限的逐步说明,请参见保护文件(任务)

通过加密保护文件

通过使其他用户无法访问某个文件,可以保证此文件的安全。例如,具有 600 权限的文件只能由其所有者和 root 帐户读取。具有 700 权限的目录同样无法访问。但是,猜中您的口令或者知道 root 口令的用户可以访问该文件。另外,每次将系统文件备份到脱机介质时,还可以在备份磁带上保留原本无法访问的文件。

可以使用磁盘上加密创建 ZFS 文件系统。有关更多信息,请参见《Oracle Solaris 11.1 管理:ZFS 文件系统》中的"加密 ZFS 文件系统"

加密框架提供了 digestmacencrypt 命令。一般用户可以使用这些命令来保护文件和目录。有关更多信息,请参见第 11 章

使用访问控制列表

ACL(发音为 ackkl)可以提供更多的文件权限控制权。如果传统的 UNIX 文件保护无法提供足够的保护,则可添加 ACL。传统的 UNIX 文件保护可为以下三类用户提供读写和执行权限:所有者、组和其他用户。ACL 可提供更精细的文件安全性。

使用 ACL,您可以定义细粒度文件权限,包括以下权限:

要通过访问控制列表 (access control list, ACL) 保护 ZFS 文件,请参见《Oracle Solaris 11.1 管理:ZFS 文件系统》中的第 7  章 "使用 ACL 和属性保护 Oracle Solaris ZFS 文件"。有关在旧式文件系统上使用 ACL 的详细信息,请参见使用访问控制列表保护 UFS 文件

跨计算机共享文件

网络文件服务器可以控制哪些文件可供共享。网络文件服务器还可以控制有权访问文件的客户机,以及允许这些客户机使用的访问类型。一般情况下,文件服务器可以为所有客户机或特定客户机授予读写访问权限或只读访问权限。通过 share 命令使资源可用时,将会指定访问控制。

创建某个 ZFS 文件系统的 NFS 共享后,该文件系统将永久共享,直到共享被删除为止。SMF 会在系统重新引导后自动管理共享。有关更多信息,请参见《Oracle Solaris 11.1 管理:ZFS 文件系统》中的"Oracle Solaris ZFS 与传统文件系统之间的差别"

限制对共享文件的 root 访问

一般情况下,不允许超级用户对网络中共享的文件系统进行 root 访问。NFS 系统将请求程序的用户更改为用户 ID 为 60001 的用户 nobody,以此防止对挂载的文件系统进行 root 访问。用户 nobody 的访问权限与为公众提供的那些访问权限相同。用户 nobody 具有的访问权限与没有凭证的用户所具有的访问权限相同。例如,如果公众只对某个文件具有执行权限,则用户 nobody 只能执行此文件。

NFS 服务器可以按主机授予对共享文件系统的 root 访问权限。要授予这些特权,请将 share 命令与 root=hostname 选项结合使用。应该谨慎使用此选项。有关 NFS 的安全选项的论述,请参见《在 Oracle Solaris 11.1 中管理网络文件系统》中的第 3  章 "访问网络文件系统(参考信息)"