跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
设备策略可限制或禁止访问属于系统一部分的设备。策略是在内核中实施的。
以下任务列表列出了与设备策略相关的设备配置过程。
|
% getdevpolicy | more DEFAULT read_priv_set=none write_priv_set=none ip:* read_priv_set=net_rawaccess write_priv_set=net_rawaccess …
示例 5-1 查看特定设备的设备策略
此示例显示了三个设备的设备策略。
% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/bge /dev/allkmem read_priv_set=all write_priv_set=all /dev/ipsecesp read_priv_set=sys_net_config write_priv_set=sys_net_config /dev/bge read_priv_set=net_rawaccess write_priv_set=net_rawaccess
缺省情况下,as 审计类包括 AUE_MODDEVPLCY 审计事件。
开始之前
您必须是指定有 Audit Configuration(审计配置)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
# auditconfig -getflags current-flags # auditconfig -setflags current-flags,as
有关详细说明,请参见如何预选审计类。
检索 Oracle Solaris IP MIB-II 信息的应用程序应该打开 /dev/arp,而不是 /dev/ip。
% getdevpolicy /dev/ip /dev/arp /dev/ip read_priv_set=net_rawaccess write_priv_set=net_rawaccess /dev/arp read_priv_set=none write_priv_set=none
请注意,读写 /dev/ip 需要具有 net_rawaccess 特权,而 /dev/arp 不需要特权。
此方法不需要特权,它等同于打开 /dev/ip 并推送 arp、tcp 和 udp 模块。现在,由于打开 /dev/ip 需要特权,因此 /dev/arp 是首选方法。