JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris 11.1 管理:安全服务     Oracle Solaris 11.1 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分安全性概述

1.  安全性服务(概述)

第 2 部分系统、文件和设备安全性

2.  管理计算机安全性(概述)

3.  控制对系统的访问(任务)

4.  病毒扫描服务(任务)

5.  控制对设备的访问(任务)

配置设备策略(任务)

配置设备策略(任务列表)

如何查看设备策略

如何审计设备策略的更改

如何从 /dev/* 设备检索 IP MIB-II 信息

管理设备分配(任务)

管理设备分配(任务列表)

如何启用设备分配

如何授权用户分配设备

如何查看有关设备的分配信息

如何强制分配设备

如何强制取消分配设备

如何更改可分配的设备

如何审计设备分配

分配设备(任务)

如何分配设备

如何挂载分配的设备

如何取消分配设备

设备保护(参考信息)

设备策略命令

设备分配

设备分配的组成部分

设备分配服务

设备分配权限配置文件

设备分配命令

分配错误状态

device_maps 文件

device_allocate 文件

设备清除脚本

6.  使用 BART 验证文件完整性(任务)

7.  控制对文件的访问(任务)

第 3 部分角色、权限配置文件和特权

8.  使用角色和特权(概述)

9.  使用基于角色的访问控制(任务)

10.  Oracle Solaris 中的安全属性(参考信息)

第 4 部分加密服务

11.  加密框架(概述)

12.  加密框架(任务)

13.  密钥管理框架

第 5 部分验证服务和安全通信

14.  使用可插拔验证模块

15.  使用 安全 Shell

16.  安全 Shell(参考信息)

17.  使用简单验证和安全层

18.  网络服务验证(任务)

第 6 部分Kerberos 服务

19.  Kerberos 服务介绍

20.  规划 Kerberos 服务

21.  配置 Kerberos 服务(任务)

22.  Kerberos 错误消息和故障排除

23.  管理 Kerberos 主体和策略(任务)

24.  使用 Kerberos 应用程序(任务)

25.  Kerberos 服务(参考信息)

第 7 部分在 Oracle Solaris 中审计

26.  审计(概述)

27.  规划审计

28.  管理审计(任务)

29.  审计(参考信息)

词汇表

索引

管理设备分配(任务)

在需要额外的设备安全层的站点上通常会实施设备分配。通常,用户必须具有授权才能访问可分配设备。

管理设备分配(任务列表)

以下任务列表列出了启用和配置设备分配以及对其进行故障排除的过程。缺省情况下,设备分配处于禁用状态。启用设备分配后,请参见分配设备(任务)以获取有关分配设备的说明。

任务
说明
参考
使设备可分配。

禁用设备分配。

使设备可以一次分配给一个用户。

删除所有设备中的分配限制。

授予用户分配设备的授权。
向用户指定设备分配授权。
查看系统上的可分配设备。
列出可分配的设备及其状态。
强制分配设备。
将设备分配给有即时需要的用户。
强制取消设备分配。
取消当前分配给用户的设备的分配。
更改设备的分配属性。
更改分配设备的要求。
审计设备分配。
在审计迹中记录设备分配
创建设备清除脚本。
清除物理设备中的数据。

如何启用设备分配

开始之前

您必须是指定有 Device Security(设备安全)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限

  1. 启用设备分配服务,并验证是否已启用此服务。
    # svcadm enable svc:/system/device/allocate
    # svcs -x allocate
    svc:/system/device/allocate:default (device allocation)
     State: online since September 10, 2011 01:10:11 PM PDT
       See: allocate(1)
       See: deallocate(1)
       See: list_devices(1)
       See: device_allocate(1M)
       See: mkdevalloc(1M)
       See: mkdevmaps(1M)
       See: dminfo(1M)
       See: device_maps(4)
       See: /var/svc/log/system-device-allocate:default.log
    Impact: None.
  2. 要禁用设备分配服务,请使用 disable 子命令。
    # svcadm disable device/allocate

如何授权用户分配设备

开始之前

您必须是指定有 User Security(用户安全)权限配置文件的管理员。您的权限配置文件必须包含 solaris.auth.delegate 授权。有关更多信息,请参见如何使用指定给您的管理权限

  1. 创建包含适当授权和命令的权限配置文件。

    通常,您会创建一个包括 solaris.device.allocate 授权的权限配置文件。请按照如何创建权限配置文件中的说明操作。为权限配置文件指定相应的属性,例如:

    • 权限配置文件名称:Device Allocation(设备分配)

    • 授予的授权:solaris.device.allocate

    • 具有特权的命令:mount 具有 sys_mount 特权,而 umount 具有 sys_mount 特权

  2. 可选创建权限配置文件的角色。

    请按如何创建角色中的说明操作。使用以下角色属性作为指南:

    • 角色名称:devicealloc

    • 角色全名:Device Allocator(设备分配器)

    • 角色说明:Allocates and mounts allocated devices(分配并挂载已分配的设备)

    • 权限配置文件:Device Allocation(设备分配)

      此权限配置文件必须是该角色包含的配置文件列表中的第一个。

  3. 将权限配置文件指定给经授权的用户或经授权的角色。
  4. 向用户讲授如何使用设备分配。

    有关分配可移除介质的示例,请参见如何分配设备

如何查看有关设备的分配信息

开始之前

已完成如何启用设备分配

您必须是指定有 Device Security(设备安全)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限

故障排除

如果 list_devices 命令返回了类似以下内容的错误消息,则表示设备分配未启用,或者您没有足够的权限来检索信息。

list_devices: No device maps file entry for specified device.

要使此命令成功执行,请启用设备分配并承担具有 solaris.device.revoke 授权的角色。

如何强制分配设备

可在某个用户忘记取消分配设备时使用强制分配,也可在用户即时需要设备时使用强制分配。

开始之前

您必须是指定有 solaris.device.revoke 授权的管理员。有关更多信息,请参见如何使用指定给您的管理权限

  1. 确定您在您的角色中是否具有相应授权。
    $ auths
    solaris.device.allocate solaris.device.revoke
  2. 将设备强制分配给需要设备的用户。

    在此示例中,将 USB 驱动器强制分配给了用户 jdoe

    $ allocate -U jdoe

如何强制取消分配设备

进程终止或用户注销之后,不会自动取消分配用户已分配的设备。用户忘记取消分配设备时,应使用强制取消分配。

开始之前

您必须是指定有 solaris.device.revoke 授权的管理员。有关更多信息,请参见如何使用指定给您的管理权限

  1. 确定您在您的角色中是否具有相应授权。
    $ auths
    solaris.device.allocate solaris.device.revoke
  2. 强制取消分配设备。

    在此示例中,强制取消分配了打印机。现在,打印机可供其他用户分配了。

    $ deallocate -f /dev/lp/printer-1

如何更改可分配的设备

开始之前

必须启用设备分配,此过程才会成功。要启用设备分配,请参见如何启用设备分配。您必须承担 root 角色。

示例 5-2 允许任何用户分配设备

在以下示例中,系统上的任何用户都可以分配任何设备。device_allocate 文件中每个设备项的第五个字段都已更改为一个 at 符号 (@)。

# pfedit /etc/security/device_allocate
audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean
…

示例 5-3 禁止使用某些外围设备

在以下示例中,不能使用音频设备。device_allocate 文件中音频设备项的第五个字段已更改为一个星号 (*)。

# pfedit /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean
…

示例 5-4 禁止使用所有外围设备

在以下示例中,不能使用任何外围设备。device_allocate 文件中每个设备项的第五个字段都已更改为一个星号 (*)。

# pfedit /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean
…

如何审计设备分配

缺省情况下,设备分配命令在 other 审计类中。

开始之前

您必须是指定有 Audit Configuration(审计配置)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限