跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
用于已挂载文件系统的 Trusted Extensions 策略
用于单级别数据集的 Trusted Extensions 策略
用于多级别数据集的 Trusted Extensions 策略
在 Trusted Extensions 中共享和挂载文件系统的结果
Trusted Extensions 中的 NFS 服务器和客户机配置
在 Trusted Extensions 中更改自动挂载程序
Trusted Extensions 软件和 NFS 协议版本
如何解决 Trusted Extensions 中的挂载故障
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
多级别 ZFS 数据集设计用于包含使用不同标签的文件和目录。每个文件和目录都带有各自的标签,可以在不移动或复制文件的情况下更改这些标签。可在数据集的标签范围内为文件重新设置标签。要创建和共享多级别数据集,请参见如何创建和共享多级别数据集。
通常,数据集中的所有文件和目录的标签与其中挂载此数据集的区域的标签相同。当数据集首次挂载到此区域时,会在名为 mlslabel 的 ZFS 属性中自动记录此标签。这些数据集是有标签的单级别数据集。在挂载数据集时,无法更改 mlslabel 属性,即挂载区域无法更改 mlslabel 属性。
设置 mlslabel 属性后,区域的标签必须与数据集的 mlslabel 属性匹配,才能以读写方式将此数据集挂载到此区域中。此外,如果数据集当前已挂载到任何区域(包括全局区域),则它无法挂载到其他任何区域。因为有标签单级别数据集中文件的标签是固定的,所以在使用 setlabel 命令为文件重新设置标签时,此文件实际上会移动到主区域中与目标标签对应的等效路径名中。这种跨区域移动效率可能会很低,并且可能造成混乱。多级别数据集可为重新设置数据标签提供有效的容器。
对于在全局区域中挂载的多级别数据集,mlslabel 属性的缺省值为 ADMIN_HIGH。此值指定数据集的标签范围上界。如果指定较低级别的标签,则只能从其标签受 mlslabel 属性支配的区域写入到数据集。
具有 "Object Label Management"(对象标签管理)权限配置文件的用户或角色使用适当特权升级或降级他们对其具有 DAC 访问权限的文件或目录。有关过程,请参见如何允许用户更改数据的安全级别。
对于用户进程,还适用其他策略约束。
缺省情况下,在有标签区域中,无任何进程能够为文件或目录重新设置标签。要启用标签重新设置,请参见如何在有标签区域中允许重新为文件设置标签。要指定更高粒度的控制(例如,允许降级文件但不允许升级文件),请参见示例 13-5。
只有目录为空时才可以为其重新设置标签。
文件和目录要降级到的标签级别不能低于其所含目录的标签级别。
要重新设置标签,首先将文件移动到较低级别的目录,然后为其重新设置标签。
挂载数据集的区域不能将文件或目录升级到区域标签之上。
如果文件当前已由任何区域中的一个进程打开,则无法为其重新设置标签。
文件和目录不能升级到数据集的 mlslabel 值之上。
全局区域可通过 NFS 与 Trusted Extensions 系统和无标签系统共享多级别数据集。数据集可在全局区域和有标签区域中及使用指定标签的无标签系统中挂载。例外情况为 ADMIN_LOW 无标签系统。它无法挂载多级别数据集。
使用级别低于 ADMIN_HIGH 的标签创建多级别数据集时,可在另一个 Trusted Extensions 系统的全局区域中挂载该数据集,但在该全局区域中只能查看文件,不能修改文件。有标签区域 NFS 挂载来自其他系统的全局区域的多级别数据集时,会存在一些限制。
一些限制适用于已挂载 NFS 的多级别数据集。
Trusted Extensions NFS 客户机仅能看到可写入的文件的正确标签。getlabel 命令将较低级别文件的标签错误报告为客户机的标签。MAC 策略有效,因此文件保持只读状态,较高级别文件不可见。
NFS 服务器忽略客户机可能具有的任何特权。
由于这些限制,对要从其自己的全局区域中获得处理的有标签区域客户机,最好使用 LOFS。NFS 适用于这些客户机,但它们具有一些限制。有关 LOFS 挂载过程,请参见如何创建和共享多级别数据集。