跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
在 Trusted Extensions 中共享和挂载文件系统的结果
Trusted Extensions 中的 NFS 服务器和客户机配置
在 Trusted Extensions 中更改自动挂载程序
Trusted Extensions 软件和 NFS 协议版本
如何解决 Trusted Extensions 中的挂载故障
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
虽然 Trusted Extensions 和 Oracle Solaris 支持相同的文件系统和文件系统管理命令,但 Trusted Extensions 中的已挂载文件系统遵守用于查看和修改有标签数据的强制访问控制 (mandatory access control, MAC) 策略。挂载策略和读写策略会强制实施 MAC 策略以进行标记。
对于单级别数据集,挂载策略会阻止任何不符合 MAC 的 NFS 挂载或 LOFS 挂载。例如,区域的标签必须能够支配其已挂载的所有文件系统的标签,而且只能使用读写权限挂载带同等标签的文件系统。属于其他区域或 NFS 服务器的任意共享文件系统均使用其所有者的标签进行挂载。
下面汇总了挂载 NFS 的单级别数据集的行为:
在有标签区域中,可以查看其标签等于或低于区域标签的所有已挂载文件,但只能修改使用区域标签的文件。
在不可信系统上,只能查看和修改有标签区域中其标签与不可信系统的指定标签相同的文件系统。
对于已挂载 LOFS 的单级别数据集,可查看已挂载的文件。它们使用 ADMIN_LOW 标签,因此不能修改。
对于多级别数据集,会以文件和目录粒度(而不是文件系统粒度)强制实施 MAC 读写策略。
多级别数据集只能挂载在全局区域中。有标签区域只能通过使用 zonecfg 命令指定的 LOFS 挂载点访问多级别数据集。有关过程,请参见如何创建和共享多级别数据集。全局区域或有标签区域中具有适当特权的进程能够对文件和目录重新设置标签。有关重新设置标签的示例,请参见《Trusted Extensions 用户指南》。
在全局区域中,可以查看多级别数据集中的所有文件。可以修改标记有 ADMIN_HIGH 的已挂载文件。
在有标签区域中,可通过 LOFS 挂载多级别数据集。可查看与区域具有相同标签或级别低于区域标签的已挂载文件。可以修改与区域具有相同标签的已挂载文件。
多级别数据集还可以通过 NFS 从全局区域进行共享。远程客户机可以查看受其网络标签支配的文件,修改具有相同标签的文件。但是,无法为已挂载 NFS 的多级别数据集重新设置标签。有关 NFS 挂载的信息,请参见挂载来自其他系统的多级别数据集。
有关更多信息,请参见需要为文件重新设置标签的多级别数据集。
用于读取和写入文件的 MAC 策略无特权覆盖。如果区域的标签与单级别数据集的标签相同,则只能以读写方式挂载这些数据集。对于只读挂载,区域标签必须支配数据集标签。对于多级别数据集,所有文件和目录必须由 mlslabel 属性支配,此属性的缺省值为 ADMIN_HIGH。对于多级别数据集,强制在文件和目录级别下实施 MAC 策略。MAC 策略强制实施对所有用户均不可见。用户必须对对象具有 MAC 访问权限,才能看到此对象。
下面汇总了 Trusted Extensions 中适用于单级别数据集的共享和挂载策略:
为了使 Trusted Extensions 系统在其他 Trusted Extensions 系统上挂载文件系统,服务器和客户机必须具有 cipso 类型的兼容远程主机模板。
为了使 Trusted Extensions 系统从不可信系统挂载文件系统,Trusted Extensions 系统指定给不可信系统的单一标签必须匹配全局区域的标签。
同样,为了使有标签区域从不可信系统挂载文件系统,Trusted Extensions 系统指定给不可信系统的单一标签必须匹配有挂载区域的标签。
可以查看,但是不能修改使用 LOFS 挂载且其标签随挂载区域而异的文件。有关 NFS 挂载的详细信息,请参见Trusted Extensions 中的 NFS 服务器和客户机配置。
下面汇总了 Trusted Extensions 中适用于多级别数据集的共享和挂载策略:
对于要与其他系统共享多级别数据集的 Trusted Extensions 系统,NFS 服务器必须配置为多级别服务。
对于要与自身系统上有标签区域共享多级别数据集的 Trusted Extensions 系统,全局区域必须通过 LOFS 方式将数据集挂载到区域中。
有标签区域对其标签与区域标签匹配的那些已挂载 LOFS 的文件和目录具有写入访问权限,对其支配的文件和目录具有读取访问权限。强制在单个文件和目录级别下实施 MAC 策略。