其他 Trusted Extensions 配置任务

请告诉我们如何提高我们的文档：

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。您是否愿意参与我们的内容改进并提供进一步的意见？

对于配置 Trusted Extensions 系统以满足要求，以下任务很有用。通过最后一项任务，可以将 Trusted Extensions 功能从 Oracle Solaris 系统中删除。

任务	说明	参考
通知用户站点是否安全。	在登录时显示一条安全消息。	《Oracle Solaris 11 安全准则》中的"如何在标题文件中放置安全消息" 《Oracle Solaris 11 安全准则》中的"如何在桌面登录屏幕中放置安全消息"
创建一个有标签区域，以包含使用与现有区域标签相同的标签运行的服务。	使用与主区域标签相同的标签创建辅助区域。	如何创建有标签辅助区域
创建数据集以保存所有标签下的目录和文件。	创建并挂载一个重新设置文件标签开销最低的数据集。	如何创建和共享多级别数据集
在每个标签下创建一个起始目录服务器。	创建多个起始目录服务器，每个标签对应一个起始目录服务器。或者，创建多级别起始目录服务器。	如何在 Trusted Extensions 中创建起始目录服务器
创建可以承担角色的初始用户。	创建在承担角色时可以担负系统管理职责的可信用户。	如何在 Trusted Extensions 中创建可以承担角色的用户
删除 Trusted Extensions。	从系统中删除 Trusted Extensions 和所有可信数据。此外，使系统做好在没有 Trusted Extensions 的情况下运行 Oracle Solaris 的准备。	如何从系统中删除 Trusted Extensions

如何创建有标签辅助区域

有标签辅助区域可用于将服务隔离在不同区域中，但仍允许服务使用同一标签运行。有关更多信息，请参见有标签主区域和有标签辅助区域。

开始之前

主区域必须存在。辅助区域必须具有专用 IP 地址，并且不能要求使用桌面。

您必须在全局区域中承担 root 角色。

创建辅助区域。
您可以使用命令行或 txzonemgr 有标签区域 GUI。
- 使用命令行。
```
# tncfg -z secondary-label-service primary=no
# tncfg -z secondary-label-service label=public
```
- 使用 txzonemgr。
```
# txzonemgr &
```
  导航至创建新区域的菜单（或选项），然后按照提示执行操作。
  
  注 - 必须以前缀形式输入网络掩码。例如，255.255.254.0 网络掩码要求使用 23 前缀。

验证区域是否是辅助区域。

# tncfg -z zone info primary
    primary=no

示例 4-6 为公共脚本创建区域

在以下示例中，管理员隔离出一个用于运行脚本和批处理作业的公共区域。

# tncfg -z public-scripts primary=no
# tncfg -z public-scripts label=public

如何创建和共享多级别数据集

当降级或升级信息时，多级别数据集是很有用的容器。有关更多信息，请参见需要为文件重新设置标签的多级别数据集。对于多级别 NFS 文件服务器为大量 NFS 客户机提供使用许多标签的文件，多级别数据集也很有用。

开始之前

要创建多级别数据集，您必须在全局区域中承担 root 角色。

创建多级别数据集。
```
# zfs create -o mountpoint=/multi -o multilevel=on rpool/multi
```
rpool/multi 是在全局区域的 /multi 上挂载的多级别数据集。
要限制数据集的上限标签范围，请参见示例 4-7。
验证是否已挂载多级别数据集以及挂载点是否具有 ADMIN_LOW 标签。
```
# getlabel /multi
/multi: ADMIN_LOW
```

保护父文件系统。

为池中的所有文件系统将以下 ZFS 属性设置为 off：

# zfs set devices=off rpool/multi
# zfs set exec=off rpool/multi
# zfs set setuid=off rpool/multi

可选设置池的压缩属性。
通常，压缩是在 ZFS 中的文件系统级别设置的。但是，由于此池中的所有文件系统都是数据文件，因此会在顶级数据集为池设置压缩。
```
# zfs set compression=on rpool/multi
```
另请参见《Oracle Solaris 11.1 管理：ZFS 文件系统》中的"ZFS 压缩、重复数据删除和加密属性之间的交互"。

为要包含在多级别数据集中的每个标签创建顶层目录。

# cd /multi
# mkdir public internal
# chmod 777 public internal
# setlabel PUBLIC public
# setlabel "CNF : INTERNAL" internal

使用 LOFS 在已批准具有访问权限的每个有标签区域中挂载多级别数据集。
例如，以下 zonecfg 命令系列可在 public 区域中挂载数据集。
```
# zonecfg -z public
zonecfg:public> add fs
zonecfg:public:fs> set dir=/multi
zonecfg:public:fs> set special=/multi
zonecfg:public:fs> set type=lofs
zonecfg:public:fs> end
zonecfg:public> exit
```
多级别数据集允许在与挂载区域标签相同的标签处写入文件以及读取较低级别的文件。可以查看和设置挂载文件的标签。
要使用 NFS 与其他系统共享多级别数据集，请执行以下操作：
1. 将全局区域中的 NFS 服务设置成多级别服务。
```
# tncfg -z global add mlp_private=2049/tcp
# tncfg -z global add mlp_private=111/udp
# tncfg -z global add mlp_private=111/tcp
```
2. 重新启动 NFS 服务。
```
# svcadm restart nfs/server
```
3. 共享多级别数据集。
```
# share /multi
```
已挂载 NFS 的多级别数据集允许在与挂载区域标签相同的标签处写入文件以及读取较低级别的文件。无法可靠地查看或设置已挂载文件的标签。有关更多信息，请参见挂载来自其他系统的多级别数据集。

示例 4-7 使用低于 ADMIN_HIGH 的最高级别标签创建多级别数据集

在以下示例中，管理员将使用低于缺省值 ADMIN_HIGH 的上界标签或最高级别标签创建多级别数据集。创建数据集时，管理员在 mslabel 属性中指定标签上界。此上界可阻止全局区域进程在多级别数据集中创建任何文件或目录。只有有标签区域才能在数据集中创建目录和文件。由于 multilevel 属性为 on，因此 mlslabel 属性会为单标签数据集设置上界而非标签。

# zfs create -o mountpoint=/multiIUO -o multilevel=on \
-o mlslabel="CNF : INTERNAL" rpool/multiIUO

然后，管理员登录到每个有标签区域，在已挂载数据集中以该标签创建目录。

# zlogin public 
# mkdir /multiIUO
# chmod 777 /multiIUO
# zlogin internal 
# mkdir /multiIUO
# chmod 777 /multiIUO

重新引导区域后，多级别数据集以挂载区域的标签对已授权用户可见。

接下来的步骤

要使用户能够对文件重新设置标签，请参见如何在有标签区域中允许重新为文件设置标签。

有关重新设置文件标签的说明，请参见《Trusted Extensions 用户指南》中的"如何升级多级别数据集中的数据"和《Trusted Extensions 用户指南》中的"如何降级多级别数据集中的数据"。

如何在 Trusted Extensions 中将文件复制到便携介质

复制到便携介质时，使用信息的敏感标签来标记介质。

注 - 在 Trusted Extensions 配置期间，root 角色可能会使用便携介质将 label_encodings 文件传输到所有系统。使用 Trusted Path（可信路径）标记介质。

开始之前

要复制管理文件，您必须在全局区域中承担 root 角色。

分配相应的设备。
使用 Device Manager（设备管理器），然后插入一个干净的介质。有关详细信息，请参见《Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中分配设备"。
文件浏览器将显示干净介质的内容。
打开另外一个文件浏览器。
导航到要复制的文件所在的文件夹。
对于每个文件，执行以下操作：
1. 突出显示文件的图标。
2. 将文件拖到便携介质的文件浏览器中。
对设备取消分配。
有关详细信息，请参见《Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中对设备取消分配"。
在便携介质的文件浏览器上，从 "File"（文件）菜单中选择 "Eject"（弹出）。
注 - 请记住在包含所复制文件敏感标签的介质上粘上一个实体标签。

示例 4-8 使所有系统上的配置文件保持相同

系统管理员需要确保每个系统都配置了相同的设置。因此，在配置的第一个系统中，管理员将创建一个在重新引导后不能被删除的目录。在该目录中，管理员将放入必须在所有系统上相同或非常相似的文件。

例如，管理员将针对该站点修改 policy.conf 文件、缺省 login 和 passwd 文件。因此，管理员将以下文件复制到永久性目录。

# mkdir /export/commonfiles
# cp  /etc/security/policy.conf \
# cp  /etc/default/login \
# cp  /etc/default/passwd \
# cp  /etc/security/tsol/label_encodings \
/export/commonfiles

管理员使用 Device Manager（设备管理器）在全局区域中分配 CD-ROM，将文件传输到 CD，并粘贴 Trusted Path（可信路径）标签。

如何在 Trusted Extensions 中从便携介质复制文件

安全的做法是替换文件之前，先重命名原始 Trusted Extensions 文件。在配置系统时，root 角色会重命名和复制管理文件。

开始之前

要复制管理文件，您必须在全局区域中承担 root 角色。

分配相应的设备。
有关详细信息，请参见《Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中分配设备"。
文件浏览器将显示内容。
插入包含管理文件的介质。
如果系统有同名文件，请在原始文件名的基础上组成新名称。
例如，在原始文件末尾加上 .orig：
```
# cp /etc/security/tsol/label_encodings /etc/security/tsol/label_encodings.orig
```
打开一个文件浏览器。
导航到所需的目标目录，如 /etc/security/tsol。
对于要复制的每个文件，执行以下操作：
1. 在挂载介质的文件浏览器中，突出显示文件的图标。
2. 然后，将文件拖至第二个文件浏览器的目标目录中。
对设备取消分配。
有关详细信息，请参见《Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中对设备取消分配"。
系统提示时，弹出并移除介质。

如何从系统中删除 Trusted Extensions

您必须执行特定步骤，才能从 Oracle Solaris 系统中删除 Trusted Extensions 功能。

开始之前

您是全局区域中的 root 角色。

在要保留的有标签区域中对任何数据进行归档。
对于便携介质，将带有区域敏感标签的物理贴纸贴粘到每个归档区域。
从系统中删除有标签区域。
有关详细信息，请参见《Oracle Solaris 11.1 管理：Oracle Solaris Zones、Oracle Solaris 10 Zones 和资源管理》中的"如何删除非全局区域"。
禁用 Trusted Extensions 服务。
```
# svcadm disable labeld
```
可选重新引导系统。
配置系统。
可能需要为您的 Oracle Solaris 系统配置各种服务。可能项包括基本网络、命名服务和文件系统挂裁。

跳过导航链接
退出打印视图
	Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文)