跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
用于已挂载文件系统的 Trusted Extensions 策略
用于单级别数据集的 Trusted Extensions 策略
用于多级别数据集的 Trusted Extensions 策略
Trusted Extensions 中的 NFS 服务器和客户机配置
在 Trusted Extensions 中更改自动挂载程序
Trusted Extensions 软件和 NFS 协议版本
如何解决 Trusted Extensions 中的挂载故障
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
在 Trusted Extensions 中,共享的文件可以简化管理并能够提高效率和速度。MAC 始终有效。
通过 NFS 从有标签区域共享单级别数据集-如在 Oracle Solaris 中一样,共享的目录可以简化管理。例如,您可以在一个系统上安装 Oracle Solaris 的手册页,并与其他系统共享手册页目录。
通过 LOFS 从全局区域共享多级别数据集-挂载 LOFS 的数据集在将文件从一个标签改为另一个标签时能够提高效率和速度。因为文件是在数据集内部移动的,所以不会使用任何 I/O 操作。
通过 NFS 从全局区域共享多级别数据集-NFS 服务器可将包含使用多个标签的文件的多级别数据集共享给多个客户机。此类配置可简化管理并为文件分发提供一个位置。您无需使用带特定标签的服务器为带该标签的客户机提供服务。
在全局区域中挂载文件与在 Oracle Solaris 中挂载文件相同,均遵守 MAC 策略。从全局区域共享的文件会以文件的标签进行共享。因此,全局区域中的文件系统不能有效与其他 Trusted Extensions 系统的全局区域共享,因为所有文件都会以 ADMIN_LOW 标签进行共享。全局区域中能够有效与其他系统共享的文件是多级别数据集。
单级别数据集中通过 LOFS 从全局区域共享的文件和目录以 ADMIN_LOW 进行共享。例如,全局区域中的 /etc/passwd 和 /etc/shadow 文件可通过 LOFS 方式挂载到系统上的有标签区域。因为文件的标签是 ADMIN_LOW,所以它们在有标签区域中可见且为只读。多级别数据集中的文件和目录可以对象的标签进行共享。
全局区域还可以通过 NFS 共享多级别数据集。在将 NFS 服务配置为使用多级别端口时,客户机可以请求挂载数据集。如果客户机标签位于在 cipso 模板中为网络接口(用于处理客户机的 NFS 挂载请求)指定的标签范围内,则请求成功。
需要特别指出的是,全局区域和已挂载文件的行为如下:
在 Trusted Extensions 客户机上的全局区域中,共享中的每一项均可读,客户机能够在 ADMIN_HIGH 下写入,就像本地全局区域进程一样。
如果客户机是一个有标签区域,则在区域标签与共享文件的标签匹配时,已挂载的文件为可读写文件。
如果客户机是一个无标签系统,则在客户机的指定标签与共享文件的标签匹配时,已挂载的文件为可读写文件。
要与同一系统上的有标签区域共享多级别数据集,全局区域可使用 LOFS。
有关查看 NFS 挂载中的文件并为其重新设置标签的更多信息,请参见挂载来自其他系统的多级别数据集。
有标签区域可与区域标签的其他系统共享其文件。因此,有标签区域中的文件系统可与其他 Trusted Extensions 系统中使用同一标签的区域共享,并且能够与所指定标签和区域标签相同的不可信系统共享。有关在这些挂载中起中介作用的 ZFS 属性的信息,请参见mlslabel 属性和挂载单级别文件系统。
全局区域中的 LOFS 挂载在有标签区域中对单级别数据集为只读。对于多级别数据集,对每个文件和目录标签强制实施 MAC 策略(如MAC 读写策略无特权覆盖中所述)。
ZFS 提供安全标签属性 mlslabel,其中包含数据集中数据的标签。mlslabel 属性是可继承的。当 ZFS 数据集具有显式标签时,数据集无法在没有配置 Trusted Extensions 的 Oracle Solaris 系统上挂载。
如果未定义 mlslabel 属性,则缺省值为字符串 none,表明无标签。
当您在有标签区域中挂载 ZFS 数据集时,将出现以下情况:
如果没有为数据集设置标签,即,未定义 mlslabel 属性,则 mlslabel 属性的值更改为挂载区域的标签。
对于全局区域,不会自动设置 mlslabel 属性。如果显式地为数据集 admin_low 设置标签,则数据集必须以只读方式挂载。
如果为数据集设置了标签,则内核会检验数据集标签是否与挂载区域的标签匹配。如果标签不匹配,除非区域允许向下读取挂载,否则挂载会失败。如果区域允许向下读取挂载,则较低级别的文件系统以只读方式挂载。
要从命令行设置 mlslabel 属性,请键入类似如下的内容:
# zfs set mlslabel=public export/publicinfo
要设置初始标签,或将非缺省标签更改为较高级别的标签,需要 file_upgrade_sl 特权。要删除标签(即,将标签设置为 none),需要 file_downgrade_sl 特权。要将非缺省标签更改为较低级别的标签,也需要该特权。