Geräteschutz (Referenz)

Die Geräte in Oracle Solaris werden durch die Geräterichtlinie geschützt. Die Peripheriegeräte werden durch die Gerätezuordnung geschützt. Die Geräterichtlinie wird durch den Kernel durchgesetzt. Die Gerätezuordnung ist optional aktiviert und wird auf Benutzerebene durchgesetzt.

Befehle der Geräterichtlinie

Mit den Befehlen zur Geräteverwaltung kann die Geräterichtlinie auf lokalen Dateien verwaltet werden. Die Geräterichtlinie kann Berechtigungsanforderungen enthalten. Geräte können nur vom Superuser oder einer Rolle mit ähnlichen Funktionen verwaltet werden.

In der folgenden Tabelle sind die Befehle zur Geräteverwaltung aufgeführt.

Tabelle 4-1 Befehle zur Geräteverwaltung

Befehl	Zweck	Manpage
`devfsadm`	Verwaltet Geräte und Gerätetreiber auf einem ausgeführten System. Die Geräterichtlinie wird ebenfalls geladen. Mit dem Befehl `devfsadm` können Sie nicht verwendete `/dev`-Links auf Festplatten-, Band-, Port-, Audio- und Pseudogeräten bereinigen. Die Geräte für einen benannten Treiber können ebenfalls neu konfiguriert werden.	`devfsadm`(1M)
`getdevpolicy`	Zeigt die Richtlinie an, die mindestens einem Gerät zugewiesen ist. Dieser Befehl kann von allen Benutzern ausgeführt werden.	`getdevpolicy`(1M)
`add_drv`	Fügt einen neuen Gerätetreiber zu einem ausgeführten System hinzu. Enthält Optionen zum Hinzufügen der Geräterichtlinie zum neuen Gerät. Dieser Befehl wird normalerweise in einem Skript aufgerufen, wenn ein Gerätetreiber installiert wurde.	`add_drv`(1M)
`update_drv`	Aktualisiert die Attribute eines vorhandenen Gerätetreibers. Enthält Optionen zum Aktualisieren der Geräterichtlinie für das Gerät. Dieser Befehl wird normalerweise in einem Skript aufgerufen, wenn ein Gerätetreiber installiert wurde.	`update_drv`(1M)
`rem_drv`	Entfernt ein Gerät oder einen Gerätetreiber.	`rem_drv`(1M)

Gerätezuordnung

Durch die Gerätezuordnung kann Ihr Standort vor Datenverlust, Computerviren und anderen Sicherheitsverletzungen geschützt werden. Im Gegensatz zur Geräterichtlinie ist die Gerätezuordnung optional. Geräte können erst zugeordnet werden, nachdem das Skript bsmconv ausgeführt wurde. Die Gerätezuordnung verwendet Autorisierungen, um den Zugriff auf zuordenbare Geräte einzuschränken.

Komponenten der Gerätezuordnung

Der Gerätezuordnungsmechanismus verwendet folgende Komponenten:

Die Befehle allocate, deallocate, dminfo und list_devices. Weitere Informationen erhalten Sie unter Befehle der Gerätezuordnung.
Bereinigungsskripten für die jeweiligen zuordenbaren Geräte

Diese Befehle und Skripten verwenden folgende lokale Dateien für die Implementierung der Gerätezuordnung:

Die Datei /etc/security/device_allocate. Weitere Informationen erhalten Sie auf der Manpage device_allocate(4).
Die Datei /etc/security/device_maps. Weitere Informationen erhalten Sie auf der Manpage device_maps(4).
Eine Sperrdatei im Verzeichnis /etc/security/dev für die jeweiligen zuordenbaren Geräte
Die geänderten Attribute der Sperrdateien, die den jeweiligen zuordenbaren Geräten zugewiesen sind

Hinweis - Das Verzeichnis /etc/security/dev wird in zukünftigen Versionen von Oracle Solaris möglicherweise nicht mehr unterstützt.

Befehle der Gerätezuordnung

Bei den Optionen in Großbuchstaben sind allocate, deallocate und list_devices administrative Befehle. Andernfalls sind es Benutzerbefehle. In der folgenden Tabelle sind die Befehle der Gerätezuordnung aufgeführt.

Tabelle 4-2 Befehle der Gerätezuordnung

Befehl	Zweck	Manpage
`bsmconv`	Erstellt Datenbanken für die Verarbeitung der Gerätezuordnung. Aktiviert ebenfalls den Prüfservice. Sie müssen als Superuser oder mit der Rolle "Primary Administrator" angemeldet sein. `devalloc_adm`: Aktivieren der Zuordenbarkeit von Geräten, sodass einzelne Benutzer ein Gerät für eine private Verwendung zuordnen können. Verhindert die Gerätezuordnung, wodurch die Verwendung von Peripheriegeräten in einem System verhindert wird. Entfernt Geräte aus der Liste der zuordenbaren Geräte Wenn Sie eine Prüfung verwenden möchten, können Sie mit dem Befehl `devalloc_adm` die Gerätezuordnung aktivieren.	`bsmconv`(1M)
`dminfo`	Sucht nach einem zuordenbaren Gerät nach Gerätetyp, Gerätename und vollständigem Pfadnamen	`dminfo`(1M)
`list_devices`	Führt den Status der zuordenbaren Geräte auf Führt alle gerätespezifischen Dateien auf, die einem in der Datei `device_maps` enthaltenen Gerät zugewiesen sind	`list_devices`(1)
`list_devices -U`	Führt die Geräte auf, die einer bestimmten Benutzer-ID zuordenbar oder zugeordnet sind. Mit dieser Option können Sie überprüfen, welche Geräte einem anderen Benutzer zuordenbar oder zugeordnet sind. Sie müssen über die Autorisierung `solaris.device.revoke` verfügen.
`allocate`	Reserviert ein zuordenbares Gerät für die Verwendung durch einen Benutzer Ein Benutzer muss standardmäßig über die Autorisierung `solaris.device.allocate` zum Zuordnen eines Geräts verfügen. Sie können die Datei `device_allocate` so ändern, dass keine Benutzerautorisierung erforderlich ist. Dadurch können alle Benutzer im System die Zuordnung des Geräts für eine Verwendung anfordern.	`allocate`(1)
`deallocate`	Entfernt die Zuordnungsreservierung von einem Gerät	`deallocate`(1)

Autorisierungen für Zuordnungsbefehle

Die Benutzer müssen standardmäßig über die Autorisierung solaris.device.allocate verfügen, um ein zuordenbares Gerät zu reservieren. Weitere Informationen zum Erstellen eines Berechtigungsprofils, das die Autorisierung solaris.device.allocate enthält, finden Sie unter So autorisieren Sie Benutzer für die Zuordnung eines Geräts.

Administratoren müssen über die Autorisierung solaris.device.revoke verfügen, um den Zuordnungsstatus von Geräten zu ändern. Beispielsweise ist für die Option -U der Befehle allocate und list_devices und für die Option -F des Befehls deallocate die Autorisierung solaris.device.revoke erforderlich.

Weitere Informationen erhalten Sie unter Befehle, die Autorisierungen erfordern.

Zuweisungsfehlerstatus

Ein Gerät wird in einen Zuweisungsfehlerstatus versetzt, wenn durch den Befehl deallocate die Zuordnung nicht aufgehoben oder durch den Befehl allocate die Zuordnung nicht durchgeführt werden kann. Wenn ein zuordenbares Gerät in den Zuweisungsfehlerstatus versetzt wird, muss die Aufhebung der Gerätezuordnung erzwungen werden. Nur der Superuser oder eine Rolle mit dem Berechtigungsprofil "Device Management" bzw. "Device Security" kann einen Zuweisungsfehlerstatus verarbeiten.

Durch den Befehl deallocate mit der Option -F wird das Aufheben der Zuordnung erzwungen. Stattdessen können Sie auch durch allocate -U das Gerät einem Benutzer zuweisen. Nach dem Zuordnen des Geräts können Sie die gegebenenfalls auftretenden Fehlermeldungen untersuchen. Wenn Sie die gegebenenfalls aufgetretenen Fehler bei dem Gerät behoben haben, können Sie das Aufheben der Gerätezuordnung erzwingen.

Datei `device_maps`

Geräte-Maps werden erstellt, wenn Sie die Gerätezuordnung einrichten. Eine standardmäßige Datei /etc/security/device_maps wird durch den Befehl bsmconv erstellt, wenn der Prüfservice aktiviert ist. Diese anfängliche Datei device_maps kann für Ihren Standort angepasst werden. Die Datei device_maps enthält Gerätenamen, Gerätetypen und gerätespezifische Dateien, die den jeweiligen zuordenbaren Geräten zugewiesen sind.

Die Datei device_maps definiert die gerätespezifischen Dateizuordnungen für die jeweiligen Geräte, die in den meisten Fällen nicht intuitiv ist. Durch diese Datei können Programme feststellen, welche gerätespezifischen Dateien welchen Geräten zugewiesen sind. Sie können mit dem Befehl dminfo beispielsweise den Gerätenamen, Gerätetyp und die gerätespezifischen Dateien abrufen, um sie beim Einrichten eines zuordenbaren Geräts zu verwenden. Der Befehl dminfo verwendet die Datei device_maps, um diese Informationen zu melden.

Jedes Gerät wird durch einen einzeiligen Eintrag im folgenden Format dargestellt:

device-name:device-type:device-list

Beispiel 4-14 Beispiel des Eintrags device_maps

Das folgende Beispiel zeigt einen Eintrag in der Datei device_maps eines Diskettenlaufwerks (fd0):

fd0:\
        fd:\
        /dev/diskette /dev/rdiskette /dev/fd0a /dev/rfd0a \
/dev/fd0b /dev/rfd0b /dev/fd0c /dev/fd0 /dev/rfd0c /dev/rfd0:\

Zeilen in der Datei device_maps können auf einen umgekehrten Schrägstrich (\) enden, um den Eintrag auf der nächsten Zeile fortzusetzen. Kommentare können ebenfalls enthalten sein. Ein Rautezeichen (#) definiert den gesamten nachfolgenden Text bis zum nächsten Zeilenendezeichen als Kommentar, sofern kein umgekehrter Schrägstrich unmittelbar vor dem Zeilenendezeichen angegeben ist. Vorangestellte und nachgestellte Leerstellen sind in allen Feldern zulässig. Die Felder sind wie folgt definiert:

device-name: Gibt den Namen des Geräts an. Eine Liste der aktuellen Gerätenamen finden Sie unter So zeigen Sie Zuordnungsinformationen zu einem Gerät an.
device-type: Gibt den generischen Gerätetyp an. Der generische Name entspricht dem Namen der Geräteklasse wie st, fd oder audio. Im Feld device-type werden verwandte Geräte logisch gruppiert.
device-list: Führt die gerätespezifischen Dateien auf, die dem physischen Gerät zugewiesen sind. Unter device-list müssen alle spezifischen Dateien aufgeführt sein, die den Zugriff auf ein bestimmtes Gerät ermöglichen. Wenn die Liste unvollständig ist, kann ein böswilliger Benutzer weiterhin private Informationen erhalten oder ändern. Gültige Einträge für das Feld device-list stellen die Gerätedateien dar, die im Verzeichnis /dev enthalten sind.

Datei `device_allocate`

Eine anfängliche Datei /etc/security/device_allocate wird durch den Befehl bsmconv erstellt, wenn der Prüfservice aktiviert wurde. Diese anfängliche Datei device_allocate kann als Ausgangspunkt verwendet werden. Sie können die Datei /etc/security/device_allocate ändern, um die Geräte von zuordenbar in nicht zuordenbar zu ändern oder neue Geräte hinzuzufügen. Im Folgenden sehen Sie eine Beispieldatei device_allocate.

st0;st;;;;/etc/security/lib/st_clean
fd0;fd;;;;/etc/security/lib/fd_clean
sr0;sr;;;;/etc/security/lib/sr_clean
audio;audio;;;*;/etc/security/lib/audio_clean

Ein Eintrag in der Datei device_allocate bedeutet nicht, dass das Gerät zugeordnet werden kann. Dies ist nur der Fall, wenn in dem Eintrag ausdrücklich angegeben ist, dass das Gerät zugeordnet werden kann. Beachten Sie in der Beispieldatei device_allocate das Sternchen (*) im fünften Feld des Audiogeräteintrags. Ein Sternchen im fünften Feld weist das System darauf hin, dass das Gerät nicht zuordenbar ist. Daher kann das Gerät nicht verwendet werden. Andere Werte oder kein Wert in diesem Feld bedeuten, dass das Gerät verwendet werden kann.

In der Datei device_allocate wird jedes Gerät durch einen einzeiligen Eintrag im folgenden Format dargestellt:

device-name;device-type;reserved;reserved;auths;device-exec

Zeilen in der Datei device_allocate können auf einen umgekehrten Schrägstrich (\) enden, um den Eintrag auf der nächsten Zeile fortzusetzen. Kommentare können ebenfalls enthalten sein. Ein Rautezeichen (#) definiert den gesamten nachfolgenden Text bis zum nächsten Zeilenendezeichen als Kommentar, sofern kein umgekehrter Schrägstrich unmittelbar vor dem Zeilenendezeichen angegeben ist. Vorangestellte und nachgestellte Leerstellen sind in allen Feldern zulässig. Die Felder sind wie folgt definiert:

device-name: Gibt den Namen des Geräts an. Eine Liste der aktuellen Gerätenamen finden Sie unter So zeigen Sie Zuordnungsinformationen zu einem Gerät an.
device-type: Gibt den generischen Gerätetyp an. Der generische Name entspricht dem Namen der Geräteklasse wie st, fd und sr. Im Feld device-type werden verwandte Geräte logisch gruppiert. Wenn Sie die Zuordnung für ein Gerät aktivieren, rufen Sie den Gerätenamen aus dem Feld device-type in der Datei device_maps ab.
reserved: Die mit reserved gekennzeichneten Felder werden für eine spätere Verwendung von Oracle reserviert.
auths: Gibt an, ob das Gerät zugeordnet werden kann. Ein Sternchen (*) in diesem Feld bedeutet, dass das Gerät nicht zugeordnet werden kann. Eine Autorisierungszeichenfolge oder ein leeres Feld bedeutet, dass das Gerät zugeordnet werden kann. Beispielsweise bedeutet die Zeichenfolge solaris.device.allocate im Feld auths, dass die Autorisierung solaris.device.allocate für die Gerätezuordnung erforderlich ist. Ein At-Zeichen (@) in dieser Datei weist darauf hin, dass das Gerät von allen Benutzern zugeordnet werden kann.
device-exec: Gibt den Pfadnamen eines Skripts an, das für eine spezielle Verarbeitung aufgerufen werden soll, beispielsweise Bereinigung und Objektwiederverwendungsschutz während der Zuordnung. Das Skript device-exec wird ausgeführt, wenn das Gerät durch den Befehl deallocate verwendet wird.

Beispielsweise gibt der folgende Eintrag für das Gerät sr0 an, dass das CD-ROM-Laufwerk durch einen Benutzer mit der Autorisierung solaris.device.allocate zugeordnet werden kann:

sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean

Sie können die Standardgeräte und die zugehörigen definierten Merkmale übernehmen. Nach dem Installieren neuer Geräte können Sie die Einträge ändern. Alle Geräte, die vor einer Verwendung zugeordnet werden müssen, müssen in den Dateien device_allocate und device_maps für das System dieses Geräts definiert sein. Derzeit können Magnetbandkassetten-, Disketten-, CD-ROM-Laufwerke und Audiochips zugeordnet werden. Diese Gerätetypen verfügen über Bereinigungsskripten.

Hinweis - Xylogics-Bandlaufwerke oder Archivierungsbandlaufwerke verwenden ebenfalls das Skript st_clean, das für SCSI-Geräte verfügbar ist. Sie müssen eigene Bereinigungsskripten für andere Geräte wie Modems, Terminals, Grafiktablette und andere zuordenbare Geräte erstellen. Das Skript muss die Anforderungen für die Objektwiederverwendung für diesen Gerätetyp erfüllen.

Bereinigungsskripten

Die Gerätezuordnung erfüllt einen Teil der Anforderung für die Objektwiederverwendung. Die Bereinigungsskripten entsprechen der Sicherheitsanforderung, dass vor der Wiederverwendung alle verwendbaren Daten von einem physischen Laufwerk gelöscht werden müssen. Die Daten werden gelöscht, bevor das Gerät einem anderen Benutzer zugeordnet werden kann. Für Magnetbandkassetten-, Disketten-, CD-ROM-Laufwerke und Audiogeräte sind standardmäßig Bereinigungsskripten erforderlich. Oracle Solaris stellt diese Skripten zur Verfügung. In diesem Abschnitt wird der Verwendungszweck von Bereinigungsskripten beschrieben.

Bereinigungsskript für Bandlaufwerke

Das Bereinigungsskript st_clean unterstützt drei Bandgeräte:

¼-Zoll-SCSI-Band
¼-Zoll-Archivierungsband
½-Zoll-Tonband

Das Skript st_clean verwendet die Option rewoffl für den Befehl mt, um das Gerät zu bereinigen. Weitere Informationen erhalten Sie auf der Manpage mt(1). Wenn das Skript beim Booten des Systems ausgeführt wird, stellt es fest, ob das Gerät online ist. Wenn das Gerät online ist, stellt das Skript fest, ob Datenträger im Gerät enthalten sind. Die ¼-Zoll-Bandgeräte, in denen Datenträger enthalten sind, werden in den Zuweisungsfehlerstatus versetzt. Durch den Zuweisungsfehlerstatus muss der Administrator das Gerät manuell bereinigen.

Wenn während des normalen Systembetriebs der Befehl deallocate im interaktiven Modus ausgeführt wird, wird der Benutzer aufgefordert, den Datenträger zu entfernen. Das Aufheben der Zuordnung wird verzögert, bis der Datenträger aus dem Gerät entfernt wurde.

Bereinigungsskripten für Disketten- und CD-ROM-Laufwerke

Die folgenden Bereinigungsskripten werden für Disketten- und CD-ROM-Laufwerke zur Verfügung gestellt:

fd_clean (Skript): Ist ein Bereinigungsskript für Diskettenlaufwerke
sr_clean (Skript): Ist ein Bereinigungsskript für CD-ROM-Laufwerke

Die Skripten verwenden den Befehl eject, um den Datenträger aus dem Laufwerk zu entfernen. Wenn der Befehl eject fehlschlägt, wird das Gerät in den Zuweisungsfehlerstatus versetzt. Weitere Informationen finden Sie auf der Manpage eject(1).

Bereinigungsskript für Audio

Audiogeräte werden mit einem audio_clean-Skript bereinigt. Das Skript führt einen AUDIO_GETINFO-ioctl-Systemaufruf durch, um das Gerät zu lesen. Anschließend führt das Skript einen AUDIO_SETINFO-ioctl-Systemaufruf durch, um die Gerätekonfiguration auf die Standardeinstellung zurückzusetzen.

Erstellen neuer Bereinigungsskripten

Wenn Sie weitere zuordenbare Geräte zum System hinzufügen, müssen Sie möglicherweise eigene Bereinigungsskripten erstellen. Der Befehl deallocate leitet einen Parameter an die Bereinigungsskripten weiter. Der im Folgenden gezeigte Parameter besteht aus einer Zeichenfolge, die den Gerätenamen enthält. Weitere Informationen erhalten Sie auf der Manpage device_allocate(4).

clean-script -[I|i|f|S] device-name

Bereinigungsskripten müssen 0 für eine erfolgreiche Durchführung und einen Wert höher als 0 für eine fehlerhafte Durchführung zurückgeben. Die Optionen -I, -f und -S bestimmen den Ausführungsmodus des Skripts:

-I: Wird nur während beim Booten des Systems benötigt. Die gesamte Ausgabe muss an die Systemkonsole erfolgen. Wenn ein Fehler auftritt oder das Auswerfen des Datenträgers nicht erzwungen werden kann, muss das Gerät in den Zuweisungsfehlerstatus versetzt werden.
-i: Ähnlich wie die Option -I, mit der Ausnahme, dass die Ausgabe unterdrückt wird
-f: Entspricht einer erzwungenen Bereinigung. Die Option ist interaktiv und geht davon aus, dass der Benutzer auf Eingabeaufforderungen reagieren kann. Durch ein Skript mit dieser Option muss die Bereinigung abgeschlossen werden, wenn ein Teil der Bereinigung fehlschlägt.
-S: Entspricht einer standardmäßigen Bereinigung. Die Option ist interaktiv und geht davon aus, dass der Benutzer auf Eingabeaufforderungen reagieren kann.

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Sicherheitsservices