| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
Konfigurieren von Geräten (Übersicht der Schritte)
Konfigurieren der Geräterichtlinie (Übersicht der Schritte)
Konfigurieren der Geräterichtlinie
So zeigen Sie die Geräterichtlinie an
So ändern Sie die Geräterichtlinie auf einem vorhandenen Gerät
So prüfen Sie Änderungen der Geräterichtlinie
So rufen Sie IP MIB-II-Informationen von einem /dev/*-Gerät ab
Verwalten der Gerätezuordnung (Übersicht der Schritte)
So aktivieren Sie die Zuordnung eines Geräts
So autorisieren Sie Benutzer für die Zuordnung eines Geräts
So zeigen Sie Zuordnungsinformationen zu einem Gerät an
Erzwingen der Aufhebung der Gerätezuordnung
So ändern Sie die Zuordenbarkeit von Geräten
So prüfen Sie die Gerätezuordnung
Zuordnen von Geräten (Übersicht der Schritte)
So hängen Sie ein zugeordnetes Gerät ein
So heben Sie die Zuordnung eines Geräts auf
Komponenten der Gerätezuordnung
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Die Geräterichtlinie beschränkt oder verhindert den Zugriff auf integrierte Geräte des Systems. Die Richtlinie wird im Kernel durchgesetzt.
% getdevpolicy | more
DEFAULT
read_priv_set=none
write_priv_set=none
ip:*
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess
…Beispiel 4-1 Anzeigen der Geräterichtlinie eines bestimmten Geräts
Im folgenden Beispiel wird die Geräterichtlinie für drei Geräte angezeigt.
% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/hme
/dev/allkmem
read_priv_set=all
write_priv_set=all
/dev/ipsecesp
read_priv_set=sys_net_config
write_priv_set=sys_net_config
/dev/hme
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess
Die Rolle "Primary Administrator" enthält das Berechtigungsprofil "Device Security". Außerdem können Sie das Berechtigungsprofil "Device Security" einer von Ihnen erstellten Rolle zuweisen. Weitere Informationen zum Erstellen einer Rolle und Zuweisen der Rolle zu einem Benutzer finden Sie unter Beispiel 9-3.
# update_drv -a -p policy device-driver
Gibt policy für device-driver an.
Entspricht der Geräterichtlinie für device-driver. Die Geräterichtlinie gibt zwei Berechtigungssätze an. Ein Satz ist für den Lesezugriff auf das Gerät erforderlich. Der andere Satz wird für den Schreibzugriff auf das Gerät benötigt.
Entspricht dem Gerätetreiber
Weitere Informationen erhalten Sie auf der Manpage update_drv(1M).
Beispiel 4-2 Hinzufügen einer Richtlinie zu einem vorhandenen Gerät
Im folgenden Beispiel wird die Geräterichtlinie zum Gerät ipnat hinzugefügt.
# getdevpolicy /dev/ipnat
/dev/ipnat
read_priv_set=none
write_priv_set=none
# update_drv -a \
-p 'read_priv_set=net_rawaccess write_priv_set=net_rawaccess' ipnat
# getdevpolicy /dev/ipnat
/dev/ipnat
read_priv_set=net_rawaccess
write_priv_set=net_rawaccessBeispiel 4-3 Entfernen einer Richtlinie von einem Gerät
Im folgenden Beispiel wird der für den Lesezugriff benötigte Satz von Berechtigungen von der Geräterichtlinie für das Gerät ipnat entfernt.
# getdevpolicy /dev/ipnat
/dev/ipnat
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess
# update_drv -a -p write_priv_set=net_rawaccess ipnat
# getdevpolicy /dev/ipnat
/dev/ipnat
read_priv_set=none
write_priv_set=net_rawaccess
Die Prüfklasse as enthält standardmäßig das Prüfereignis AUE_MODDEVPLCY.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Fügen Sie die Klasse as zur Zeile flags der Datei audit_control hinzu. Die Ausgabe der Datei sieht ähnlich wie im Folgenden aus:
# audit_control file dir:/var/audit flags:lo,as minfree:20 naflags:lo
Ausführliche Anweisungen erhalten Sie unter So ändern Sie die Datei audit_control.
Von Anwendungen, die Oracle Solaris IP MIB-II-Information abrufen, sollte /dev/arp und nicht /dev/ip geöffnet werden.
% getdevpolicy /dev/ip /dev/arp
/dev/ip
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess
/dev/arp
read_priv_set=none
write_priv_set=noneBeachten Sie, dass die Berechtigung net_rawaccess für den Lese- und Schreibzugriff auf /dev/ip erforderlich ist. Es werden keine Berechtigungen für /dev/arp benötigt.
Hierfür werden keine Berechtigungen benötigt. Diese Methode entspricht dem Öffnen von /dev/ip und Bereitstellen der Module arp, tcp und udp. Da zum Öffnen von /dev/ip nun eine Berechtigung benötigt wird, ist die Methode über /dev/arp vorzuziehen.
|