JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Systemverwaltungshandbuch: Sicherheitsservices
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokument-Informationen

Vorwort

Teil I Übersicht über die Sicherheit

1.  Sicherheitsservices (Überblick)

Teil II System-, Datei- und Gerätesicherheit

2.  Verwalten von Rechnersicherheit (Übersicht)

3.  Steuern des Zugriffs auf Systeme (Aufgaben)

4.  Steuern des Zugriffs auf Geräte (Aufgaben)

Konfigurieren von Geräten (Übersicht der Schritte)

Konfigurieren der Geräterichtlinie (Übersicht der Schritte)

Konfigurieren der Geräterichtlinie

So zeigen Sie die Geräterichtlinie an

So ändern Sie die Geräterichtlinie auf einem vorhandenen Gerät

So prüfen Sie Änderungen der Geräterichtlinie

So rufen Sie IP MIB-II-Informationen von einem /dev/*-Gerät ab

Verwalten der Gerätezuordnung (Übersicht der Schritte)

Verwalten der Gerätezuordnung

So aktivieren Sie die Zuordnung eines Geräts

So autorisieren Sie Benutzer für die Zuordnung eines Geräts

So zeigen Sie Zuordnungsinformationen zu einem Gerät an

Erzwingen der Gerätezuordnung

Erzwingen der Aufhebung der Gerätezuordnung

So ändern Sie die Zuordenbarkeit von Geräten

So prüfen Sie die Gerätezuordnung

Zuordnen von Geräten (Übersicht der Schritte)

Zuordnen von Geräten

So ordnen Sie ein Gerät zu

So hängen Sie ein zugeordnetes Gerät ein

So heben Sie die Zuordnung eines Geräts auf

Geräteschutz (Referenz)

Befehle der Geräterichtlinie

Gerätezuordnung

Komponenten der Gerätezuordnung

Befehle der Gerätezuordnung

Zuweisungsfehlerstatus

Datei device_maps

Datei device_allocate

Bereinigungsskripten

5.  Verwenden von Basic Audit Reporting Tool (Aufgaben)

6.  Steuern des Zugriffs auf Dateien (Aufgaben)

7.  Verwenden von Automated Security Enhancement Tool (Aufgaben)

Teil III Rollen, Berechtigungsprofile und Berechtigungen

8.  Verwenden von Rollen und Berechtigungen (Übersicht)

9.  Rollenbasierte Zugriffssteuerung (Aufgaben)

10.  Rollenbasierte Zugriffssteuerung (Übersicht)

11.  Berechtigungen (Aufgaben)

12.  Berechtigungen (Referenz)

Teil IV Kryptografische Services

13.  Oracle Solaris Cryptographic Framework (Übersicht)

14.  Oracle Solaris Cryptographic Framework (Aufgaben)

15.  Oracle Solaris Key Management Framework

Teil V Authentifizierungsservices und sichere Kommunikation

16.  Verwenden von Authentifizierungsservices (Aufgaben)

17.  Verwenden von PAM

18.  Verwenden von SASL

19.  Verwenden von Oracle Solaris Secure Shell (Aufgaben)

20.  Oracle Solaris Secure Shell (Referenz)

Teil VI Kerberos-Service

21.  Einführung zum Kerberos-Service

22.  Planen des Kerberos-Service

23.  Konfigurieren des Kerberos-Service (Aufgaben)

24.  Kerberos-Fehlermeldungen und -Fehlerbehebung

25.  Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)

26.  Verwenden von Kerberos-Anwendungen (Aufgaben)

27.  Der Kerberos-Service (Referenz)

Teil VII Prüfung bei Oracle Solaris

28.  Prüfung bei Oracle Solaris (Übersicht)

29.  Planen der Oracle Solaris-Prüfung

30.  Verwalten der Oracle Solaris-Prüfung (Aufgaben)

31.  Prüfung bei Oracle Solaris (Referenz)

Glossar

Index

Verwalten der Gerätezuordnung

Die Gerätezuordnung beschränkt oder verhindert den Zugriff auf Peripheriegeräte. Die Beschränkungen werden während der Benutzerzuordnung durchgesetzt. Standardmäßig müssen die Benutzer über eine Autorisierung für den Zugriff auf zuordenbare Geräte verfügen.

So aktivieren Sie die Zuordnung eines Geräts

Wenn Sie den Befehl bsmconv für das Aktivieren der Prüfung ausgeführt haben, ist die Gerätezuordnung bereits auf dem System aktiviert. Weitere Informationen finden Sie auf der Manpage bsmconv(1M).

  1. Nehmen Sie eine Rolle an, die das Berechtigungsprofil "Audit Control" beinhaltet, oder melden Sie sich als Superuser an.

    Die Rolle "Primary Administrator" enthält das Berechtigungsprofil "Audit Control". Außerdem können Sie das Berechtigungsprofil "Audit Control" einer von Ihnen erstellten Rolle zuweisen. Weitere Informationen zum Erstellen einer Rolle und Zuweisen der Rolle zu einem Benutzer finden Sie unter Beispiel 9-3.

  2. Aktivieren Sie die Gerätezuordnung.
    # bsmconv
This script is used to enable the Basic Security Module (BSM).
Shall we continue with the conversion now? [y/n] y
bsmconv: INFO: checking startup file.
bsmconv: INFO: move aside /etc/rc3.d/S81volmgt.
bsmconv: INFO: turning on audit module.
bsmconv: INFO: initializing device allocation files.

The Basic Security Module is ready.
If there were any errors, please fix them now.
Configure BSM by editing files located in /etc/security.
Reboot this system now to come up with BSM enabled.

    Hinweis - Der Dämon für Volume-Management (/etc/rc3.d/S81volmgt) wird durch diesen Befehl deaktiviert.

So autorisieren Sie Benutzer für die Zuordnung eines Geräts

  1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

    Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

  2. Erstellen Sie ein Berechtigungsprofil, das die entsprechende Autorisierung und Befehle enthält.

    Normalerweise erstellen Sie ein Berechtigungsprofil, das die Autorisierung solaris.device.allocate enthält. Befolgen Sie die Anweisungen unter So erstellen oder ändern Sie ein Berechtigungsprofil. Weisen Sie dem Berechtigungsprofil beispielsweise folgende Eigenschaften zu:

    • Berechtigungsprofilname: Device Allocation

    • Gewährte Autorisierungen: solaris.device.allocate

    • Befehle mit Sicherheitsattributen: mount mit der Berechtigung sys_mount und umount mit der Berechtigung sys_mount

  3. Erstellen Sie eine Rolle für das Berechtigungsprofil.

    Befolgen Sie die Anweisungen unter So können Sie eine Rolle mit der GUI erstellen und zuweisen. Die folgenden Rolleneigenschaften dienen zur Orientierung:

    • Rollename: devicealloc

    • Vollständiger Rollenname: Device Allocator

    • Rollenbeschreibung: Allocates and mounts allocated devices

    • Berechtigungsprofil: Device Allocation

      Dieses Berechtigungsprofil muss sich an oberster Stelle in der Liste der Profile befinden, die in der Rolle enthalten sind.

  4. Weisen Sie die Rolle allen Benutzern zu, die über eine Berechtigung zum Zuordnen eines Geräts verfügen.
  5. Erklären Sie den Benutzern die Verwendung der Gerätezuordnung.

    Beispiele für das Zuordnen von Wechseldatenträgern erhalten Sie unter So ordnen Sie ein Gerät zu.

    Da der Dämon für Volume-Management (vold) nicht ausgeführt wird, werden Wechseldatenträger nicht automatisch eingehängt. Beispiele zum Einhängen eines zugeordneten Geräts finden Sie unter So hängen Sie ein zugeordnetes Gerät ein.

So zeigen Sie Zuordnungsinformationen zu einem Gerät an

Bevor Sie beginnen

Die Gerätezuordnung muss aktiviert sein, damit dieses Verfahren erfolgreich durchgeführt wird. Weitere Informationen zum Aktivieren der Gerätezuordnung finden Sie unter So aktivieren Sie die Zuordnung eines Geräts.

  1. Nehmen Sie eine Rolle an, die das Berechtigungsprofil "Device Security" beinhaltet, oder melden Sie sich als Superuser an.

    Die Rolle "Primary Administrator" enthält das Berechtigungsprofil "Device Security". Außerdem können Sie das Berechtigungsprofil "Device Security" einer von Ihnen erstellten Rolle zuweisen. Weitere Informationen zum Erstellen einer Rolle und Zuweisen der Rolle zu einem Benutzer finden Sie unter Beispiel 9-3.

  2. Zeigen Sie die Informationen zu den zuordenbaren Geräten im System an.
    # list_devices device-name

    device-name kann einen der folgenden Werte annehmen:

    • audio[n]: Entspricht einem Mikrofon und Lautsprecher

    • fd[n]: Entspricht einem Diskettenlaufwerk

    • sr[n]: Entspricht einem CD-ROM-Laufwerk

    • st[n]: Entspricht einem Bandlaufwerk

Allgemeine Fehler

Wenn der Befehl list_devices eine Fehlermeldung ähnlich der folgenden zurückgibt, ist entweder die Gerätezuordnung nicht aktiviert oder Sie verfügen nicht über ausreichende Berechtigungen zum Abrufen der Informationen.

list_devices: No device maps file entry for specified device.

Damit der Befehl erfolgreich ausgeführt wird, aktivieren Sie die Gerätezuordnung und nehmen Sie eine Rolle mit der Autorisierung solaris.device.revoke an.

Erzwingen der Gerätezuordnung

Die erzwungene Zuordnung wird verwendet, wenn das Aufheben einer Gerätezuordnung versehentlich nicht durchgeführt wurde. Außerdem kann diese Art der Zuordnung durchgeführt werden, wenn ein Benutzer ein Gerät dringend benötigt.

Bevor Sie beginnen

Der Benutzer oder die Rolle muss über die Autorisierung solaris.device.revoke verfügen.

  1. Bestimmen Sie, ob Ihre Rolle die entsprechenden Autorisierungen enthält.
    $ auths
solaris.device.allocate solaris.device.revoke
  2. Erzwingen Sie die Zuordnung des Geräts zu einem Benutzer, der das Gerät benötigt.

    Im folgenden Beispiel wird die Zuordnung des Bandlaufwerks für den Benutzer jdoe erzwungen.

    $ allocate -U jdoe

Erzwingen der Aufhebung der Gerätezuordnung

Die Zuordnung von Geräten durch einen Benutzer wird nicht automatisch aufgehoben, wenn der Prozess beendet wird oder der Benutzer sich abmeldet. Die erzwungene Aufhebung der Zuordnung wird verwendet, wenn das Aufheben einer Gerätezuordnung versehentlich nicht durchgeführt wurde.

Bevor Sie beginnen

Der Benutzer oder die Rolle muss über die Autorisierung solaris.device.revoke verfügen.

  1. Bestimmen Sie, ob Ihre Rolle die entsprechenden Autorisierungen enthält.
    $ auths
solaris.device.allocate solaris.device.revoke
  2. Erzwingen Sie die Aufhebung der Gerätezuordnung.

    In diesem Beispiel wird die Aufhebung der Druckerzuordnung erzwungen. Der Drucker kann jetzt einem anderen Benutzer zugeordnet werden.

    $ deallocate -f /dev/lp/printer-1

So ändern Sie die Zuordenbarkeit von Geräten

  1. Nehmen Sie eine Rolle an, die das Berechtigungsprofil "Device Security" beinhaltet, oder melden Sie sich als Superuser an.

    Die Rolle "Primary Administrator" enthält das Berechtigungsprofil "Device Security". Außerdem können Sie das Berechtigungsprofil "Device Security" einer von Ihnen erstellten Rolle zuweisen. Weitere Informationen zum Erstellen einer Rolle und Zuweisen der Rolle zu einem Benutzer finden Sie unter Beispiel 9-3.

  2. Geben Sie an, ob eine Autorisierung erforderlich ist, oder geben Sie die Autorisierung solaris.device.allocate an.

    Ändern Sie das fünfte Feld im Geräteeintrag der Datei device_allocate.

    audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean

    Ersetzen Sie solaris.device.allocate durch einen Benutzer, der über die Autorisierung solaris.device.allocate für die Verwendung des Geräts verfügt.

Beispiel 4-4 Zulassen der Gerätezuordnung für alle Benutzer

Im folgenden Beispiel kann die Zuordnung aller Geräte von allen Benutzern im System durchgeführt werden. Das fünfte Feld im Geräteeintrag der Datei device_allocate wurde in ein At-Zeichen (@) geändert.

$ whoami
devicesec
$ vi /etc/security/device_allocate
audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean
…

Beispiel 4-5 Verhindern der Verwendung einiger Peripheriegeräte

Im folgenden Beispiel kann das Audiogerät nicht verwendet werden. Das fünfte Feld im Audiogeräteintrag der Datei device_allocate wurde in ein Sternchen (*) geändert.

$ whoami
devicesec
$ vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean
…

Beispiel 4-6 Verhindern der Verwendung aller Peripheriegeräte

Im folgenden Beispiel kann kein Peripheriegerät verwendet werden. Das fünfte Feld in allen Geräteeinträgen der Datei device_allocate wurde in ein Sternchen (*) geändert.

$ whoami
devicesec
$ vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean
…

So prüfen Sie die Gerätezuordnung

Die Befehle für die Gerätezuordnung sind standardmäßig in der Prüfklasse other enthalten.

  1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

    Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

  2. Führen Sie eine Vorauswahl der Klasse ot für die Prüfung durch.

    Fügen Sie die Klasse ot zur Zeile flags der Datei audit_control hinzu. Die Ausgabe der Datei sieht ähnlich wie im Folgenden aus:

    # audit_control file
dir:/var/audit
flags:lo,ot
minfree:20
naflags:lo

    Ausführliche Anweisungen erhalten Sie unter So ändern Sie die Datei audit_control.

Copyright © 2002, 2011, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten. Rechtlicher Hinweis
Zurück Vor