| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
Schützen von Dateien mithilfe von UNIX-Berechtigungen
Befehle zum Anzeigen und Schützen von Dateien
Datei- und Verzeichniseigentümerschaft
Besondere Dateiberechtigungen (setuid, setgid und Sticky Bit)
Vermeiden von Sicherheitsrisiken in Verbindung mit ausführbaren Dateien
Schützen von Dateien (Übersicht der Schritte)
Schützen von Dateien mithilfe von UNIX-Berechtigungen (Übersicht der Schritte)
So zeigen Sie Dateiinformationen an
So ändern Sie den Eigentümer einer lokalen Datei
So ändern Sie die Gruppeneigentümerschaft einer Datei
So ändern Sie die Dateiberechtigungen im symbolischen Modus
So ändern Sie Dateiberechtigungen im absoluten Modus
So ändern Sie besondere Dateiberechtigungen im absoluten Modus
Schützen von UFS-Dateien mit ACLs (Übersicht der Schritte)
So stellen Sie fest, ob eine Datei über eine ACL verfügt
So fügen Sie einer Datei ACL-Einträge hinzu
So ändern Sie die ACL-Einträge für eine Datei
So löschen Sie ACL-Einträge aus einer Datei
So zeigen Sie ACL-Einträge für eine Datei an
Schützen vor Programmen mit Sicherheitsrisiko (Übersicht der Schritte)
So suchen Sie Dateien mit besonderen Dateiberechtigungen
So hindern Sie Programme an der Verwendung ausführbarer Stacks
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Traditioneller UNIX-Dateischutz bietet Lese-, Schreib- und Ausführungsberechtigungen für drei Benutzerklassen: Dateieigentümer, Dateigruppe und andere Benutzer. In einem UFS-Dateisystem erhöht eine Zugriffssteuerungsliste (Access Control List, ACL) die Dateisicherheit, da sie Folgendes ermöglicht:
Definieren von Dateiberechtigungen für den Dateieigentümer, die Gruppe oder andere Benutzer, bestimmte Benutzer oder Gruppen
Definieren von Standardberechtigungen für jede der oben stehenden Kategorien
Hinweis - Informationen zu ACLs im ZFS-Dateisystem und ACLs für NFSv4-Dateien finden Sie in Kapitel 8, Schützen von Oracle Solaris ZFS-Dateien mit Zugriffssteuerungslisten und Attributen in Oracle Solaris ZFS-Administrationshandbuch.
Damit beispielsweise alle Mitglieder einer Gruppe eine Datei lesen können, erteilen Sie einfach der gesamten Gruppe die Leseberechtigung für diese Datei. Nehmen Sie an, dass nur eine Person in der Gruppe über eine Schreibberechtigung für die Datei verfügen soll. Bei standardmäßigem UNIX ist diese Ebene der Dateisicherheit nicht möglich, bei einer ACL dagegen schon.
In einem UFS-Dateisystem werden ACL-Einträge für eine Datei mit dem Befehl setfacl eingestellt. UFS-ACL-Einträge bestehen aus den folgenden Feldern, die durch Doppelpunkte getrennt sind:
entry-type:[uid|gid]:perms
Entspricht dem Typ des ACL-Eintrags für den Dateiberechtigungen eingestellt werden sollen. Beispielsweise kann entry-type ein user (der Eigentümer einer Datei) oder mask (die ACL-Maske) sein. Eine Liste der ACL-Einträge finden Sie in Tabelle 6-7 und Tabelle 6-8.
Entspricht dem Benutzernamen oder der Benutzer-ID (UID)
Entspricht dem Gruppennamen oder der Gruppen-ID (GID)
Entspricht den für entry-type eingestellten Berechtigungen Im Feld perms können die symbolischen Zeichen rwx oder eine Oktalzahl angegeben werden. Dies sind die gleichen Zahlen, die für den Befehl chmod verwendet werden.
In dem folgenden Beispiel gewährt ein ACL-Eintrag dem Benutzer stacey Lese- und Schreibberechtigungen.
user:stacey:rw-
In der folgenden Tabelle werden die gültigen ACL-Einträge aufgeführt, die Sie beim Einstellen von ACLs für Dateien verwenden können. Die drei ersten ACL-Einträge bieten den grundlegenden UNIX-Dateischutz.
Tabelle 6-7 ACL-Einträge für UFS-Dateien
|
Zusätzlich zu den in Tabelle 6-7 beschriebenen ACL-Einträgen können Sie Standard-ACL-Einträge für ein Verzeichnis einstellen. Dateien oder Verzeichnisse, die in einem Verzeichnis mit Standard-ACL-Einträgen erstellt werden, weisen die gleichen ACL-Einträge wie die Standard-ACL-Einträge auf. In Tabelle 6-8 werden die Standard-ACL-Einträge für Verzeichnisse aufgeführt.
Wenn Sie die Standard-ACL-Einträge für bestimmte Benutzer und Gruppen in einem Verzeichnis zum ersten Mal einstellen, müssen Sie auch die Standard-ACL-Einträge für den Dateieigentümer, die Dateigruppen, andere Benutzer und die ACL-Maske angeben. Diese Einträge sind obligatorisch. Es handelt sich um die ersten vier Standard-ACL-Einträge in der folgenden Tabelle.
Tabelle 6-8 Standard-ACL-Einträge für UFS-Verzeichnisse
|
Mit den folgenden Befehlen können ACLs für UFS-Dateien oder -Verzeichnisse verwaltet werden.
Dient zum Festlegen, Hinzufügen und Löschen von ACL-Einträgen. Weitere Informationen finden Sie auf der Manpage setfacl(1).
Dient zum Anzeigen von ACL-Einträgen. Weitere Informationen finden Sie auf der Manpage getfacl(1).
|
