跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
自动安全性增强工具 (Automated Security Enhancement Tool, ASET)
19. 使用 Oracle Solaris 安全 Shell(任务)
|
要设置 ASET 中的变量,请参见ASET 环境变量。要配置 ASET,请参见配置 ASET。
角色包含授权和具有一定特权的命令。有关角色的更多信息,请参见配置 RBAC(任务列表)。
# /usr/aset/aset -l level -d pathname
指定安全级别。有效值为 low、medium 或 high。缺省设置为 low。有关安全级别的详细信息,请参见ASET 安全级别。
指定 ASET 的工作目录。缺省设置为 /usr/aset。
执行日志消息可确定正在运行的任务。
示例 7-1 以交互方式运行 ASET
在以下示例中,ASET 在低安全级别运行,并且使用缺省工作目录。
# /usr/aset/aset -l low ======= ASET Execution Log ======= ASET running at security level low Machine = jupiter; Current time = 0111_09:26 aset: Using /usr/aset as working directory Executing task list ... firewall env sysconf usrgrp tune cklist eeprom All tasks executed. Some background tasks may still be running. Run /usr/aset/util/taskstat to check their status: /usr/aset/util/taskstat [aset_dir] where aset_dir is ASET's operating directory,currently=/usr/aset. When the tasks complete, the reports can be found in: /usr/aset/reports/latest/*.rpt You can view them by: more /usr/aset/reports/latest/*.rpt
角色包含授权和具有一定特权的命令。有关角色的更多信息,请参见配置 RBAC(任务列表)。
应该在系统需求较少时运行 ASET。/usr/aset/asetenv 文件中的 PERIODIC_SCHEDULE 环境变量用于设置 ASET 的定期运行时间。缺省情况下,时间设置为每天午夜。
如果希望设置其他时间,请编辑 /usr/aset/asetenv 文件中的 PERIODIC_SCHEDULE 变量。有关设置 PERIODIC_SCHEDULE 变量的详细信息,请参见PERIODIC_SCHEDULE 环境变量。
# /usr/aset/aset -p
-p 选项可在 crontab 文件中插入一行,使 ASET 在 /usr/aset/asetenv 文件中的 PERIODIC_SCHEDULE 环境变量确定的时间开始运行。
# crontab -l root
Primary Administrator(主管理员)角色拥有 Primary Administrator(主管理员)配置文件。要创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
# crontab -e root
# crontab -l root
Primary Administrator(主管理员)角色拥有 Primary Administrator(主管理员)配置文件。要创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
mars# cd /usr/aset
mars# mkdir rptdir
此步骤可为客户机创建 client_rpt 子目录。对于每台需要收集报告的客户机,请重复此步骤。
mars# cd rptdir mars# mkdir client_rpt
在以下示例中,创建了目录 all_reports 以及子目录 pluto_rpt 和 neptune_rpt。
mars# cd /usr/aset mars# mkdir all_reports mars# cd all_reports mars# mkdir pluto_rpt mars# mkdir neptune_rpt
这些目录应可选择进行读取和写入。
例如,可使用读写权限共享 dfstab 文件中的以下各项。
share -F nfs -o rw=pluto /usr/aset/all_reports/pluto_rpt share -F nfs -o rw=neptune /usr/aset/all_reports/neptune_rpt
# shareall
# mount server:/usr/aset/client_rpt /usr/aset/masters/reports
neptune 上 /etc/vfstab 中的以下样例项列出了要从 mars、/usr/aset/all_reports/neptune_rpt 以及 neptune 上的挂载点 /usr/aset/reports 挂载的目录。引导时,将会自动挂载 vfstab 中列出的目录。
mars:/usr/aset/all_reports/neptune.rpt /usr/aset/reports nfs - yes hard