配置设备策略

设备策略可限制或禁止访问属于系统一部分的设备。策略是在内核中实施的。

如何查看设备策略

• 显示系统上所有设备的设备策略。

  % getdevpolicy | more
  DEFAULT
          read_priv_set=none
          write_priv_set=none
  ip:*
          read_priv_set=net_rawaccess
          write_priv_set=net_rawaccess
  …

示例 4-1 查看特定设备的设备策略

此示例显示了三个设备的设备策略。

% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/hme
/dev/allkmem
        read_priv_set=all
        write_priv_set=all
/dev/ipsecesp
        read_priv_set=sys_net_config
        write_priv_set=sys_net_config
/dev/hme
        read_priv_set=net_rawaccess
        write_priv_set=net_rawaccess

如何更改现有设备上的设备策略

1. 承担拥有 Device Security（设备安全）权限配置文件的角色或成为超级用户。

   Primary Administrator（主管理员）角色拥有 Device Security（设备安全）权限配置文件。您也可以将 Device Security（设备安全）权限配置文件指定给您创建的角色。要创建该角色并将它指定给用户，请参见示例 9-3。

2. 向设备中添加策略。

   # update_drv -a -p policy device-driver

   -a

   指定 device-driver 的 policy。

   -p policy

   device-driver 的设备策略。设备策略指定两个特权集。一个用于读取设备，另一个用于写入设备。

   device-driver

   设备驱动程序。

   有关更多信息，请参见 update_drv(1M) 手册页。

示例 4-2 向现有设备中添加策略

以下示例向 ipnat 设备中添加设备策略。

# getdevpolicy /dev/ipnat
/dev/ipnat
        read_priv_set=none
        write_priv_set=none
# update_drv -a \
-p 'read_priv_set=net_rawaccess write_priv_set=net_rawaccess' ipnat
# getdevpolicy /dev/ipnat
/dev/ipnat
        read_priv_set=net_rawaccess
        write_priv_set=net_rawaccess

示例 4-3 删除设备的策略

以下示例从 ipnat 设备的设备策略中删除读取特权集。

# getdevpolicy /dev/ipnat
/dev/ipnat
        read_priv_set=net_rawaccess
        write_priv_set=net_rawaccess
# update_drv -a -p write_priv_set=net_rawaccess ipnat
# getdevpolicy /dev/ipnat
/dev/ipnat
        read_priv_set=none
        write_priv_set=net_rawaccess

如何审计设备策略的更改

缺省情况下，as 审计类包括 AUE_MODDEVPLCY 审计事件。

1. 承担 Primary Administrator（主管理员）角色，或成为超级用户。

   Primary Administrator（主管理员）角色拥有 Primary Administrator（主管理员）配置文件。要创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 "使用 Solaris Management Console（任务）"。

2. 预选包括 AUE_MODDEVPLCY 审计事件的审计类。

   将 as 类添加到 audit_control 文件的 flags 行中。此文件将显示类似如下的内容：

   # audit_control file
   dir:/var/audit
   flags:lo,as
   minfree:20
   naflags:lo

   有关详细说明，请参见如何修改 audit_control 文件 。

如何从 /dev/* 设备检索 IP MIB-II 信息

检索 Oracle Solaris IP MIB-II 信息的应用程序应该打开 /dev/arp，而不是 /dev/ip。

1. 确定 /dev/ip 和 /dev/arp 上的设备策略。

   % getdevpolicy /dev/ip /dev/arp
   /dev/ip
           read_priv_set=net_rawaccess
           write_priv_set=net_rawaccess
   /dev/arp
           read_priv_set=none
           write_priv_set=none

   请注意，读写 /dev/ip 需要具有 net_rawaccess 特权，而 /dev/arp 不需要特权。

2. 打开 /dev/arp 并推送 tcp 和 udp 模块。

   此方法不需要特权，它等同于打开 /dev/ip 并推送 arp、tcp 和 udp 模块。现在，由于打开 /dev/ip 需要特权，因此 /dev/arp 是首选方法。