| 跳过导航链接 | |
| 退出打印视图 | |
|
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
设备分配会限制或禁止访问外围设备。限制在用户分配时实施。缺省情况下,用户必须具有授权才能访问可分配设备。
如果已经运行 bsmconv 命令启用了审计,则已经在系统上启用了设备分配。有关更多信息,请参见 bsmconv(1M) 手册页。
Primary Administrator(主管理员)角色拥有 Audit Control(审计控制)权限配置文件。您也可以将 Audit Control(审计控制)权限配置文件指定给您创建的角色。要创建该角色并将它指定给用户,请参见示例 9-3。
# bsmconv This script is used to enable the Basic Security Module (BSM). Shall we continue with the conversion now? [y/n] y bsmconv: INFO: checking startup file. bsmconv: INFO: move aside /etc/rc3.d/S81volmgt. bsmconv: INFO: turning on audit module. bsmconv: INFO: initializing device allocation files. The Basic Security Module is ready. If there were any errors, please fix them now. Configure BSM by editing files located in /etc/security. Reboot this system now to come up with BSM enabled.
注 - 此命令禁用 Volume Management 守护进程 (/etc/rc3.d/S81volmgt)。
Primary Administrator(主管理员)角色拥有 Primary Administrator(主管理员)配置文件。要创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
通常,您会创建一个包括 solaris.device.allocate 授权的权限配置文件。请按如何创建或更改权限配置文件中的说明操作。为权限配置文件指定相应的属性,例如:
权限配置文件名称:Device Allocation(设备分配)
授予的授权:solaris.device.allocate
带安全属性的命令:带 sys_mount 特权的 mount 和带 sys_mount 特权的 umount。
请按如何使用 GUI 创建和指定角色中的说明操作。使用以下角色属性作为指南:
角色名称:devicealloc
角色全名:Device Allocator(设备分配器)
角色说明:Allocates and mounts allocated devices(分配并挂载已分配的设备)
权限配置文件:Device Allocation(设备分配)
此权限配置文件必须位于该角色包含的配置文件列表的顶部。
有关分配可移除介质的示例,请参见如何分配设备。
因为卷管理守护进程 (vold) 未运行,因此不会自动挂载可移除介质。有关挂载已分配设备的示例,请参见如何挂载分配的设备。
开始之前
必须启用设备分配,此过程才会成功。要启用设备分配,请参见如何使设备可分配。
Primary Administrator(主管理员)角色拥有 Device Security(设备安全)权限配置文件。您也可以将 Device Security(设备安全)权限配置文件指定给您创建的角色。要创建该角色并将它指定给用户,请参见示例 9-3。
# list_devices device-name
其中,device-name 是以下各项之一:
audio[n]-麦克风和扬声器。
fd[n]-软盘驱动器。
sr[n]-CD-ROM 驱动器。
st[n]-磁带机。
故障排除
如果 list_devices 命令返回了类似以下内容的错误消息,则表示设备分配未启用,或者您没有足够的权限来检索信息。
list_devices: No device maps file entry for specified device.
要使此命令成功执行,请启用设备分配并承担具有 solaris.device.revoke 授权的角色。
可在某个用户忘记解除分配设备时使用强制分配,也可在用户即时需要设备时使用强制分配。
开始之前
用户或角色必须具有 solaris.device.revoke 授权。
$ auths solaris.device.allocate solaris.device.revoke
在此示例中,将磁带机强制分配给了用户 jdoe。
$ allocate -U jdoe
进程终止或用户注销之后,不会自动解除分配用户已分配的设备。用户忘记解除分配设备时,应使用强制解除分配。
开始之前
用户或角色必须具有 solaris.device.revoke 授权。
$ auths solaris.device.allocate solaris.device.revoke
在此示例中,强制解除分配了打印机。现在,打印机可供其他用户分配了。
$ deallocate -f /dev/lp/printer-1
Primary Administrator(主管理员)角色拥有 Device Security(设备安全)权限配置文件。您也可以将 Device Security(设备安全)权限配置文件指定给您创建的角色。要创建该角色并将它指定给用户,请参见示例 9-3。
更改 device_allocate 文件中设备项的第五个字段。
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
其中 solaris.device.allocate 指示用户必须具有 solaris.device.allocate 授权才能使用此设备。
示例 4-4 允许任何用户分配设备
在以下示例中,系统上的任何用户都可以分配任何设备。device_allocate 文件中每个设备项的第五个字段都已更改为一个 at 符号 (@)。
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean …
示例 4-5 禁止使用某些外围设备
在以下示例中,不能使用音频设备。device_allocate 文件中音频设备项的第五个字段已更改为一个星号 (*)。
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean …
示例 4-6 禁止使用所有外围设备
在以下示例中,不能使用任何外围设备。device_allocate 文件中每个设备项的第五个字段都已更改为一个星号 (*)。
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean …
缺省情况下,设备分配命令在 other 审计类中。
Primary Administrator(主管理员)角色拥有 Primary Administrator(主管理员)配置文件。要创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
将 ot 类添加到 audit_control 文件的 flags 行中。此文件将显示类似如下的内容:
# audit_control file dir:/var/audit flags:lo,ot minfree:20 naflags:lo
有关详细说明,请参见如何修改 audit_control 文件 。
|