跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 管理员规程 Oracle Solaris 10 8/11 Information Library (简体中文) |
Trusted Extensions 软件和 Oracle Solaris OS
Trusted Extensions 和 Oracle Solaris OS 之间的相似之处
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
Trusted Extensions 软件向运行 Solaris 操作系统 (Oracle Solaris OS) 的系统添加标签。 标签实现强制访问控制 (mandatory access control, MAC)。MAC 与自主访问控制 (discretionary access control, DAC) 一起保护系统主体(进程)和对象(数据)。Trusted Extensions 软件提供处理标签配置、标签指定和标签策略的界面。
Trusted Extensions 软件使用 Oracle Solaris OS 的权限配置文件、角色、审计、特权或其他安全功能。您可将 Oracle Solaris 安全 Shell (Solaris Secure Shell, SSH)、BART、Oracle Solaris 加密框架、IPsec 和 IP 过滤器与 Trusted Extensions 配合使用。
如同在 Oracle Solaris OS 中一样,可限制用户只使用执行其作业所需的应用程序。可授权其他用户执行更多作业。
如同在 Oracle Solaris OS 中一样,可将以前指定给超级用户的功能指定给单独的独立“角色”。
如同在 Oracle Solaris OS 中一样,特权可以保护进程。还可使用区域来分隔进程。
如同在 Oracle Solaris OS 中一样,可以对系统上的事件进行审计。
Trusted Extensions 使用 Oracle Solaris OS 的系统配置文件,例如 policy.conf 和 exec_attr。
Trusted Extensions 软件扩展了 Oracle Solaris OS。以下列表进行了概述。有关快速参考,请参见附录 A。
Trusted Extensions 使用称为标签的特殊安全标记控制对数据的访问。标签提供强制访问控制 (mandatory access control, MAC)。MAC 保护是对 UNIX 文件权限或自主访问控制 (discretionary access control, DAC) 的补充。标签将直接指定给用户、区域、设备、窗口和网络端点。标签将隐式指定给进程、文件和其他系统对象。
MAC 不会被一般用户覆盖。Trusted Extensions 要求一般用户在有标签区域中进行操作。缺省情况下,有标签区域中没有用户或进程可以覆盖 MAC。
如同在 Oracle Solaris OS 中一样,可以覆盖 MAC 时,可将覆盖安全策略的能力指定给特定进程或用户。例如,可授权用户更改文件的标签。此类操作会升级或降级该文件中信息的敏感度。
Trusted Extensions 会添加到现有配置文件和命令中。例如,Trusted Extensions 会添加审计事件、授权、特权和权限配置文件。
一些在 Oracle Solaris 系统上可选的功能在 Trusted Extensions 系统上是必需的。例如,区域和角色在配置有 Trusted Extensions 的系统上是必需的。
一些在 Oracle Solaris 系统上可选的功能在 Trusted Extensions 系统上是建议使用的。例如,在 Trusted Extensions 中,root 用户必须转变为 root 角色。
Trusted Extensions 可以更改 Oracle Solaris OS 的缺省行为。例如,在配置有 Trusted Extensions 的系统上,缺省情况下会启用审计。另外,设备分配是必需的。
Trusted Extensions 可缩小 Oracle Solaris OS 中可用选项的范围。例如,在配置有 Trusted Extensions 的系统上,不支持 NIS+ 命名服务。此外,在 Trusted Extensions 中,所有区域都是有标签区域。与 Oracle Solaris OS 不同,有标签区域必须使用相同的用户 ID 池和组 ID 池。此外,Trusted Extensions 中的有标签区域可以共享一个 IP 地址。
Trusted Extensions 提供两个桌面的可信版本。要在有标签环境中工作,Trusted Extensions 的桌面用户必须使用以下桌面之一:
Solaris Trusted Extensions (CDE) -是公用桌面环境 (Common Desktop Environment, CDE) 的可信版本。名称可缩短为 Trusted CDE。
Solaris Trusted Extensions (JDS) -是 Java Desktop System Release number 的可信版本。名称可缩短为 Trusted JDS。
Trusted Extensions 提供其他图形用户界面 (graphical user interface, GUI) 和命令行界面 (command line interface, CLI)。例如,Trusted Extensions 提供设备分配管理器以管理设备。另外,updatehome 命令可用于将启动文件放置到每个标签的一般用户起始目录中。
Trusted Extensions 要求使用特定的 GUI 进行管理。例如,在配置有 Trusted Extensions 的系统上,Solaris Management Console 可用于管理用户、角色和网络。同样,在 Trusted CDE 中,管理编辑器用于编辑系统文件。
Trusted Extensions 限制用户可以看到的内容。例如,用户无法看到自己不能分配的设备。
Trusted Extensions 限制用户的桌面选项。例如,会允许用户的工作站停止活动一段有限的时间,屏幕才会锁定。
如果多显示端 Trusted Extensions 系统的显示器是以水平方向配置的,则可信窗口条会伸展横跨显示器。如果这些显示器是以垂直方向配置的,则可信窗口条会显示在最下方的显示器中。
不同的工作区显示在多显示端系统的显示器上时,Trusted CDE 和 Trusted JDS 会以不同方式呈现可信窗口条。
在 Trusted JDS 桌面上,每个显示器显示一个可信窗口条。
在 Trusted CDE 桌面上,会有一个可信窗口条显示在主显示器上。
注意 - 如果另一个可信窗口条显示在 Trusted CDE 多显示端系统上,该窗口条不是由操作系统生成的。您的系统上可能有未经授权的程序。 请立即与安全管理员联系。要确定正确的可信窗口条,请参见如何重新获得对桌面当前焦点的控制权。 |