跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
规划 Trusted Extensions 的系统硬件和容量
Trusted Extensions 区域和 Oracle Solaris 区域
在 Trusted Extensions 中规划 LDAP 命名服务
启用 Trusted Extensions 的结果(从管理员角度)
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
6. 配置具有 Trusted Extensions 的无显示系统(任务)
本节概述了启用和配置 Trusted Extensions 软件之前所需的规划。
有关 Trusted Extensions 配置任务的核对表,请参见附录 C。如果有兴趣将您的站点本地化,请参见对于 Trusted Extensions 的国际客户。如果想运行 evaluated configuration(评估配置),请参见了解站点的安全策略。
启用和配置 Trusted Extensions 包括加载可执行文件、指定站点数据及设置配置变量等多项操作。这需要具备大量的背景知识。Trusted Extensions 软件提供了一个基于以下两种 Oracle Solaris 功能的有标签环境:
在大多数 UNIX 环境中指定给超级用户的功能,可由不同的管理角色处理。
可将忽略安全策略的功能指定给特定用户和应用程序。
在 Trusted Extensions 中,是由特殊的安全标记来控制数据访问的。这些标记称为标签。标签指定给用户、进程和对象(如数据文件和目录)。除了 UNIX 权限或自主访问控制 (discretionary access control, DAC) 之外,这些标签还可以提供 mandatory access control(强制访问控制)。
通过 Trusted Extensions,可以有效地将站点的安全策略与 Oracle Solaris OS 进行集成。因此,您需要深入了解策略的范围以及 Trusted Extensions 软件如何实施该策略。经过良好规划的配置必须在以下两点之间取得平衡:站点安全策略一致性和用户在系统上执行操作的便利性。
缺省情况下,Trusted Extensions 配置为针对以下保护配置文件遵守信息技术安全评估通用准则 (ISO/IEC 15408) 保证级别 EAL4:
有标签的安全保护配置文件
受控访问保护配置文件
基于角色的存取控制保护配置文件
要符合这些评估级别,必须将 LDAP 配置为命名服务。请注意,如果执行以下任一一项操作,您的配置可能会不再符合评估标准:
更改 /etc/system 文件中的内核切换设置。
关闭审计或设备分配。
更改以下可配置文件中的缺省条目:
/usr/openwin/server/etc/*
/usr/dt/app-defaults/C/Dt
/usr/dt/app-defaults/C/Dtwm
/usr/dt/app-defaults/C/SelectionManager
/usr/dt/bin/Xsession
/usr/dt/bin/Xtsolsession
/usr/dt/bin/Xtsolusersession
/usr/dt/config/sel_config
/usr/X11/lib/X11/xserver/TrustedExtensionsPolicy
有关更多信息,请参见通用准则 Web 站点。
root 用户或系统管理员角色负责启用 Trusted Extensions。您可以创建多个角色来划分多个功能区域之间的管理职责:
security administrator(安全管理员)负责执行与安全相关的任务,例如设置和指定敏感标签、配置审计以及设置口令策略。
system administrator(系统管理员)负责非安全方面的设置、维护及常规管理。
primary administrator(主管理员)负责为安全管理员创建 rights profile(权限配置文件),并在安全管理员和系统管理员没有足够特权的情况下解决各种问题。
还可以配置更多受限制的角色。例如,操作员可以负责备份文件。
作为管理策略的一部分,需要确定以下内容:
哪些用户执掌哪些管理职责
允许哪些非管理用户运行可信应用程序,即允许哪些用户在必要时忽略安全策略
哪些用户可以访问哪些数据组
规划标签需要设置敏感度级别的分层结构和系统信息的分类。label_encodings 文件包含您站点的此类信息。您可以使用随 Trusted Extensions 软件提供的 label_encodings 文件之一。也可以修改所提供的某个文件,或者创建新的特定于您的站点的 label_encodings 文件。该文件必须包含特定于 Oracle 的本地扩展,至少包含 COLOR NAMES 部分。
注意 - 如果由您提供 label_encodings 文件,应在系统验证标签之前准备好最终版本的文件。该文件应位于可移除介质上。在启用 Trusted Extensions 服务后执行首次引导期间验证标签。 |
规划标签还包括规划标签配置。启用 Trusted Extensions 服务后,需要决定系统是必须允许用户采用几个标签登录,还是可以配置为只使用一个用户标签。例如,LDAP 服务器适合采用一个标签区域。对于本地管理服务器的工作,可以创建一个采用最小标签的区域。管理系统时,管理员先登录,然后从用户工作区获取相应角色。
有关更多信息,请参见《Trusted Extensions Label Administration》。另请参阅《Compartmented Mode Workstation Labeling: Encodings Format 》。
在本地化 label_encodings 文件时,国际客户必须只本地化标签名称。不得将管理标签名称 ADMIN_HIGH 和 ADMIN_LOW 本地化。所联系的所有带标签主机(不论来自何供应商),其标签名称都必须与 label_encodings 文件中的标签名称一致。
Trusted Extensions 支持的语言环境比 Oracle Solaris OS 少。当您在 Trusted Extensions 不支持的语言环境中操作时,特定于 Trusted Extensions 的文本(例如,有关标签的错误消息)不会转换为当前使用的语言环境。Oracle Solaris 软件会继续被转换为您使用的语言环境。
系统硬件包括系统本身及其连接设备。此类设备包括磁带机、麦克风、CD-ROM 驱动器以及磁盘组。硬件容量包括系统内存、网络接口以及磁盘空间。
按照安装 Oracle Solaris 发行版的建议进行操作,如《Solaris 10 5/09 Installation Guide: Basic Installations 》中的"System Requirements and Recommendations"中所述。
以下建议适用于 Trusted Extensions 功能:
有关规划网络硬件方面的帮助,请参见《System Administration Guide: IP Services》中的第 2 章 "Planning Your TCP/IP Network (Tasks)"。
与在任意客户机/服务器网络中一样,您需要按功能为主机(即服务器或客户机)添加标签并配置相应的软件。有关规划的帮助,请参见《Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations 》。
Trusted Extensions 软件识别两种主机类型:有标签主机和无标签主机。每种主机类型均具有缺省的安全模板,如表 1-1 中所示。
表 1-1 Trusted Extensions 中的缺省主机模板
|
如果其他网络可以连接到您所在的网络,则需要指定可访问的域和主机。还需要确定将哪些 Trusted Extensions 主机用作网关。您需要为这些网关确定标签的 accreditation range(认可范围),还需要确定可以查看其他主机数据的 sensitivity label(敏感标签)。
smtnrhtp(1M) 手册页提供了每种主机类型的完整说明,并附有多个示例。
将 Trusted Extensions 软件添加到全局区域中的 Oracle Solaris OS。然后配置有标签的非全局区域。您可以为每个唯一标签创建一个有标签区域,但是不需要为 label_encodings 文件中的每个标签创建区域。
配置网络是区域配置的一部分。缺省情况下,会将有标签区域配置为与全局区域通信。另外,也可以将系统上的区域配置为与网络上的其他区域通信。
运行桌面显示的 X 服务器只能在全局区域使用。从 Solaris 10 10/08 发行版开始,可以使用回送接口 lo0 与全局区域通信。因此,非全局区域可通过 lo0 使用桌面显示。
缺省情况下,非全局区域不能与不可信主机通信。从 Solaris 10 10/08 发行版开始,可以将每个具有唯一缺省路由的非全局区域配置为不使用全局区域。
有标签区域与典型的 Oracle Solaris 区域不同。有标签区域主要用于分离数据。在 Trusted Extensions 中,一般用户无法远程登录到有标签区域。到有标签区域的唯一交互接口是通过使用区域控制台。只有 root 用户才能访问区域控制台。
要创建有标签区域,需要复制整个 Oracle Solaris OS,然后在每个区域中启动 Oracle Solaris OS 的服务。该过程可能会相当耗时。较快的步骤是先创建一个区域,然后复制该区域或克隆该区域的内容。下表介绍了在 Trusted Extensions 中创建区域的选项。
|
Oracle Solaris 区域影响软件包的安装和修补。有关更多信息,请参见下列参考:
通常,会将打印和 NFS 配置为多级别服务。要访问多级别服务,正确配置的系统要求每个区域都能够访问一个或多个网络地址。以下配置可提供多级别服务:
独占 IP 栈-如同在 Oracle Solaris OS 中一样,为每个区域(包括全局区域)指定一个 IP 地址。缺省情况下,为每个有标签区域创建虚拟网络信息卡 (Virtual Network Information Card, VNIC)。
此配置的精细之处是为每个区域指定一个单独的网络信息卡 (network information card, NIC)。这种配置可用于使用物理方式分离与每个 NIC 关联的单标签网络。
共享 IP 栈-指定一个 all-zones 地址。在此配置下,系统不能为多级别 NFS 服务器。一个或多个区域可以具有特定于区域的地址。
符合以下两种情况的系统无法提供多级别服务:
指定一个 IP 地址,全局区域和有标签区域将共享该地址。
没有指定任何特定于区域的地址。
提示 - 如果不允许有标签区域中的用户访问本地多级别打印机,并且不需要起始目录的 NFS 导出,则可以为配置有 Trusted Extensions 的系统指定一个 IP 地址。在此类系统上,不支持多级别打印,而且无法共享起始目录。这种配置通常是在手提电脑上使用。
如果您不打算安装有标签系统的网络,则可以跳过本节。
如果您打算在系统的网络上运行 Trusted Extensions,则请将 LDAP 用作命名服务。对于 Trusted Extensions,配置系统网络时,需要已置备的 Sun Java System Directory Server(LDAP 服务器)。如果您的站点具备现有的 LDAP 服务器,则可以使用 Trusted Extensions 数据库置备该服务器。要访问该服务器,请在 Trusted Extensions 系统上设置 LDAP 代理。
如果您的站点没有现有的 LDAP 服务器,则在运行 Trusted Extensions 软件的系统上创建一个 LDAP 服务器。第 5 章中介绍了相关步骤。
缺省情况下,会在安装 Trusted Extensions 时启用审计。因此,缺省情况下,会审计 root 登录、屏幕锁定和注销。要审计负责配置系统的用户,可以在配置过程早期创建角色。当这些角色对系统进行配置时,审计记录会包含承担相应角色的登录用户。请参见在 Trusted Extensions 中创建角色和用户。
在 Trusted Extensions 中规划审计与在 Oracle Solaris OS 中规划审计一样。有关详细信息,请参见《System Administration Guide: Security Services》中的第 VII 部分, "Auditing in Oracle Solaris"。当 Trusted Extensions 添加类、事件和审计标记时,软件不会更改审计的管理方式。对于要审计的 Trusted Extensions 添加项,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的第 18 章 "Trusted Extensions 审计(概述)"。
Trusted Extensions 软件为用户提供了合理的安全缺省值。表 1-2 中列出了这些安全缺省值。如果列出了两个值,则第一个值为缺省值。安全管理员可以修改这些缺省值以反映站点的安全策略。设置缺省值后,安全管理员可以创建继承这些已建立缺省值的所有用户。有关这些缺省值的关键字和值的说明,请参见 label_encodings(4) 和 policy.conf(4) 手册页。
表 1-2 Trusted Extensions 用户帐户安全缺省值
|
注 - IDLECMD 和 IDLETIME 变量应用于登录用户的会话。 如果登录用户获取了角色,则用户的 IDLECMD 和 IDLETIME 值将对该角色生效。
系统管理员可以设置一个标准用户模板,该模板可为每个用户设置适当的系统缺省值。例如,缺省情况下每个用户的初始 shell 为 Bourne shell。系统管理员可以设置一个为每个用户提供一个 C shell 的模板。有关更多信息,请参见适用于用户帐户的 Solaris Management Console 联机帮助。
允许 root 用户配置 Trusted Extensions 软件不是一项安全的策略。下面按从最安全到最不安全的顺序介绍了配置策略:
两人团队合作配置软件。审计配置过程。
启用软件时有两个人在计算机上。在配置过程的早期阶段,此团队可以创建角色以及可担任这些角色的本地用户。该团队还可以设置审计来审计角色执行的事件。为用户指定角色且重新引导计算机后,软件会按角色强制划分任务。审计迹可提供配置过程的记录。有关安全配置过程的说明,请参见图 1-1。
注 - 如果站点安全要求 separation of duty(职责分离),则可信管理员会在创建用户或角色之前完成创建实施职责分离的权限配置文件。在此定制配置中,由一个角色管理安全性,包括用户的安全属性。另一个角色管理系统和用户的非安全属性。
一个人通过指定适当的角色来启用和配置软件。审计配置过程。
在配置过程的早期阶段,root 用户创建一个本地用户和角色。此用户还可以设置审计来审计角色执行的事件。为本地用户指定角色且重新引导计算机后,软件即会按角色强制划分任务。审计迹可提供配置过程的记录。
一个人通过指定适当的角色来启用和配置软件。不审计配置过程。
通过使用此策略,不会记录配置过程。
root 用户启用并配置软件。审计配置过程。
该团队设置审计以审计 root 在配置期间执行的每个事件。若使用此策略,团队必须确定要审计的事件。审计迹不包括充当 root 的用户的名称。
root 用户启用并配置软件。
下图显示了根据角色的任务划分。安全管理员需要执行以下任务:配置审计、保护文件系统、设置设备策略、确定哪些程序需要运行特权、保护用户以及其他任务。系统管理员需要执行以下任务:共享和挂载文件系统、安装软件包、创建用户以及其他任务。
图 1-1 管理 Trusted Extensions 系统:按角色任务划分
配置 Trusted Extensions 之前,必须采取物理措施保护系统,决定将哪些标签附加到区域并解决其他安全问题。 有关过程的信息,请参见在启用 Trusted Extensions 之前收集信息并做出决定。
如果系统中存在必须保存的文件,请在启用 Trusted Extensions 服务之前执行备份。最安全的备份文件方法是执行 0 级转储。如果没有执行适当的备份过程,请参见当前操作系统的管理员指南查看相关说明。