跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11 安全准则 Oracle Solaris 11 Information Library (简体中文) |
可配置 Oracle Solaris 的安全功能以实施站点的安全策略。
以下各节对 Oracle Solaris 安全功能进行了简短介绍。这些说明包括对本指南以及介绍这些功能的其他 Oracle Solaris 系统管理指南中更详细的解释和过程的引用。
审计是指收集有关系统资源使用情况的数据。审计数据提供安全相关的系统事件的记录。以后便可以使用此数据来指定系统上执行的操作的职责。
审计是安全评估、验证和认证机构的基本要求。审计还可阻止潜在的入侵者。
有关更多信息,请参见以下内容:
有关与审计相关的手册页列表,请参见《Oracle Solaris 管理:安全服务》中的第 29 章 "审计(参考)"。
有关指南,请参见审计除登录/注销之外的重要事件以及手册页。
有关审计的概述,请参见《Oracle Solaris 管理:安全服务》中的第 26 章 "审计(概述)"。
有关审计任务,请参见《Oracle Solaris 管理:安全服务》中的第 28 章 "管理审计(任务)"。
使用 Oracle Solaris 的基本审计报告工具 (Basic Audit Reporting Tool, BART) 功能,可以通过在一段时间内对系统执行文件级别的检查来全面地验证系统。通过创建 BART 清单,可轻松可靠地收集已部署系统上所安装软件栈的组件的相关信息。
BART 是一个非常有用的工具,可在一个系统或一个系统网络上进行完整性管理。
有关更多信息,请参见以下内容:
所选手册页包括 bart(1M)、bart_rules(4) 和 bart_manifest(4)。
有关指南,请参见创建系统的 BART 快照、使用基本审计报告工具以及手册页。
有关 BART 的概述,请参见《Oracle Solaris 管理:安全服务》中的第 6 章 "使用基本审计报告工具(任务)"。
有关使用 BART 的示例,请参见《Oracle Solaris 管理:安全服务》中的"使用 BART(任务)"以及手册页。
Oracle Solaris 的加密框架功能和密钥管理框架 (Key Management Framework, KMF) 功能为加密服务和密钥管理提供中央系统信息库。硬件、软件和最终用户可无缝访问经过优化的算法。各种公钥基础结构 (public key infrastructure, PKI) 的不同存储机制、管理实用程序和编程接口可在采用 KMF 接口时使用统一接口。
加密框架通过各个命令、用户级别编程接口、内核编程接口、用户级别框架以及内核级别框架向用户和应用程序提供加密服务。加密框架以对最终用户无缝的方式向应用程序和内核模块提供这些加密服务。它还向最终用户提供直接的加密服务,例如对文件进行加密和解密。
KMF 提供用于集中管理公钥对象(例如 X.509 证书和公钥/私钥对)的工具和编程接口。存储这些对象所用的格式可能有所不同。KMF 还提供了一种工具,用于管理定义应用程序如何使用 X.509 证书的策略。KMF 支持第三方插件。
有关更多信息,请参见以下内容:
所选手册页包括 cryptoadm(1M)、encrypt(1)、mac(1)、pktool(1) 和 kmfcfg(1)。
有关加密服务的概述,请参见《Oracle Solaris 管理:安全服务》中的第 11 章 "加密框架(概述)"和《Oracle Solaris 管理:安全服务》中的第 13 章 "密钥管理框架"。
有关使用加密框架的示例,请参见《Oracle Solaris 管理:安全服务》中的第 12 章 "加密框架(任务)"以及手册页。
用于保护文件系统中对象的第一道防线是为每个文件系统对象指定的缺省 UNIX 权限。UNIX 权限支持为对象的所有者、指定给对象的组以及其他所有人指定唯一访问权限。此外,ZFS 还支持访问控制列表 (access control list, ACL)(也称为访问控制条目 (access control entry, ACE)),从而更好地控制个人或组对文件系统对象的访问权限。
有关更多信息,请参见以下内容:
有关对 ZFS 文件设置 ACL 的说明,请参见 chmod(1) 手册页。
有关文件权限的概述,请参见《Oracle Solaris 管理:安全服务》中的"使用 UNIX 权限保护文件"。
有关保护 ZFS 文件的概述和示例,请参见《Oracle Solaris 管理:ZFS 文件系统》中的第 8 章 "使用 ACL 和属性保护 Oracle Solaris ZFS 文件"以及手册页。
包过滤可提供基本的保护以防止基于网络的攻击。Oracle Solaris 包括 IP 过滤器功能和 TCP 包装。
Oracle Solaris 的 IP 过滤器功能可创建一个防火墙以抵御基于网络的攻击。
具体来说,IP 过滤器提供有状态包过滤功能,可按照 IP 地址或网络、端口、协议、网络接口以及通信方向对包进行过滤。它还包括无状态包过滤以及创建和管理地址池的功能。此外,IP 过滤器还具有执行网络地址转换 (network address translation, NAT) 和端口地址转换 (port address translation, PAT) 的功能。
有关更多信息,请参见以下内容:
所选手册页包括 ipfilter(5)、ipf(1M)、ipnat(1M)、svc.ipfd(1M) 和 ipf(4)。
有关 IP 过滤器的概述,请参见《Oracle Solaris 管理:IP 服务》中的第 20 章 "Oracle Solaris 中的 IP 过滤器(概述)"。
有关使用 IP 过滤器的示例,请参见《Oracle Solaris 管理:IP 服务》中的第 21 章 "IP 过滤器(任务)"以及手册页。
有关 IP 过滤器策略语言的语法的信息和示例,请参见 ipnat(4) 手册页。
TCP 包装提供了一种实现访问权控制的方法,即根据 ACL 检查请求特定网络服务的主机的地址。请求将相应地被授权或拒绝。TCP 包装还会记录网络服务的主机请求,这是一种非常有用的监视功能。可配置 Oracle Solaris 的安全 Shell 和 sendmail 功能以使用 TCP 包装。可能受到访问控制的网络服务包括 ftpd 和 rpcbind。
TCP 包装支持一种丰富的配置策略语言,从而使组织不仅可以全局指定安全策略,还可以基于每个服务指定安全策略。可根据主机名、IPv4 或 IPv6 地址、网络组名称、网络甚至 DNS 域允许或限制对服务的进一步访问。
有关更多信息,请参见以下内容:
有关 TCP 包装的信息,请参见《Oracle Solaris 管理:IP 服务》中的"如何使用 TCP 包装控制对 TCP 服务的访问"。
有关 TCP 包装的访问控制语言的语法的信息和示例,请参见 hosts_access(4) 手册页。
强用户口令有助于抵御涉及暴力破解猜测的攻击。
Oracle Solaris 具有许多可用于提升强用户口令的功能。可设置口令长度、内容、更改频率以及修改要求,并可保留口令历史记录。提供了要避免使用的口令的口令字典。还提供了多个可能的口令算法。
有关更多信息,请参见以下内容:
所选手册页包括 passwd(1) 和 crypt.conf(4)。
使用可插拔验证模块 (Pluggable Authentication Module, PAM) 框架,可以协调和配置帐户、凭证、会话和口令的用户验证要求。
通过 PAM 框架,组织可定制用户验证体验以及帐户、会话和口令管理功能。系统登录服务(例如 login 和 ftp)使用 PAM 框架确保系统的所有入口点均已受到安全保护。通过该体系结构,在字段中替换或修改验证模块可防止系统受到任何新发现的漏洞的威胁,而无需更改使用 PAM 框架的任何系统服务。
有关更多信息,请参见以下内容:
特权是针对内核中强制执行的进程的细粒度单项权利。Oracle Solaris 定义了 80 多项特权,从基本特权(例如 file_read)到更为专业的特权(例如 proc_clock_highres)。可将特权授予命令、用户、角色或系统。许多 Oracle Solaris 命令和守护进程仅使用执行其任务所需的特权运行。使用特权又称为进程权限管理。
能够识别特权的程序可防止入侵者获取超过程序本身使用的更多特权。此外,利用特权,组织可以限制要授予其系统上运行的服务和进程的特权。
有关更多信息,请参见以下内容:
所选手册页包括 ppriv(1) 和 privileges(5)。
远程访问攻击可能会损坏系统和网络。在当今的 Internet 环境中,确保网络访问安全是必不可少的,甚至在 WAN 和 LAN 环境中也非常有用。
IP 安全 (IP security, IPsec) 通过对包进行验证和/或加密来保护 IP 包。Oracle Solaris 对 IPv4 和 IPv6 均支持 IPsec。由于 IPsec 在应用层下得到了很好的实现,因此 Internet 应用程序可充分利用 IPsec,而无需修改其代码。
IPsec 及其密钥交换协议 IKE 使用加密框架中的算法。此外,加密框架还为使用 metaslot 的应用程序提供了一个 softtoken 密钥库。将 IKE 配置为使用 metaslot 时,组织可选择在磁盘上、已连接的硬件密钥库上或在 softtoken 密钥库中存储密钥。
若管理得当,IPsec 是保证网络通信安全的有效工具。
有关更多信息,请参见以下内容:
所选手册页包括 ipsecconf(1M) 和 in.iked(1M)。
通过 Oracle Solaris 的安全 Shell 功能,用户或服务可通过加密信道在远程系统之间访问或传输文件。在安全 Shell 中,所有网络通信都已加密。安全 Shell 还可用作即时请求的虚拟专用网络 (virtual private network, VPN),从而可通过已验证的加密网络链路在本地系统和远程系统之间转发 X 窗口系统通信或者连接各个端口号。
因此,安全 Shell 可防止潜在入侵者读取拦截的通信,并防止有敌意的人欺骗系统。缺省情况下,安全 Shell 是新安装系统上唯一活动的远程访问机制。
有关更多信息,请参见以下内容:
所选手册页包括 ssh(1)、sshd(1M)、sshd_config(4) 和 ssh_config(4)。
Oracle Solaris 的 Kerberos 功能甚至支持通过运行 Kerberos 服务的异构网络执行单点登录和安全事务。
Kerberos 基于麻省理工学院 (Massachusetts Institute of Technology, MIT) 开发的 Kerberos V5 网络验证协议。Kerberos 服务是一种客户机/服务器的体系结构,用于通过网络提供安全事务。该服务可提供功能强大的用户验证以及完整性和保密性。使用 Kerberos 服务,只需一次登录即可安全访问其他系统、执行命令、交换数据以及传输文件。此外,通过该服务,管理员还可以限制对服务和系统的访问。
有关更多信息,请参见以下内容:
RBAC 允许组织根据用户或角色的独特需要和要求选择性地向其授予管理权限,从而应用最小特权安全原则。
Oracle Solaris 的基于角色的访问控制 (role-based access control, RBAC) 功能控制用户对通常限于 root 角色的任务的访问。通过对进程和用户应用安全属性,RBAC 可以在多个管理员之间分布管理权限。RBAC 又称为用户权限管理。
有关更多信息,请参见以下内容:
所选手册页包括 rbac(5)、roleadd(1M)、profiles(1) 和 user_attr(4)。
使用 Oracle Solaris 的服务管理工具 (Service Management Facility, SMF) 功能可添加、删除、配置和管理服务。SMF 使用 RBAC 控制对系统上的服务管理功能的访问。具体来说,SMF 使用授权确定可管理服务的用户以及该用户可执行的功能。
通过 SMF,组织可以控制对服务的访问,以及控制启动、停止和刷新这些服务的方式。
有关更多信息,请参见以下内容:
所选手册页包括 svcadm(1M)、svcs(1) 和 smf(5)。
ZFS 是 Oracle Solaris 11 的缺省文件系统。ZFS 文件系统从根本上更改了 Oracle Solaris 文件系统的管理方式。ZFS 强健、可伸缩,且易于管理。由于 ZFS 中的文件系统创建是轻量级的,因此可轻松建立配额和保留空间。UNIX 权限、ACE 保护文件以及 RBAC 支持 ZFS 数据集的委托管理。
有关更多信息,请参见以下内容:
《Oracle Solaris 管理:ZFS 文件系统》中的第 1 章 "Oracle Solaris ZFS 文件系统(介绍)"
《Oracle Solaris 管理:ZFS 文件系统》中的第 3 章 "Oracle Solaris ZFS 与传统文件系统之间的差别"
《Oracle Solaris 管理:ZFS 文件系统》中的第 6 章 "管理 Oracle Solaris ZFS 文件系统"
使用 Oracle Solaris Zones 软件分区技术,可以在共享硬件资源的同时维护每个服务器一个应用程序的部署模型。
区域是虚拟化操作环境,通过这些环境,多个应用程序可在同一物理硬件上彼此隔离运行。这种隔离可防止某个区域内运行的进程监视或影响其他区域内运行的进程、查看彼此的数据或处理底层硬件。区域还提供了一个抽象层,将应用程序与系统上部署的物理属性(例如物理设备路径和网络接口名称)隔离开来。
有关更多信息,请参见以下内容:
所选手册页包括 brands(5)、zoneadm(1M) 和 zonecfg(1M)。
Oracle Solaris 的 Trusted Extensions 功能是安全标记技术的可选启用层,该技术支持将数据安全策略与数据所有权分离。Trusted Extensions 支持基于所有权的传统自主访问控制 (discretionary access control, DAC) 策略以及基于标签的强制访问控制 (mandatory access control, MAC) 策略。如果不启用 Trusted Extensions 层,则所有标签均相等,因此不会将内核配置为强制执行 MAC 策略。启用基于标签的 MAC 策略时,将通过比较与请求访问权限的进程(主体)和包含数据的对象关联的标签来限制所有数据流。与其他大多数多级别操作系统不同,Trusted Extensions 包括一个多级别桌面。
Trusted Extensions 符合通用准则有标签的安全保护配置文件 (Labeled Security Protection Profile, LSPP)、基于角色的访问保护配置文件 (Role-Based Access Protection Profile, RBACPP) 以及受控访问保护配置文件 (Controlled Access Protection Profile, CAPP) 的要求。但 Trusted Extensions 实现的独特之处在于,能够在最大限度地提高兼容性和最大限度地减少开销的同时提供高级别的保证。
有关更多信息,请参见以下内容:
有关配置和维护 Trusted Extensions 的信息,请参见《Trusted Extensions 配置和管理》。
有关使用多级别桌面的信息,请参见《Trusted Extensions 用户指南》。
所选手册页包括 trusted_extensions(5) 和 labeld(1M)。