跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
正确配置的 Trusted Extensions 系统包括一个作为操作系统实例的全局区域,以及有一个或多个标签的非全局区域。配置期间,Trusted Extensions 为每个区域附加一个唯一标签,这样就创建了有标签区域。这些标签来自 label_encodings 文件。您可以为每个标签创建一个区域,但不是必须如此。系统上具有的标签可能会比有标签区域要多。有标签区域不可能多于标签。
在 Trusted Extensions 系统中,全局区域只是一个管理区域。有标签区域针对一般用户。区域的标签在用户的认可范围内时用户可以在该区域中工作。
在 Trusted Extensions 系统中,区域的文件系统通常在全局区域中挂载为回送文件系统 (loopback file system, lofs)。有标签区域中的所有可写文件和目录都处于该区域的标签级别。缺省情况下,用户可以查看比用户当前标签级别低的某个标签的区域中的文件。通过该配置,用户可以在比当前工作区标签级别低的标签查看其起始目录。尽管用户可以查看较低级别标签的文件,但不能修改它们。用户只能从与文件具有相同标签的进程修改该文件。
每个区域都是一个独立的 ZFS 文件系统。每个区域都可以具有关联的 IP 地址以及安全属性。区域可以配置为多级别端口 (MLP)。此外,区域还可以配置有 Internet 控制信息协议 (Internet Control Message Protocol, ICMP) 广播策略,例如 ping。
有关从有标签区域共享目录以及从有标签区域远程挂载目录的信息,请参见第 14 章和挂载有标签的 ZFS 数据集。
Trusted Extensions 中的区域构建于 Oracle Solaris Zones 产品之上。有关参考,请参见《Oracle Solaris 管理:Oracle Solaris Zones、Oracle Solaris 10 Zones 和资源管理》中的第 II 部分, "Oracle Solaris Zones"。
您的初始设置团队会为全局区域和有标签区域指定 IP 地址。他们考虑了如访问有标签区域中所述的三种配置,并归纳如下:
系统针对全局区域和所有有标签区域具有一个 IP 地址。
对于使用 DHCP 软件获取其 IP 地址的系统,这种缺省配置非常有用。
系统具有一个用于全局区域的 IP 地址,以及一个由所有区域(包括全局区域)共享的 IP 地址。任何区域都可以具有唯一地址和共享地址组合。
对于一般用户将会登录的联网系统,这种配置非常有用。它还可以用于打印机或 NFS 服务器。此配置可以节省 IP 地址。
系统有一个用于全局区域的 IP 地址,而且每个有标签区域都有一个唯一的 IP 地址。
此配置适用于提供对单级别系统的单独物理网络的访问。通常,每个区域会在与其他有标签区域不同的物理网络上具有一个 IP 地址。由于此配置以单一 IP 实例实现,所以全局区域将控制物理接口并管理全局资源,例如路由表。
在 Oracle Solaris 中提供了适用于非全局区域的第四种配置,即专用 IP 实例。在这种配置中,一个非全局区域指定有其自己的 IP 实例,并管理其自己的物理接口。每个区域就像是一个独立系统一样运行。有关说明,请参见《Oracle Solaris 管理:Oracle Solaris Zones、Oracle Solaris 10 Zones 和资源管理》中的"区域网络接口"。
如果在 Trusted Extensions 中配置专用 IP 实例,则每个有标签区域就像是一个独立的单级别系统一样运行。Trusted Extensions 的多级别网络功能依赖于共享 IP 栈的功能。本指南假设网络完全由全局区域控制。因此,如果您的初始设置团队已经安装了具有专用 IP 实例的有标签区域,您必须提供或参考站点特定的文档。
缺省情况下,区域之间不能相互发送或接收包。多级别端口 (MLP) 可以启用端口上的特定服务,用以接受一定标签范围内的请求,或来自一个标签集合的请求。这些特权服务可以以请求的标签进行回复。例如,您可能想要创建一个可以在所有标签进行侦听的特权 Web 浏览器端口,但是它的回复受标签限制。缺省情况下,有标签区域没有 MLP。
对 MLP 可以接受的包进行限制的标签范围或标签集合基于区域的 IP 地址。正在进行通信的 Trusted Extensions 系统会为该 IP 地址指定一个安全模板。安全模板中的标签范围或标签集合对 MLP 可以接受的包进行限制。
针对不同 IP 地址配置,对 MLP 的限制如下:
在全局区域具有一个 IP 地址并且每个有标签区域都有一个唯一 IP 地址的系统上,可以向每个区域添加用于特定服务的 MLP。例如,可以对系统进行配置,从而通过 TCP 端口 22 的 ssh 服务是全局区域中和每个有标签区域中的 MLP。
在典型配置中,为全局区域指定一个 IP 地址,有标签区域与全局区域共享另一个 IP 地址。MLP 添加到一个共享接口后,服务包会路由至定义了 MLP 的有标签区域。仅当有标签区域的远程主机模板的标签范围包含包的标签时,才会接受该包。如果范围是 ADMIN_LOW 到 ADMIN_HIGH,将接受所有包。范围较窄会丢弃不在范围内的包。
一个区域至多可以将一个特定端口定义为共享接口上的 MLP。在前面的方案中,ssh 端口配置为非全局区域上的共享 MLP,其他区域都不能接收共享地址上的 ssh 连接。但是,全局区域可以定义 ssh 端口为专用 MLP,用于接收其区域特定的地址上的连接。
在全局区域和有标签区域共享一个 IP 地址的缺省配置中,用于 ssh 服务的 MLP 可以添加到一个区域。如果将用于 ssh 的 MLP 添加到全局区域,没有任何有标签区域可以添加用于 ssh 服务的 MLP。同样,如果将用于 ssh 服务的 MLP 添加到有标签区域,全局区域也无法配置有 ssh MLP。
有关示例,请参见如何为区域创建多级别端口。
网络向网络中的系统传送广播消息并发送 ICMP 包。在多级别系统上,这些传送会对每个标签的系统进行泛洪攻击。缺省情况下,有标签区域的网络策略要求仅应在匹配标签接收 ICMP 包。