跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
规划 Trusted Extensions 的系统硬件和容量
Trusted Extensions 区域和 Oracle Solaris Zones
在 Trusted Extensions 中规划 LDAP 命名服务
启用 Trusted Extensions 的结果(从管理员角度)
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
本节概述了启用和配置 Trusted Extensions 软件之前所需的规划。
有关 Trusted Extensions 配置任务的核对表,请参见附录 B。如果有兴趣将您的站点本地化,请参见对于 Trusted Extensions 的国际客户。如果想运行 evaluated configuration(评估配置),请参见了解站点的安全策略。
启用和配置 Trusted Extensions 包括加载可执行文件、指定站点数据及设置配置变量等多项操作。这需要具备大量的背景知识。Trusted Extensions 软件提供了一个基于以下两种 Oracle Solaris 功能的有标签环境:
在大多数 UNIX 环境中指定给超级用户的功能,可由不同的管理角色处理。
可将忽略安全策略的功能指定给特定用户和应用程序。
在 Trusted Extensions 中,是由特殊的安全标记来控制数据访问的。这些标记称为标签。标签指定给用户、进程和对象(如数据文件和目录)。除了 UNIX 权限或自主访问控制 (discretionary access control, DAC) 之外,这些标签还可以提供 mandatory access control(强制访问控制)。
通过 Trusted Extensions,可以有效地将站点的安全策略与 Oracle Solaris OS 进行集成。因此,您需要深入了解策略的范围以及 Trusted Extensions 软件如何实施该策略。经过良好规划的配置必须在以下两点之间取得平衡:站点安全策略一致性和用户在系统上执行操作的便利性。
缺省情况下,Trusted Extensions 配置为针对以下保护配置文件遵守信息技术安全评估通用准则 (ISO/IEC 15408) 保证级别 EAL4:
有标签的安全保护配置文件
受控访问保护配置文件
基于角色的访问控制保护配置文件
要符合这些评估级别,必须将 LDAP 配置为命名服务。请注意,如果执行以下任一一项操作,您的配置可能会不再符合评估标准:
更改 /etc/system 文件中的内核切换设置。
关闭审计或设备分配。
更改 /usr 目录下公共文件中的缺省项。
有关更多信息,请参见通用准则 Web 站点。
root 角色或 "System Administrator"(系统管理员)角色负责启用 Trusted Extensions。您可以创建多个角色来划分多个功能区域之间的管理职责:
security administrator(安全管理员)负责执行与安全相关的任务,例如设置和指定敏感标签、配置审计以及设置口令策略。
system administrator(系统管理员)负责非安全方面的设置、维护及常规管理。
还可以配置更多受限制的角色。例如,操作员可以负责备份文件。
作为管理策略的一部分,需要确定以下内容:
哪些用户执掌哪些管理职责
允许哪些非管理用户运行可信应用程序,即允许哪些用户在必要时忽略安全策略
哪些用户可以访问哪些数据组
规划标签需要设置敏感度级别的分层结构和系统信息的分类。label_encodings 文件包含您站点的此类信息。您可以使用随 Trusted Extensions 软件提供的 label_encodings 文件之一。也可以修改所提供的某个文件,或者创建新的特定于您的站点的 label_encodings 文件。该文件必须包含特定于 Oracle 的本地扩展,至少包含 COLOR NAMES 部分。
注意 - 如果由您提供 label_encodings 文件,最佳做法是在系统验证标签之前安装好最终版本的文件。在启用 Trusted Extensions 服务后执行首次引导期间验证标签。在创建您的第一个区域或网络模板之后,对 label_encodings 文件所做的任何更改必须适应现有的区域和模板。 |
规划标签还包括规划标签配置。启用 Trusted Extensions 服务后,需要确定系统是必须允许采用多个标签登录,还是可以配置为只使用一个用户标签。例如,LDAP 服务器适合采用一个标签区域。对于本地管理服务器的工作,可以创建一个采用最小标签的区域。管理系统时,管理员先登录,然后从用户工作区获取相应角色。
有关更多信息,请参见《Trusted Extensions Label Administration 》。另请参阅《Compartmented Mode Workstation Labeling: Encodings Format 》。
在本地化 label_encodings 文件时,国际客户必须只本地化标签名称。不得将管理标签名称 ADMIN_HIGH 和 ADMIN_LOW 本地化。所联系的所有带标签主机(不论来自何供应商),其标签名称都必须与 label_encodings 文件中的标签名称一致。
系统硬件包括系统本身及其连接设备。此类设备包括磁带机、麦克风、CD-ROM 驱动器以及磁盘组。硬件容量包括系统内存、网络接口以及磁盘空间。
遵循有关安装 Oracle Solaris 发行版的建议,如《安装 Oracle Solaris 11 系统》以及该发行版的发行说明的“安装”部分所述。
以下建议适用于 Trusted Extensions 功能:
有关规划网络硬件的帮助,请参见《Oracle Solaris 管理:IP 服务》中的第 1 章 "规划网络部署"。
Trusted Extensions 软件识别两种主机类型:cipso 主机和无标签主机。每种主机类型均具有缺省的安全模板,如表 1-1 中所示。
表 1-1 Trusted Extensions 中的缺省主机模板
|
如果其他网络可以连接到您所在的网络,则需要指定可访问的域和主机。还需要确定将哪些 Trusted Extensions 主机用作网关。您需要为这些网关确定标签的 accreditation range(认可范围),还需要确定可以查看其他主机数据的 sensitivity label(敏感标签)。
有关如何为主机、网关和网络设置标签,请参见第 16 章。在初始设置之后,执行为远程系统指定标签操作。
将 Trusted Extensions 软件添加到全局区域中的 Oracle Solaris。然后配置有标签的非全局区域。您可以为每个唯一标签创建一个有标签区域,但是不需要为 label_encodings 文件中的每个标签创建区域。使用提供的脚本,可以轻松地为 label_encodings 文件中的缺省用户标签和缺省用户安全许可创建两个有标签区域。
在创建有标签区域之后,一般用户可以使用配置的系统,但这些有标签区域未连接到其他系统。
在 Trusted Extensions 中,连接到 X 服务器的本地传输是 UNIX 域套接字。缺省情况下,X 服务器不会侦听 TCP 连接。
缺省情况下,非全局区域不能与不可信主机通信。您必须指定每个区域可以访问的显式远程主机 IP 地址或网络掩码。
Trusted Extensions 区域(即,有标签区域)是 Oracle Solaris Zones 的标记。有标签区域主要用于分离数据。在 Trusted Extensions 中,一般用户不能远程登录到有标签区域(从另一个可信系统的同等有标签区域中登录除外)。授权管理员可以从全局区域访问有标签区域。有关区域标记的更多信息,请参见 brands(5) 手册页。
Trusted Extensions 中的区域创建类似于 Oracle Solaris 中的区域创建。Trusted Extensions 提供 txzonemgr 脚本以指导您完成该过程。该脚本具有几个命令行选项,可用于自动创建有标签区域。
在正确配置的系统中,每个区域都必须能够使用网络地址与共享同一标签的其他区域进行通信。通过以下配置,有标签区域可以对其他有标签区域进行访问:
all-zones 接口-指定一个 all-zones 地址。在此缺省配置中,只需要一个 IP 地址。每个区域(全局区域和有标签区域)可以通过此共享地址与远程系统上的相同有标签区域进行通信。
此配置的精细之处在于为全局区域创建第二个 IP 实例,以便专门使用。这个第二个实例不是一个 all-zones 地址。此 IP 实例可以用于托管多级别服务,或提供通往专用子网的路由。
IP 实例-与在 Oracle Solaris OS 中一样,为每个区域(包括全局区域)指定一个 IP 地址。区域共享 IP 栈。在最简单的情况下,所有区域共享同一个物理接口。
此配置的精细之处是为每个区域指定一个单独的网络信息卡 (network information card, NIC)。这种配置可用于使用物理方式分离与每个 NIC 关联的单标签网络。
更精细之处在于除 IP 实例之外,每个区域使用一个或多个 all-zones 接口。该配置提供了使用内部接口(例如 vni0)访问全局区域的选项,因此可保护全局区域免遭远程攻击。例如,在全局区域中 vni0 实例上绑定多级别端口的特权服务只能由使用共享栈的区域在内部进行访问。
专用 IP 栈-与在 Oracle Solaris 中一样,为每个区域(包括全局区域)指定一个 IP 地址。为每个有标签区域创建一个虚拟网络接口卡 (virtual network interface card, VNIC)。
此配置的精细之处在于通过一个单独的网络接口创建每个 VNIC。这种配置可用于使用物理方式分离与每个 NIC 关联的单标签网络。配置有专用 IP 栈的区域无法使用 all-zones 接口。
缺省情况下,Trusted Extensions 不提供多级别服务。大多数服务可轻松地配置为区域到区域服务,即,单标签服务。例如,每个有标签区域都可以连接到以有标签区域的标签运行的 NFS 服务器。
如果您的站点需要多级别服务,最好在至少具有两个 IP 地址的系统上配置这些服务。可以将多级别服务需要的多级别端口指定给与全局区域关联的 IP 地址。有标签区域可以使用 all-zones 地址来访问这些服务。
如果您不打算安装有标签系统的网络,则可以跳过本节。如果您打算使用 LDAP,则在添加第一个有标签区域之前,您的系统必须配置为 LDAP 客户机。
如果您打算在系统的网络上运行 Trusted Extensions,则请将 LDAP 用作命名服务。对于 Trusted Extensions,配置系统网络时,需要已置备的 Oracle Directory Server 企业版(LDAP 服务器)。如果您的站点具备现有的 LDAP 服务器,则可以使用 Trusted Extensions 数据库置备该服务器。要访问该服务器,请在 Trusted Extensions 系统上设置 LDAP 代理。
如果您的站点没有现有的 LDAP 服务器,则在运行 Trusted Extensions 软件的系统上创建一个 LDAP 服务器。第 5 章中介绍了相关步骤。
缺省情况下,会在第一次引导 Trusted Extensions 时启用审计。因此,缺省情况下会审计 login/logout 类中的所有事件。要审计负责配置系统的用户,可以在配置过程早期创建角色。当这些角色对系统进行配置时,审计记录会包含承担相应角色的登录用户。请参见在 Trusted Extensions 中创建角色和用户。
在 Trusted Extensions 中规划审计与在 Oracle Solaris OS 中规划审计一样。有关详细信息,请参见《Oracle Solaris 管理:安全服务》中的第 VII 部分, "在 Oracle Solaris 中审计"。当 Trusted Extensions 添加类、事件和审计令牌时,软件不会更改审计的管理方式。有关要审计的 Trusted Extensions 添加项,请参见第 22 章。
Trusted Extensions 软件为用户提供了合理的安全缺省值。表 1-2 中列出了这些安全缺省值。如果列出了两个值,则第一个值为缺省值。安全管理员可以修改这些缺省值以反映站点的安全策略。设置缺省值后,安全管理员可以创建继承这些已建立缺省值的所有用户。有关这些缺省值的关键字和值的说明,请参见 label_encodings(4) 和 policy.conf(4) 手册页。
表 1-2 Trusted Extensions 用户帐户安全缺省值
|
注 - IDLECMD 和 IDLETIME 变量应用于登录用户的会话。 如果登录用户获取了角色,则用户的 IDLECMD 和 IDLETIME 值将对该角色生效。
系统管理员可以设置一个标准用户模板,该模板可为每个用户设置适当的系统缺省值。例如,缺省情况下每个用户的初始 shell 为 bash shell。系统管理员可以设置一个为每个用户提供一个 pfbash shell 的模板。
下面按从最安全到最不安全的顺序介绍了配置策略:
两人团队合作配置软件。审计配置过程。
启用软件时有两个人在计算机上。在配置过程的早期阶段,此团队可以创建独立的角色以及可承担这些角色的本地用户。该团队还可以设置审计来审计角色执行的事件。在为用户分配角色并重新引导计算机之后,用户将登录并承担受限制的角色。软件强制实施按角色进行任务划分。审计迹可提供配置过程的记录。有关安全配置过程的说明,请参见图 1-1。
一个人通过指定适当的角色来启用和配置软件。审计配置过程。
在配置过程的早期阶段,root 角色创建了附加角色。root 角色还可以设置审计来审计角色执行的事件。在为初始用户指定这些附加角色并重新引导计算机之后,用户将登录并承担适当角色以执行当前任务。审计迹可提供配置过程的记录。
一个人通过承担 root 角色来启用和配置软件。不审计配置过程。
通过使用此策略,不会记录配置过程。
初始设置团队将 root 角色更改为用户。
不会在软件中记录充当 root 的用户的名称。无显示系统的远程管理可能需要该设置。
下图显示了根据角色的任务划分。安全管理员需要执行以下任务:配置审计、保护文件系统、设置设备策略、确定哪些程序需要运行特权、保护用户以及其他任务。系统管理员需要执行以下任务:共享和挂载文件系统、安装软件包、创建用户以及其他任务。
图 1-1 管理 Trusted Extensions 系统:按角色任务划分
配置 Trusted Extensions 之前,必须采取物理措施保护系统,决定将哪些标签附加到区域并解决其他安全问题。 有关过程,请参见在启用 Trusted Extensions 之前解决安全问题。
如果系统中存在必须保存的文件,请在启用 Trusted Extensions 服务之前执行备份。最安全的备份文件方法是执行 0 级转储。如果没有执行适当的备份过程,请参见当前操作系统的管理员指南查看相关说明。