跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
Trusted Extensions 和 Oracle Solaris OS
Trusted Extensions 和 Oracle Solaris OS 之间的相似之处
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
Trusted Extensions 软件可向运行 Oracle Solaris OS 的系统添加标签。标签实现强制访问控制 (mandatory access control, MAC)。MAC 与自主访问控制 (discretionary access control, DAC) 一起保护系统主体(进程)和对象(数据)。Trusted Extensions 软件提供处理标签配置、标签指定和标签策略的界面。
Trusted Extensions 软件使用 Oracle Solaris 的权限配置文件、角色、审计、特权以及其他安全功能。您可将安全 Shell、BART、加密框架、IPsec 和 IP 过滤器与 Trusted Extensions 配合使用。在 Trusted Extensions 中可以使用 ZFS 文件系统的所有功能,包括快照和加密。
Trusted Extensions 软件扩展了 Oracle Solaris OS。以下列表进行了概述。另请参见附录 C。
Trusted Extensions 使用称为标签的特殊安全标记控制对数据的访问。标签提供强制访问控制 (mandatory access control, MAC)。MAC 保护是对 UNIX 文件权限或自主访问控制 (discretionary access control, DAC) 的补充。标签将直接指定给用户、区域、设备、窗口和网络端点。标签将隐式指定给进程、文件和其他系统对象。
MAC 不会被一般用户覆盖。Trusted Extensions 要求一般用户在有标签区域中进行操作。缺省情况下,有标签区域中没有用户或进程可以覆盖 MAC。
与在 Oracle Solaris OS 中一样,可以覆盖 MAC 时,可将覆盖安全策略的能力指定给特定进程或用户。例如,可授权用户更改文件的标签。此类操作会升级或降级该文件中信息的敏感度。
Trusted Extensions 会添加到现有配置文件和命令中。例如,Trusted Extensions 会添加审计事件、授权、特权和权限配置文件。
一些在 Oracle Solaris 系统上可选的功能在 Trusted Extensions 系统上是必需的。例如,区域和角色在配置有 Trusted Extensions 的系统上是必需的。
一些在 Oracle Solaris 系统上可选的功能在 Trusted Extensions 系统上处于启用状态。例如,许多配置 Trusted Extensions 的站点要求在创建用户并指定安全属性时进行 separation of duty(职责分离)。
Trusted Extensions 可以更改 Oracle Solaris 的缺省行为。例如,在配置有 Trusted Extensions 的系统上,要求进行设备分配。
Trusted Extensions 可缩小 Oracle Solaris 中可用选项的范围。例如,在 Trusted Extensions 中,所有区域都是有标签区域。与 Oracle Solaris 中不同,有标签区域必须使用相同的用户 ID 和组 ID 池。此外,Trusted Extensions 中的有标签区域可以共享一个 IP 地址。
Trusted Extensions 提供了 Oracle Solaris 桌面的多级别版本,即 Solaris Trusted Extensions (GNOME)。该名称可缩略为 Trusted GNOME。
Trusted Extensions 提供其他图形用户界面 (graphical user interface, GUI) 和命令行界面 (command line interface, CLI)。例如,Trusted Extensions 提供设备管理器 GUI 来管理设备。此外,updatehome 命令可用于将启动文件放在每个标签的用户起始目录中。
Trusted Extensions 要求使用特定的 GUI 进行管理。例如,在配置有 Trusted Extensions 的系统上,除 zonecfg 命令外,还可使用 "Labeled Zone Manager"(有标签区域管理器)管理有标签区域。
Trusted Extensions 限制用户可以看到的内容。例如,用户无法看到自己不能分配的设备。
Trusted Extensions 限制用户的桌面选项。例如,会允许用户的工作站停止活动一段有限的时间,屏幕才会锁定。缺省情况下,一般用户无法关闭系统。
如果多显示端 Trusted Extensions 系统的显示器是以水平方向配置的,则可信窗口条会伸展横跨显示器。如果这些显示器是以垂直方向配置的,则可信窗口条会显示在最下方的显示器中。
当多显示端系统的显示器上显示不同的工作区时,Trusted GNOME 会在每个显示器上显示一个可信窗口条。