跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
如何在 Trusted Extensions 中为用户配置启动文件
如何在 Trusted Extensions 中登录到故障安全会话
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
在 Trusted Extensions 中,您将承担 "Security Administrator"(安全管理员)角色,以便管理用户、授权、权限和角色。下面的任务列表介绍了您为在有标签环境中工作的用户执行的常见任务。
|
您可能想要扩展用户的标签范围来给予用户对管理应用程序的读取访问权。例如,可登录全局区域的用户也可以查看在特定标签中运行的系统列表。该用户可以查看但不能更改内容。
另一方面,您也可能想要收缩用户的标签范围。例如,可以将来宾用户限制到一个标签中。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
# usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe
也可以通过降低最小标签的级别,来扩展用户的标签范围。
# usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe
有关更多信息,请参见 usermod(1M) 和 user_attr(4) 手册页。
# usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe
如果站点安全策略允许,您可能希望创建权限配置文件,该文件包含对可执行需要授权的任务的用户进行的授权。要使特定系统的每个用户得以授权,请参见如何修改 policy.conf 缺省值。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
有关逐步操作过程,请参见《Oracle Solaris 管理:安全服务》中的"如何创建或更改权限配置文件"。
下列授权可能便于用户使用:
solaris.device.allocate-授权用户分配外围设备,例如麦克风或 CD-ROM。
缺省情况下,Oracle Solaris 用户可以对 CD-ROM 进行读取和写入。不过,在 Trusted Extensions 中,只有可以分配设备的用户能够访问 CD-ROM 驱动器。分配供使用的驱动器需要授权。因此,要在 Trusted Extensions 中对 CD-ROM 进行读取和写入,用户需要 "Allocate Device"(分配设备)授权。
solaris.label.file.downgrade-授权用户降低文件的安全级别。
solaris.label.file.upgrade-授权用户提高文件的安全级别。
solaris.label.win.downgrade-授权用户从较高级别文件选择信息并将所选信息放到较低级别文件中。
solaris.label.win.noview-授权用户移动信息而不查看所移动的信息。
solaris.label.win.upgrade-授权用户从较低级别文件选择信息并将所选信息放到较高级别文件中。
solaris.login.remote-授权用户远程登录。
solaris.print.ps-授予用户打印 PostScript 文件的权限。
solaris.print.nobanner-授予用户打印无标题页打印件的权限。
solaris.print.unlabeled-授予用户打印不显示标签的打印件的权限。
solaris.system.shutdown-授权用户关闭系统和关闭区域。
有关逐步操作过程,请参见《Oracle Solaris 管理:安全服务》中的"如何更改用户的 RBAC 属性"。
站点安全性可能要求用户只能访问可通过桌面图标打开的应用程序。以下过程可指定用于限定用户只访问所需应用程序的权限配置文件。
注 - 在 Trusted Extensions 桌面上,始终基于权限配置文件执行命令。
要使特定系统的每个用户得到这样的授权,请参见如何修改 policy.conf 缺省值。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
有关操作过程,请参见《Oracle Solaris 管理:安全服务》中的"如何将用户限于桌面应用程序"。
由于显示的原因进行了换行。
# profiles -p "Trusted Desktop Applets" profiles:Trusted Desktop Applets> set desc="Can use trusted desktop applications except terminal" profiles:Trusted Desktop Applets> add cmd=/usr/dt/config/tsoljds-migration;end profiles:Trusted Desktop Applets> add cmd=/usr/bin/tsoljds-xagent;end profiles:Trusted Desktop Applets> commit
"Trusted Desktop Applets"(可信桌面 Applet)权限配置文件是在步骤 2 中创建的。
profiles:Trusted Desktop Applets> add profiles="Desktop Applets" profiles:Trusted Desktop Applets> commit profiles:Trusted Desktop Applets> exit
检查这些条目中是否有错误,例如拼写错误、遗漏或重复。
# profiles -p "Trusted Desktop Applets" info Found profile in files repository. name=Trusted Desktop Applets desc=Can use trusted desktop applications except terminal profiles=Desktop Applets cmd=/usr/dt/config/tsoljds-migration cmd=/usr/bin/tsoljds-xagent
提示 - 可以为具有桌面图标的一个应用程序或一类应用程序创建一个权限配置文件。然后,添加 "Trusted Desktop Applets"(可信桌面 Applet)权限配置文件作为补充权限配置文件,以进行桌面访问。
# usermod -P "Trusted Desktop Applets,Stop" username
此用户可以使用可信桌面,但不能启动终端窗口,不能充当控制台用户,也没有 "Basic Solaris User"(基本 Solaris 用户)权限配置文件中所包含的任何权限。
示例 11-5 使桌面用户可以打开终端窗口
在本示例中,管理员将使桌面用户可以打开终端窗口。管理员已经在 LDAP 系统信息库中为 Oracle Solaris 桌面用户创建了 "Desktop Applets"(桌面 Applet)权限配置文件,并为 Trusted Extensions 桌面用户创建了 "Trusted Desktop Applets"(可信桌面 Applet)权限配置文件。
首先,管理员创建 "Terminal Window"(终端窗口)权限配置文件并检验其内容。
# profiles -p "Terminal Window" -S ldap profiles:Terminal Window> set desc="Can open a terminal window" profiles:Terminal Window> add cmd=/usr/bin/gnome-terminal;end profiles:Terminal Window> commit profiles:Terminal Window> exit # profiles -p "Terminal Window" info Found profile in ldap repository. name=Terminal Window desc=Can open a terminal window cmd=/usr/bin/gnome-terminal
然后,管理员将此权限配置文件和 "All"(全部)权限配置文件指定给需要使用终端窗口来执行其任务的桌面用户。如果没有 "All"(全部)权限配置文件,用户将无法运行不需要特权的 UNIX 命令,例如 ls 和 cat。
# usermod -P "Trusted Desktop Applets,Terminal Window,All,Stop" -S ldap jdoe
通过这一组权限配置文件,用户 jdoe 可以使用桌面和终端窗口,但不能充当控制台用户,也没有 "Basic Solaris User"(基本 Solaris 用户)权限配置文件中所包含的任何权限。
站点安全策略可能要求授予用户的特权要少于缺省情况下指定给用户的特权。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
注意 - 请勿删除 proc_fork 或 proc_exec 特权。如果没有这些特权,用户无法使用系统。 |
# usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any
通过删除 proc_info 特权,可以防止用户检查其他用户发起的任何进程。通过删除 proc_session 特权,可以防止用户检查其当前会话以外的任何进程。通过删除 file_link_any 特权,可以防止用户生成指向不归其所有的文件的硬链接。
另请参见
有关收集权限配置文件中特权限制的示例,请参见《Oracle Solaris 管理:安全服务》中的"如何创建或更改权限配置文件"中的示例。
要限制系统中所有用户的特权,请参见示例 11-2。
对可承担角色的所有用户执行以下过程。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
# usermod -K lock_after_retries=no jdoe
要对 LDAP 用户关闭帐户锁定,请指定 LDAP 系统信息库。
# usermod -S ldap -K lock_after_retries=no jdoe
可以授权一般用户或角色更改文件和目录或所选文本的安全级别或标签。除了具有授权外,该用户或角色还必须配置为以多个标签工作。而且,必须将有标签区域配置为允许重新设置标签。有关过程,请参见如何使文件可以从有标签区域被重新设置标签。
注意 - 更改数据的安全级别是一个特权操作。此任务仅适用于值得信任的用户。 |
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
以下授权允许用户重新为文件设置标签:
"Downgrade File Label"(降级文件标签)
"Upgrade File Label"(升级文件标签)
以下授权允许用户重新为文件内信息设置标签:
"Downgrade DragNDrop or CutPaste Info"(降级 DragNDrop 或 CutPaste 信息)
"DragNDrop or CutPaste Info Without Viewing"(在不查看内容的情况下 DragNDrop 或 CutPaste 信息)
"Upgrade DragNDrop or CutPaste Info"(升级 DragNDrop 或 CutPaste 信息)
有关逐步操作过程,请参见《Oracle Solaris 管理:安全服务》中的"如何更改用户的 RBAC 属性"。
从系统删除用户时,必须确保同时删除用户的起始目录以及用户拥有的所有对象。作为删除用户拥有的对象的替代方法,您可以将这些对象的所有权变更到一个有效用户。
您还必须确保删除与该用户关联的所有批处理作业。系统上不能保留任何属于已删除用户的对象或进程。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。
# userdel -r jdoe
注 - 您应当负责查找和删除用户在所有标签的临时文件,例如 /tmp 目录中的文件。
有关其他注意事项,请参见用户删除操作。