跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
在需要额外的设备安全层的站点上通常会实施设备分配。通常,用户必须具有授权才能访问可分配设备。
以下任务列表列出了启用和配置设备分配以及对其进行故障排除的过程。缺省情况下,设备分配处于禁用状态。启用设备分配后,请参见分配设备(任务)以获取有关分配设备的说明。
|
开始之前
您必须是指定有 Device Security(设备安全)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
# svcadm enable svc:/system/device/allocate # svcs -x allocate svc:/system/device/allocate:default (device allocation) State: online since September 10, 2011 01:10:11 PM PDT See: allocate(1) See: deallocate(1) See: list_devices(1) See: device_allocate(1M) See: mkdevalloc(1M) See: mkdevmaps(1M) See: dminfo(1M) See: device_maps(4) See: /var/svc/log/system-device-allocate:default.log Impact: None.
# svcadm disable device/allocate
开始之前
您必须是指定有 User Security(用户安全)权限配置文件的管理员。您的权限配置文件必须包含 solaris.auth.delegate 授权。有关更多信息,请参见如何使用指定给您的管理权限。
通常,您会创建一个包括 solaris.device.allocate 授权的权限配置文件。请按照如何创建权限配置文件中的说明操作。为权限配置文件指定相应的属性,例如:
权限配置文件名称:Device Allocation(设备分配)
授予的授权:solaris.device.allocate
具有特权的命令:mount 具有 sys_mount 特权,而 umount 具有 sys_mount 特权
请按如何创建角色中的说明操作。使用以下角色属性作为指南:
角色名称:devicealloc
角色全名:Device Allocator(设备分配器)
角色说明:Allocates and mounts allocated devices(分配并挂载已分配的设备)
权限配置文件:Device Allocation(设备分配)
此权限配置文件必须是该角色包含的配置文件列表中的第一个。
有关分配可移除介质的示例,请参见如何分配设备。
开始之前
已完成如何启用设备分配。
您必须是指定有 Device Security(设备安全)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
# list_devices device-name
其中,device-name 是以下各项之一:
audio[n]-麦克风和扬声器。
fd[n]-磁盘驱动器。
rmdisk[n]-是一个可移除介质设备,例如 USB。
sr[n]-CD-ROM 驱动器。
st[n]-磁带机。
故障排除
如果 list_devices 命令返回了类似以下内容的错误消息,则表示设备分配未启用,或者您没有足够的权限来检索信息。
list_devices: No device maps file entry for specified device.
要使此命令成功执行,请启用设备分配并承担具有 solaris.device.revoke 授权的角色。
可在某个用户忘记取消分配设备时使用强制分配,也可在用户即时需要设备时使用强制分配。
开始之前
您必须是指定有 solaris.device.revoke 授权的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
$ auths solaris.device.allocate solaris.device.revoke
在此示例中,将 USB 驱动器强制分配给了用户 jdoe。
$ allocate -U jdoe
进程终止或用户注销之后,不会自动取消分配用户已分配的设备。用户忘记取消分配设备时,应使用强制取消分配。
开始之前
您必须是指定有 solaris.device.revoke 授权的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
$ auths solaris.device.allocate solaris.device.revoke
在此示例中,强制取消分配了打印机。现在,打印机可供其他用户分配了。
$ deallocate -f /dev/lp/printer-1
开始之前
必须启用设备分配,此过程才会成功。要启用设备分配,请参见如何启用设备分配。您必须承担 root 角色。
更改 device_allocate 文件中设备项的第五个字段。
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
其中 solaris.device.allocate 指示用户必须具有 solaris.device.allocate 授权才能使用此设备。
示例 5-2 允许任何用户分配设备
在以下示例中,系统上的任何用户都可以分配任何设备。device_allocate 文件中每个设备项的第五个字段都已更改为一个 at 符号 (@)。
# pfedit /etc/security/device_allocate audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean …
示例 5-3 禁止使用某些外围设备
在以下示例中,不能使用音频设备。device_allocate 文件中音频设备项的第五个字段已更改为一个星号 (*)。
# pfedit /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean …
示例 5-4 禁止使用所有外围设备
在以下示例中,不能使用任何外围设备。device_allocate 文件中每个设备项的第五个字段都已更改为一个星号 (*)。
# pfedit /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean …
缺省情况下,设备分配命令在 other 审计类中。
开始之前
您必须是指定有 Audit Configuration(审计配置)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
$ auditconfig -getflags current-flags $ auditconfig -setflags current-flags,ot
有关详细说明,请参见如何预选审计类。