跳过导航链接
Oracle Solaris 11.1 管理:安全服务
Oracle Solaris 11.1 Information Library (简体中文)
搜索范围:
本文档
整个文档库
Oracle Solaris 11.1 管理:安全服务
2014 年 2 月
说明了如何在一个或多个 Oracle Solaris 系统上管理安全功能。
文档信息
前言
第 1 部分安全性概述
1. 安全性服务(概述)
系统安全
加密服务
验证服务
使用加密的验证
审计
安全策略
第 2 部分系统、文件和设备安全性
2. 管理计算机安全性(概述)
控制对计算机系统的访问
维护物理安全性
维护登录控制
管理口令信息
本地口令
NIS 口令
LDAP 口令
口令加密
口令算法标识符
policy.conf
文件中的算法配置
特殊系统帐户
远程登录
控制对设备的访问
设备策略(概述)
设备分配(概述)
控制对计算机资源的访问
地址空间布局随机化
限制和监视超级用户访问权限
配置基于角色的访问控制以替换超级用户
防止无意中误用系统资源
设置
PATH
变量
为用户指定受限 Shell
限制对文件中数据的访问
限制
setuid
可执行文件
使用缺省安全 (Secure by Default) 配置
使用资源管理功能
使用 Oracle Solaris 区域
监视计算机资源的使用情况
监视文件完整性
控制对文件的访问
通过加密保护文件
使用访问控制列表
跨计算机共享文件
限制对共享文件的
root
访问
控制网络访问
网络安全性机制
远程访问的验证和授权
防火墙系统
加密和防火墙系统
报告安全问题
3. 控制对系统的访问(任务)
保证登录和口令的安全(任务)
保证登录和口令的安全(任务列表)
如何更改
root
口令
如何显示用户的登录状态
如何显示没有口令的用户
如何临时禁止用户登录
关于失败的登录
更改口令加密的缺省算法(任务)
如何指定口令加密的算法
如何为 NIS 域指定新的口令算法
如何为 LDAP 域指定新的口令算法
监视和限制
root
用户访问(任务)
如何监视正在使用
su
命令的用户
如何限制和监视
root
用户登录
控制对系统硬件的访问(任务)
如何要求提供用于访问 SPARC 硬件的口令
如何禁用系统的异常中止序列
4. 病毒扫描服务(任务)
关于病毒扫描
关于 Vscan 服务
使用 Vscan 服务(任务)
如何在文件系统上启用病毒扫描
如何启用 Vscan 服务
如何添加扫描引擎
如何查看 Vscan 属性
如何更改 Vscan 属性
如何从病毒扫描操作中排除文件
5. 控制对设备的访问(任务)
配置设备策略(任务)
配置设备策略(任务列表)
如何查看设备策略
如何审计设备策略的更改
如何从
/dev/*
设备检索 IP MIB-II 信息
管理设备分配(任务)
管理设备分配(任务列表)
如何启用设备分配
如何授权用户分配设备
如何查看有关设备的分配信息
如何强制分配设备
如何强制取消分配设备
如何更改可分配的设备
如何审计设备分配
分配设备(任务)
如何分配设备
如何挂载分配的设备
如何取消分配设备
设备保护(参考信息)
设备策略命令
设备分配
设备分配的组成部分
设备分配服务
设备分配权限配置文件
设备分配命令
分配命令的授权
分配错误状态
device_maps
文件
device_allocate
文件
设备清除脚本
磁带的设备清除脚本
磁盘驱动器和 CD-ROM 驱动器的设备清除脚本
音频的设备清除脚本
编写新的设备清除脚本
6. 使用 BART 验证文件完整性(任务)
BART(概述)
BART 功能
BART 组件
BART 清单
BART 报告
BART Rules 文件
使用 BART(任务)
BART 安全注意事项
使用 BART(任务列表)
如何创建控制清单
如何定制清单
如何比较同一个系统在一段时间内的清单
如何比较不同系统的清单
如何通过指定文件属性定制 BART 报告
如何通过使用 Rules 文件定制 BART 报告
BART 清单、Rules 文件和报告(参考信息)
BART 清单文件格式
BART Rules 文件格式
Rules 文件属性
引用语法
BART 报告
BART 输出
7. 控制对文件的访问(任务)
使用 UNIX 权限保护文件
用于查看和保证文件安全的命令
文件和目录的所有权
UNIX 文件权限
特殊文件权限(
setuid
、
setgid
和 Sticky 位)
setuid
权限
setgid
权限
Sticky 位
缺省
umask
值
文件权限模式
使用访问控制列表保护 UFS 文件
防止可执行文件危及安全
保护文件(任务)
使用 UNIX 权限保护文件(任务列表)
如何显示文件信息
如何更改文件的所有者
如何更改文件的组所有权
如何在符号模式下更改文件权限
如何在绝对模式下更改文件权限
如何在绝对模式下更改特殊文件权限
防止程序受到安全风险(任务列表)
如何查找具有特殊文件权限的文件
如何禁止程序使用可执行栈
第 3 部分角色、权限配置文件和特权
8. 使用角色和特权(概述)
基于角色的访问控制(概述)
RBAC:超级用户模型的替代方法
RBAC 元素和基本概念
特权升级
RBAC 授权
授权和特权
特权应用程序和 RBAC
检查 UID 和 GID 的应用程序
检查特权的应用程序
检查授权的应用程序
RBAC 权限配置文件
RBAC 角色
配置文件 Shell 和 RBAC
名称服务范围和 RBAC
直接指定安全属性时的安全注意事项
直接指定安全属性时的可用性注意事项
特权(概述)
特权保护内核进程
特权说明
具有特权与不具有特权的系统之间的管理差别
特权和系统资源
如何实现特权
进程如何获取特权
指定特权
扩展用户或角色的特权
限制用户或角色的特权
为脚本指定特权
特权和设备
特权和调试
关于此发行版中的 RBAC
9. 使用基于角色的访问控制(任务)
使用 RBAC(任务)
查看和使用 RBAC 缺省值(任务)
查看和使用 RBAC 缺省值(任务列表)
如何查看所有已定义的安全属性
如何查看指定的权限
如何承担角色
如何更改用户的安全属性
如何使用指定给您的管理权限
为站点定制 RBAC(任务)
初次配置 RBAC(任务列表)
如何规划 RBAC 实现
如何创建角色
如何指定角色
如何审计角色
如何创建权限配置文件
如何克隆和修改系统权限配置文件
如何创建授权
如何为传统应用程序添加 RBAC 属性
如何排除 RBAC 和特权指定故障
管理 RBAC(任务)
管理 RBAC(任务列表)
如何更改角色的口令
如何更改角色的安全属性
如何重新排序指定的安全属性
如何将管理员限于显式指定的权限
如何让用户使用自己的口令承担角色
如何将
root
角色更改为用户
使用特权(任务)
如何列出系统上的特权
如何确定已直接指定给您的特权
如何确定您可以运行的特权命令
如何确定进程的特权
如何确定程序所需的特权
如何将扩展的特权策略应用于端口
如何运行具有特权命令的 Shell 脚本
10. Oracle Solaris 中的安全属性(参考信息)
权限配置文件
查看权限配置文件的内容
搜索指定安全属性的顺序
Authorizations(授权)
授权命名约定
授权中的委托授权
RBAC 数据库
RBAC 数据库和命名服务
user_attr
数据库
auth_attr
数据库
prof_attr
数据库
exec_attr
数据库
policy.conf
文件
RBAC 命令
管理 RBAC 的命令
要求授权的选定命令
特权
用于处理特权的管理命令
包含特权信息的文件
特权和审计
防止特权升级
传统应用程序和特权模型
第 4 部分加密服务
11. 加密框架(概述)
加密框架简介
加密框架术语
加密框架的范围
加密框架中的管理命令
加密框架中的用户级命令
第三方软件的二进制文件签名
加密框架的插件
加密服务和区域
加密框架和 FIPS-140
此发行版中的加密框架和 SPARC T 系列服务器
12. 加密框架(任务)
使用加密框架保护文件(任务)
使用加密框架保护文件(任务列表)
如何使用
pktool
命令生成对称密钥
如何计算文件摘要
如何计算文件的 MAC
如何加密和解密文件
管理加密框架(任务)
管理加密框架(任务列表)
如何列出可用提供者
如何添加软件提供者
如何在 FIPS-140 模式下使用加密框架
如何禁止使用用户级机制
如何禁止使用内核软件提供者
如何列出硬件提供者
如何禁用硬件提供者机制和功能
如何刷新或重新启动所有加密服务
13. 密钥管理框架
管理公钥技术(概述)
密钥管理框架实用程序
KMF 策略管理
KMF 插件管理
KMF 密钥库管理
使用密钥管理框架(任务)
使用密钥管理框架(任务列表)
如何使用
pktool gencert
命令创建证书
如何将证书导入密钥库
如何以 PKCS #12 格式导出证书和私钥
如何使用
pktool setpin
命令生成口令短语
如何使用
pktool genkeypair
命令生成密钥对
如何使用
pktool signcsr
命令签署证书请求
如何在 KMF 中管理第三方插件
第 5 部分验证服务和安全通信
14. 使用可插拔验证模块
PAM(概述)
使用 PAM 的益处
PAM 框架介绍
此发行版中 PAM 的更改
PAM(任务)
PAM(任务列表)
规划 PAM 实现
如何添加 PAM 模块
如何使用 PAM 防止从远程系统进行 Rhost 样式的访问
如何记录 PAM 错误报告
如何将定制的 PAM 策略指定给用户
如何将新的权限策略指定给所有用户
PAM 配置(参考)
PAM 配置搜索顺序
PAM 配置文件语法
基于每个用户的验证策略
PAM 栈工作原理
PAM 栈示例
15. 使用 安全 Shell
安全 Shell(概述)
安全 Shell 验证
企业中的安全 Shell
安全 Shell 和 OpenSSH 项目
安全 Shell 和 FIPS-140
配置安全 Shell(任务)
配置 安全 Shell(任务列表)
如何为安全 Shell 设置基于主机的验证
如何在安全 Shell 中配置端口转发
如何创建不同于 安全 Shell 缺省值的用户和主机例外
如何为
sftp
文件创建隔离的目录
使用 安全 Shell(任务)
使用 安全 Shell(任务列表)
如何生成用于安全 Shell 的公钥/私钥对
如何更改安全 Shell 私钥的口令短语
如何使用安全 Shell 登录到远程主机
如何减少安全 Shell 中的口令提示
如何使用 安全 Shell 远程管理 ZFS
如何在安全 Shell 中使用端口转发
如何使用安全 Shell 复制文件
如何设置防火墙外部主机的缺省 安全 Shell 连接
16. 安全 Shell(参考信息)
典型的安全 Shell 会话
安全 Shell 中的会话特征
安全 Shell 中的验证和密钥交换
在安全 Shell 中获取 GSS 凭证
安全 Shell 中的命令执行和数据转发
安全 Shell 中的客户机和服务器配置
安全 Shell 中的客户机配置
安全 Shell 中的服务器配置
安全 Shell 中的关键字
安全 Shell 中主机特定的参数
安全 Shell 和登录环境变量
在安全 Shell 中维护已知主机
安全 Shell 文件
安全 Shell 命令
17. 使用简单验证和安全层
SASL(概述)
SASL(参考信息)
SASL 插件
SASL 环境变量
SASL 选项
18. 网络服务验证(任务)
安全 RPC 概述
NFS 服务和安全 RPC
Kerberos 验证
使用安全 NFS 的 DES 加密
Diffie-Hellman 验证和安全 RPC
Diffie-Hellman 验证的实现
生成安全 RPC 的公钥和密钥
运行安全 RPC 的
keylogin
命令
生成安全 RPC 的对话密钥
初次与安全 RPC 中的服务器通信
在安全 RPC 模式下解密对话密钥
在安全 RPC 模式下在服务器上存储信息
在安全 RPC 模式下将检验器返回到客户机
在安全 RPC 模式下验证服务器
在安全 RPC 模式下处理事务
使用安全 RPC 管理验证(任务)
管理安全 RPC(任务列表)
如何重新启动安全 RPC Keyserver
如何为 NIS 主机设置 Diffie-Hellman 密钥
如何为 NIS 用户设置 Diffie-Hellman 密钥
如何通过 Diffie-Hellman 验证共享 NFS 文件
第 6 部分Kerberos 服务
19. Kerberos 服务介绍
什么是 Kerberos 服务?
Kerberos 服务的工作原理
初始验证:票证授予票证
后续 Kerberos 验证
Kerberos 远程应用程序
Kerberos 主体
Kerberos 领域
Kerberos 服务器
Kerberos 安全服务
各种 Kerberos 发行版的组件
Kerberos 组件
关于此发行版中的 Kerberos
20. 规划 Kerberos 服务
为什么要规划 Kerberos 部署?
规划 Kerberos 领域
领域名称
领域数量
领域分层结构
将主机名映射到领域
客户机与服务主体名称
KDC 端口和管理服务端口
从 KDC 数量
将 GSS 凭证映射到 UNIX 凭证
自动将用户迁移到 Kerberos 领域
要使用的数据库传播系统
领域内的时钟同步
客户机配置选项
提高客户机登录安全性
KDC 配置选项
委托服务的信任
Kerberos 加密类型
图形化 Kerberos 管理工具中的联机帮助 URL
21. 配置 Kerberos 服务(任务)
配置 Kerberos 服务(任务列表)
配置额外 Kerberos 服务(任务列表)
配置 KDC 服务器
如何自动配置主 KDC
如何交互配置主 KDC
如何手动配置主 KDC 服务器
如何配置 KDC 以使用 LDAP 数据服务器
如何自动配置从 KDC
如何交互配置从 KDC
如何手动配置从 KDC 服务器
如何刷新主服务器上的票证授予服务密钥
配置跨领域验证
如何建立层次化跨领域验证
如何建立直接跨领域验证
配置 Kerberos 网络应用服务器
如何配置 Kerberos 网络应用服务器
运行 FTP 时如何使用带有 Kerberos 的通用安全服务
配置 Kerberos NFS 服务器
如何配置 Kerberos NFS 服务器
如何创建凭证表
如何向凭证表中添加单个项
如何提供各领域之间的凭证映射
如何使用多种 Kerberos 安全模式设置安全的 NFS 环境
配置 Kerberos 客户机
配置 Kerberos 客户机(任务列表)
如何创建 Kerberos 客户机安装配置文件
如何自动配置 Kerberos 客户机
如何交互配置 Kerberos 客户机
如何为 Active Directory 服务器配置 Kerberos 客户机
如何手动配置 Kerberos 客户机
如何禁用票务授予票证的验证
如何以
root
用户身份访问受 Kerberos 保护的 NFS 文件系统
如何在 Kerberos 领域中配置用户自动迁移
如何配置帐户锁定
如何自动续订所有票证授予票证 (Ticket-Granting Ticket, TGT)
同步 KDC 与 Kerberos 客户机的时钟
交换主 KDC 服务器与从 KDC 服务器
如何配置可交换的从 KDC 服务器
如何交换主 KDC 服务器与从 KDC 服务器
管理 Kerberos 数据库
备份和传播 Kerberos 数据库
kpropd.acl
文件
kprop_script
命令
如何备份 Kerberos 数据库
如何恢复 Kerberos 数据库
如何在服务升级后转换 Kerberos 数据库
如何重新配置主 KDC 服务器以使用增量传播
如何重新配置从 KDC 服务器以使用增量传播
如何配置从 KDC 服务器以使用完全传播
如何验证 KDC 服务器是否已同步
如何手动将 Kerberos 数据库传播到从 KDC 服务器
设置并行传播
设置并行传播的配置步骤
管理存储文件
如何删除存储文件
如何使用新的主密钥
在 LDAP 目录服务器上管理 KDC
如何在非 Kerberos 对象类类型中混合 Kerberos 主体属性
如何在 LDAP 目录服务器上销毁领域
增强 Kerberos 服务器的安全性
如何限制对 KDC 服务器的访问
如何使用字典文件提高口令的安全性
22. Kerberos 错误消息和故障排除
Kerberos 错误消息
SEAM Tool 错误消息
常见的 Kerberos 错误消息 (A-M)
常见的 Kerberos 错误消息 (N-Z)
Kerberos 故障排除
如何识别密钥版本号相关的问题
krb5.conf
文件的格式存在问题
传播 Kerberos 数据库时出现问题
挂载基于 Kerberos 的 NFS 文件系统时出现问题
以
root
用户身份进行验证时出现问题
观察从 GSS 凭证到 UNIX 凭证的映射
对 Kerberos 服务使用 DTrace
23. 管理 Kerberos 主体和策略(任务)
管理 Kerberos 主体和策略的方法
SEAM Tool
SEAM Tool 的等效命令行
SEAM Tool 修改的唯一文件
SEAM Tool 的打印和联机帮助功能
在 SEAM Tool 中处理大型列表
如何启动 SEAM Tool
管理 Kerberos 主体
管理 Kerberos 主体(任务列表)
自动创建新的 Kerberos 主体
如何查看 Kerberos 主体列表
如何查看 Kerberos 主体属性
如何创建新的 Kerberos 主体
如何复制 Kerberos 主体
如何修改 Kerberos 主体
如何删除 Kerberos 主体
如何设置缺省值以创建新的 Kerberos 主体
如何修改 Kerberos 管理特权
管理 Kerberos 策略
管理 Kerberos 策略(任务列表)
如何查看 Kerberos 策略列表
如何查看 Kerberos 策略属性
如何创建新的 Kerberos 策略
如何复制 Kerberos 策略
如何修改 Kerberos 策略
如何删除 Kerberos 策略
SEAM Tool 参考
SEAM Tool 面板说明
以受限 Kerberos 管理特权使用 SEAM Tool
管理密钥表文件
管理密钥表文件(任务列表)
如何将 Kerberos 服务主体添加至密钥表文件
如何从密钥表文件中删除服务主体
如何显示密钥表文件中的密钥列表(主体)
如何在主机上临时禁用对服务的验证
24. 使用 Kerberos 应用程序(任务)
Kerberos 票证管理
是否需要担心票证?
创建 Kerberos 票证
查看 Kerberos 票证
销毁 Kerberos 票证
Kerberos 口令管理
关于选择口令的建议
更改口令
授予对帐户的访问权限
Kerberos 用户命令
基于 Kerberos 的命令概述
转发 Kerberos 票证
使用基于 Kerberos 的命令(示例)
25. Kerberos 服务(参考信息)
Kerberos 文件
Kerberos 命令
Kerberos 守护进程
Kerberos 术语
特定于 Kerberos 的术语
特定于验证的术语
票证类型
票证生命周期
Kerberos 主体名称
Kerberos 验证系统的工作原理
Kerberos 服务如何与 DNS 和
nsswitch
服务交互
使用 Kerberos 获取服务访问权限
获取用于票证授予服务的凭证
获取服务器凭证
获取对特定服务的访问权限
使用 Kerberos 加密类型
使用
gsscred
表
Oracle Solaris Kerberos 和 MIT Kerberos 之间的显著差异
第 7 部分在 Oracle Solaris 中审计
26. 审计(概述)
什么是审计?
审计术语和概念
审计事件
审计类和预选
审计记录和审计标记
审计插件模块
审计日志
存储和管理审计迹
确保时间戳可靠
管理远程系统信息库
审计如何与安全相关?
审计工作原理
配置审计的方式
在具有 Oracle Solaris 区域的系统上审计
关于此发行版中的审计服务
27. 规划审计
规划审计(任务)
如何规划区域中的审计
如何规划要审计的对象及内容
如何规划审计记录的磁盘空间
以流方式将审计记录传输到远程存储前如何执行准备工作
了解审计策略
控制审计成本
延长审计数据处理时间产生的成本
分析审计数据产生的成本
存储审计数据产生的成本
有效审计
28. 管理审计(任务)
配置审计服务(任务)
配置审计服务(任务列表)
如何显示审计服务缺省值
如何预选审计类
如何配置用户审计特征
如何更改审计策略
如何更改审计队列控制
如何配置
audit_warn
电子邮件别名
如何添加审计类
如何更改审计事件的类成员身份
配置审计日志(任务)
配置审计日志(任务列表)
如何为审计文件创建 ZFS 文件系统
如何为审计迹指定审计空间
如何向远程系统信息库发送审计文件
如何配置审计文件的远程系统信息库
如何配置
syslog
审计日志
在区域中配置审计服务(任务)
如何配置以相同方式审计所有区域
如何配置每区域审计
启用和禁用审计服务(任务)
如何刷新审计服务
如何禁用审计服务
如何启用审计服务
在本地系统上管理审计记录(任务)
在本地系统上管理审计记录(任务列表)
如何显示审计记录定义
如何合并审计迹中的审计文件
如何从审计迹中选择审计事件
如何查看二进制审计文件的内容
如何清除
not_terminated
审计文件
如何防止审计迹溢出
审计服务的故障排除(任务)
审计服务的故障排除(任务列表)
如何确定审计正在运行
如何减少生成的审计记录数目
如何审计用户执行的所有命令
如何找到对特定文件更改的审计记录
如何更新已登录用户的预选掩码
如何阻止审计特定事件
如何限制二进制审计文件的大小
如何压缩专用文件系统上的审计文件
如何审计从其他操作系统的登录
如何审计 FTP 和 SFTP 文件传输
29. 审计(参考信息)
审计服务
审计服务手册页
用于管理审计的权限配置文件
审计和 Oracle Solaris 区域
审计配置文件和软件包
审计类
审计类语法
审计插件
审计远程服务器
审计策略
同步事件和异步事件的审计策略
进程审计特征
审计迹
二进制审计文件名称约定
审计记录结构
审计记录分析
审计标记格式
acl
标记
argument
标记
attribute
标记
cmd
标记
exec_args
标记
exec_env
标记
file
标记
fmri
标记
group
标记
header
标记
ip address
标记
ip port
标记
ipc
标记
IPC_perm
标记
path
标记
path_attr
标记
privilege
标记
process
标记
return
标记
sequence
标记
socket
标记
subject
标记
text
标记
trailer
标记
use of authorization
标记
use of privilege
标记
user
标记
xclient
标记
zonename
标记
词汇表
索引
数字和符号
A
B
C
D
E
F
G
H
I
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Z
安
帮
包
保
报
备
本
变
标
表
病
测
策
层
插
查
超
成
承
程
初
处
窗
创
磁
从
存
错
打
代
单
登
等
地
点
调
定
读
端
对
反
范
方
防
访
非
分
服
符
复
附
高
更
公
共
故
挂
关
管
归
规
国
合
环
恢
会
活
获
基
机
计
加
监
减
检
将
交
脚
角
解
介
禁
进
井
绝
开
可
克
客
控
口
库
跨
扩
类
联
列
临
领
令
麦
密
面
名
命
模
目
内
配
票
凭
启
签
强
清
区
取
全
权
缺
确
任
认
日
散
删
上
设
审
生
失
实
时
使
事
守
手
受
授
属
数
刷
双
私
搜
算
随
特
提
替
添
通
同
透
完
网
委
文
无
物
系
显
限
向
消
销
效
协
写
卸
新
星
修
选
压
掩
验
以
异
溢
音
应
映
硬
永
用
邮
有
预
远
允
摘
证
执
直
指
终
术
主
注
转
装
资
自
组
最