跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
Trusted Extensions 管理员入门(任务列表)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
以下任务列表介绍了 Trusted Extensions 中的常见管理过程。
|
Trusted Extensions 提供了可用于更改口令的 GUI。
有关步骤,请参见如何进入 Trusted Extensions 的全局区域。
如果按区域创建单独的口令,则该菜单可以读取 "Change Workspace Password"(更改工作区口令)。
在以下情况下,必须重新引导有标签区域:
一个或多个本地用户已更改了口令。
所有区域都在使用命名服务高速缓存守护进程 (nscd) 的单个实例。
使用文件(而非 LDAP)管理系统。
开始之前
您必须指定有 "Zone Security"(区域安全)权限配置文件。
使用以下方法之一:
# txzonemgr &
在 "Labeled Zone Manager"(有标签区域管理器)中,导航到有标签区域,并从命令列表中选择 "Halt"(停止),然后选择 "Boot"(引导)。
您可以选择关闭或停止系统。
zlogin 命令完全关闭区域。
# zlogin labeled-zone shutdown -i 0 # zoneadm -z labeled-zone boot
halt 子命令绕过关闭脚本。
# zoneadm -z labeled-zone halt # zoneadm -z labeled-zone boot
故障排除
要自动更新有标签区域的用户口令,必须配置 LDAP 或每个区域配置一个命名服务。您也可以同时配置这两者。
要配置 LDAP,请参见第 5 章。
每个区域配置一个命名服务要求您具备网络方面的高级技能。有关过程,请参见如何为每个有标签区域配置单独的名称服务。
“安全注意”键组合可用来中断不可信的应用程序对指针或键盘的抓取。该键组合还可用来验证指针或键盘是否已被可信的应用程序抓取。在已被骗显示多个可信窗口条的多显示端系统中,该键组合可使指针切换到经授权的可信窗口条。
同时按这些键可重新获得对当前桌面焦点的控制权。在 Sun 键盘上,菱形是 Meta 键。
<Meta> <Stop>
如果抓取(例如指针)不可信,则指针会移动到窗口条。可信指针不会移动到可信窗口条。
<Alt> <Break>
在手提电脑中,同时按这些键可重新获得对当前桌面焦点的控制权。
示例 9-1 测试口令提示符是否可信
在使用 Sun 键盘的 x86 系统上,已提示用户输入口令。光标已被抓取,并且位于口令对话框中。要检查该提示是否可信,用户可同时按 <Meta> <Stop> 键。如果指针保留在对话框中,则用户可以判定该口令提示符是可信的。
如果指针移动到了可信窗口条,则用户可判定该口令提示符可能不可信,然后可以与管理员联系。
示例 9-2 强制将指针移动到可信窗口条
在本示例中,用户没有运行任何可信的进程,但无法看到鼠标指针。要将指针移回到可信窗口条的中心,用户需同时按 <Meta> <Stop> 键。
此过程提供标签的内部十六进制表示形式。此表示形式可安全地用于在公共目录中进行存储。有关更多信息,请参见 atohexlabel(1M) 手册页。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。有关详细信息,请参见如何进入 Trusted Extensions 的全局区域。
$ atohexlabel "CONFIDENTIAL : INTERNAL USE ONLY" 0x0004-08-48
字符串不区分大小写,但空格必须确切。例如,以下带引号的字符串返回一个十六进制标签:
"CONFIDENTIAL : INTERNAL USE ONLY"
"cnf : Internal"
"confidential : internal"
以下带引号的字符串返回一个解析错误:
"confidential:internal"
"confidential: internal"
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW" 0x0004-08-68
注 - 人类可阅读的敏感标签和安全许可标签是根据 label_encodings 文件中的规则构成的。每种类型的标签使用该文件的一个单独部分中的规则。敏感标签和安全许可标签都表达相同的基础级别的敏感度时,这些标签具有相同的十六进制形式。但是,标签可具有不同的人类可阅读形式。接受人类可阅读的标签作为输入的系统接口预期输入一种类型的标签。如果标签类型的文本字符串有所差异,则这些文本字符串无法互换使用。
在 label_encodings 文件中,安全许可标签的等效文本不包括冒号 (:)。
示例 9-3 使用 atohexlabel 命令
当您以十六进制格式传递有效标签时,命令会返回参数。
$ atohexlabel 0x0004-08-68 0x0004-08-68
当您传递管理标签时,命令会返回参数。
$ atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW
故障排除
错误消息 atohexlabel parsing error found in <string> at position 0(在位置 0 处的 <string> 中发现 atohexlabel 解析错误)表明传递到 atohexlabel 的 <string> 参数不是有效的标签或安全许可。请检查您的键入内容,并检查该标签是否存在于已安装的 label_encodings 文件中。
此过程提供了一种方法来修复存储在内部数据库中的标签。有关更多信息,请参见 hextoalabel(1M) 手册页。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
$ hextoalabel 0x0004-08-68 CONFIDENTIAL : NEED TO KNOW
$ hextoalabel -c 0x0004-08-68 CONFIDENTIAL NEED TO KNOW
/etc/security 和 /etc/default 目录中的文件包含安全值。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的第 3 章 "控制对系统的访问(任务)"。
注意 - 仅当站点安全策略允许时您才能放宽系统安全缺省值。 |
开始之前
您处于全局区域,并指定有 solaris.admin.edit/ filename 授权。缺省情况下,root 角色拥有此授权。
下表列出了安全文件以及可能在这些文件中更改的安全值。前两个文件对 Trusted Extensions 而言是唯一的。
|