跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
Trusted Extensions 中用于管理远程系统的方法
在 Trusted Extensions 中配置和管理远程系统(任务列表)
启用对远程 Trusted Extensions 系统的远程管理
如何对 Trusted Extensions 系统配置 Xvnc 以进行远程访问
如何登录和管理远程 Trusted Extensions 系统
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
远程管理带来了相当大的安全风险,尤其是来自不可信系统中的用户。缺省情况下,Trusted Extensions 不允许从任何系统进行远程管理。
配置网络之前,为所有远程主机指定了 admin_low 安全模板,即,将它们识别为无标签主机。配置有标签区域之前,唯一可用的区域是全局区域。在 Trusted Extensions 中,全局区域是管理区域。只有角色才可以访问该区域。具体来说,帐户必须具有从 ADMIN_LOW 到 ADMIN_HIGH 的标签范围,才能访问全局区域。
在该初始状态下,通过多种机制来保护 Trusted Extensions 系统免受远程攻击。机制包括 netservices 值、缺省 ssh 策略、缺省登录策略和缺省 PAM 策略。
安装时,除安全 shell 之外不会启用任何远程服务来侦听网络。
但是,由于 ssh、登录和 PAM 策略,root 或角色无法使用 ssh 服务进行远程登录。
root 帐户不能用于远程登录,因为 root 是一个角色。角色不能登录,这由 PAM 强制执行。
即使将 root 更改为用户帐户,缺省登录和 ssh 策略也会阻止 root 用户远程登录。
两个缺省 PAM 值可阻止远程登录。
pam_roles 模块拒绝 role 类型的帐户进行本地和远程登录。
Trusted Extensions PAM 模块 pam_tsol_account 拒绝远程登录到全局区域,除非使用 CIPSO 协议。该策略的目的是由另一个 Trusted Extensions 系统执行远程管理。
因此,与在 Oracle Solaris 系统中一样,必须对远程管理进行配置。Trusted Extensions 添加了两个配置要求,即,访问全局区域所需的标签范围和 pam_tsol_account 模块。