跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
如何在 Trusted Extensions 中配置 IPv6 CIPSO 网络
如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统
如何在 Trusted Extensions 中创建 "Security Administrator"(安全管理员)角色
如何创建 "System Administrator"(系统管理员)角色
如何在 Trusted Extensions 中创建可以承担角色的用户
如何检验 Trusted Extensions 角色是否有效
在 Trusted Extensions 中创建集中起始目录
如何在 Trusted Extensions 中创建起始目录服务器
如何让用户登录每个 NFS 服务器来访问每个标签下的远程起始目录
如何通过在每个服务器上配置自动挂载程序来使用户能够访问其远程起始目录
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
对于配置 Trusted Extensions 系统以满足要求,以下任务很有用。通过最后一项任务,可以将 Trusted Extensions 功能从 Oracle Solaris 系统中删除。
|
有标签辅助区域可用于将服务隔离在不同区域中,但仍允许服务使用同一标签运行。有关更多信息,请参见有标签主区域和有标签辅助区域。
开始之前
主区域必须存在。辅助区域必须具有专用 IP 地址,并且不能要求使用桌面。
您必须在全局区域中承担 root 角色。
您可以使用命令行或 txzonemgr 有标签区域 GUI。
# tncfg -z secondary-label-service primary=no # tncfg -z secondary-label-service label=public
# txzonemgr &
导航至创建新区域的菜单(或选项),然后按照提示执行操作。
注 - 必须以前缀形式输入网络掩码。例如,255.255.254.0 网络掩码要求使用 23 前缀。
# tncfg -z zone info primary primary=no
示例 4-6 为公共脚本创建区域
在以下示例中,管理员隔离出一个用于运行脚本和批处理作业的公共区域。
# tncfg -z public-scripts primary=no # tncfg -z public-scripts label=public
当降级或升级信息时,多级别数据集是很有用的容器。有关更多信息,请参见需要为文件重新设置标签的多级别数据集。对于多级别 NFS 文件服务器为大量 NFS 客户机提供使用许多标签的文件,多级别数据集也很有用。
开始之前
要创建多级别数据集,您必须在全局区域中承担 root 角色。
# zfs create -o mountpoint=/multi -o multilevel=on rpool/multi
rpool/multi 是在全局区域的 /multi 上挂载的多级别数据集。
要限制数据集的上限标签范围,请参见示例 4-7。
# getlabel /multi /multi: ADMIN_LOW
为池中的所有文件系统将以下 ZFS 属性设置为 off:
# zfs set devices=off rpool/multi # zfs set exec=off rpool/multi # zfs set setuid=off rpool/multi
通常,压缩是在 ZFS 中的文件系统级别设置的。但是,由于此池中的所有文件系统都是数据文件,因此会在顶级数据集为池设置压缩。
# zfs set compression=on rpool/multi
另请参见《Oracle Solaris 11.1 管理:ZFS 文件系统》中的"ZFS 压缩、重复数据删除和加密属性之间的交互"。
# cd /multi # mkdir public internal # chmod 777 public internal # setlabel PUBLIC public # setlabel "CNF : INTERNAL" internal
例如,以下 zonecfg 命令系列可在 public 区域中挂载数据集。
# zonecfg -z public zonecfg:public> add fs zonecfg:public:fs> set dir=/multi zonecfg:public:fs> set special=/multi zonecfg:public:fs> set type=lofs zonecfg:public:fs> end zonecfg:public> exit
多级别数据集允许在与挂载区域标签相同的标签处写入文件以及读取较低级别的文件。可以查看和设置挂载文件的标签。
# tncfg -z global add mlp_private=2049/tcp # tncfg -z global add mlp_private=111/udp # tncfg -z global add mlp_private=111/tcp
# svcadm restart nfs/server
# share /multi
已挂载 NFS 的多级别数据集允许在与挂载区域标签相同的标签处写入文件以及读取较低级别的文件。无法可靠地查看或设置已挂载文件的标签。有关更多信息,请参见挂载来自其他系统的多级别数据集。
示例 4-7 使用低于 ADMIN_HIGH 的最高级别标签创建多级别数据集
在以下示例中,管理员将使用低于缺省值 ADMIN_HIGH 的上界标签或最高级别标签创建多级别数据集。创建数据集时,管理员在 mslabel 属性中指定标签上界。此上界可阻止全局区域进程在多级别数据集中创建任何文件或目录。只有有标签区域才能在数据集中创建目录和文件。由于 multilevel 属性为 on,因此 mlslabel 属性会为单标签数据集设置上界而非标签。
# zfs create -o mountpoint=/multiIUO -o multilevel=on \ -o mlslabel="CNF : INTERNAL" rpool/multiIUO
然后,管理员登录到每个有标签区域,在已挂载数据集中以该标签创建目录。
# zlogin public # mkdir /multiIUO # chmod 777 /multiIUO # zlogin internal # mkdir /multiIUO # chmod 777 /multiIUO
重新引导区域后,多级别数据集以挂载区域的标签对已授权用户可见。
接下来的步骤
要使用户能够对文件重新设置标签,请参见如何在有标签区域中允许重新为文件设置标签。
有关重新设置文件标签的说明,请参见《Trusted Extensions 用户指南》中的"如何升级多级别数据集中的数据"和《Trusted Extensions 用户指南》中的"如何降级多级别数据集中的数据"。
复制到便携介质时,使用信息的敏感标签来标记介质。
注 - 在 Trusted Extensions 配置期间,root 角色可能会使用便携介质将 label_encodings 文件传输到所有系统。使用 Trusted Path(可信路径)标记介质。
开始之前
要复制管理文件,您必须在全局区域中承担 root 角色。
使用 Device Manager(设备管理器),然后插入一个干净的介质。有关详细信息,请参见《Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中分配设备"。
文件浏览器将显示干净介质的内容。
有关详细信息,请参见《Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中对设备取消分配"。
注 - 请记住在包含所复制文件敏感标签的介质上粘上一个实体标签。
示例 4-8 使所有系统上的配置文件保持相同
系统管理员需要确保每个系统都配置了相同的设置。因此,在配置的第一个系统中,管理员将创建一个在重新引导后不能被删除的目录。在该目录中,管理员将放入必须在所有系统上相同或非常相似的文件。
例如,管理员将针对该站点修改 policy.conf 文件、缺省 login 和 passwd 文件。因此,管理员将以下文件复制到永久性目录。
# mkdir /export/commonfiles # cp /etc/security/policy.conf \ # cp /etc/default/login \ # cp /etc/default/passwd \ # cp /etc/security/tsol/label_encodings \ /export/commonfiles
管理员使用 Device Manager(设备管理器)在全局区域中分配 CD-ROM,将文件传输到 CD,并粘贴 Trusted Path(可信路径)标签。
安全的做法是替换文件之前,先重命名原始 Trusted Extensions 文件。在配置系统时,root 角色会重命名和复制管理文件。
开始之前
要复制管理文件,您必须在全局区域中承担 root 角色。
有关详细信息,请参见《Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中分配设备"。
文件浏览器将显示内容。
例如,在原始文件末尾加上 .orig:
# cp /etc/security/tsol/label_encodings /etc/security/tsol/label_encodings.orig
有关详细信息,请参见《Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中对设备取消分配"。
您必须执行特定步骤,才能从 Oracle Solaris 系统中删除 Trusted Extensions 功能。
开始之前
您是全局区域中的 root 角色。
对于便携介质,将带有区域敏感标签的物理贴纸贴粘到每个归档区域。
有关详细信息,请参见《Oracle Solaris 11.1 管理:Oracle Solaris Zones、Oracle Solaris 10 Zones 和资源管理》中的"如何删除非全局区域"。
# svcadm disable labeld
可能需要为您的 Oracle Solaris 系统配置各种服务。可能项包括基本网络、命名服务和文件系统挂裁。