| 跳过导航链接 | |
| 退出打印视图 | |
|
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
Trusted Extensions 和 Oracle Solaris OS
Trusted Extensions 和 Oracle Solaris OS 之间的相似之处
Trusted Extensions 和 Oracle Solaris OS 之间的不同之处
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
Trusted Extensions 软件会向 Oracle Solaris 系统添加标签。还会添加有标签工作区和可信应用程序,例如标签生成器和设备管理器。对于用户和管理员而言,本节中的概念都是了解 Trusted Extensions 所必需的。《Trusted Extensions 用户指南》中会为用户介绍这些概念。
Trusted Extensions 软件增强了对 Oracle Solaris OS 的保护。Trusted Extensions 可将用户和角色限制在批准的标签范围内。该标签范围限制用户和角色可以访问的信息。
Trusted Extensions 软件会显示 "Trusted Path"(可信路径)符号,是显示在可信窗口条左侧的明显、防篡改的标志。在 Trusted GNOME 中,可信窗口条位于屏幕顶部。"Trusted Path"(可信路径)符号符号会在用户使用与安全相关的系统部分时给予指示。如果用户正运行可信应用程序时,没有显示此符号,应立即检查该应用程序版本的真实性。如果未显示可信窗口条,则此桌面不可信。有关桌面显示样例,请参见图 6-1。
图 6-1 Trusted Extensions 多级别桌面
与安全最为相关的软件,即可信计算基 (Trusted Computing Base, TCB),在全局区域中运行。一般用户不能进入全局区域或查看其资源。用户将受 TCB 软件的限制,例如在更改口令时。只要用户与 TCB 进行交互,"Trusted Path"(可信路径)符号就会出现。
Trusted Extensions 软件通过自主访问控制 (discretionary access control, DAC) 和强制访问控制 (mandatory access control, MAC) 保护信息和其他资源。DAC 是由所有者根据自己的判断设置的传统 UNIX 权限位和访问控制列表。MAC 是系统自动强制执行的一种机制。MAC 通过检查事务中进程和数据的标签来控制所有事务。
用户的标签表示允许该用户运行以及该用户选择操作的敏感度级别。典型的标签有秘密或公共。标签确定允许用户访问的信息。使用 Oracle Solaris 提供的特殊权限,可以覆盖 MAC 和 DAC。特权是指可授予进程的特殊特权。授权是指可由管理员授予用户和角色的特殊权限。
作为管理员,您需要根据您站点的安全策略,向用户提供有关适当过程的培训以保护他们的文件和目录。此外,对于允许升级或降级标签的任何用户,您需要指导他们何时适合进行升级或降级。
标签和安全许可位于 Trusted Extensions 中强制访问控制 (mandatory access control, MAC) 的中心。它们定义哪些用户可以访问哪些程序、文件和目录。标签和安全许可包括一个等级组件以及零个或多个区间组件。等级组件表示有层次的安全性级别,例如 TOP SECRET(绝密)到 SECRET(秘密),再到 PUBLIC(公共)。区间组件表示可能需要访问通用信息主体的一组用户。一些典型的区间类型包括项目、部门或物理位置。标签可由授权用户读取,但在内部,标签会像数字一样进行处理。数字及其可读版本在 label_encodings 文件中进行定义。
Trusted Extensions 在所有尝试的安全相关事务中起中介所用。该软件会将访问实体(通常是进程)的标签与被访问的实体(通常是文件系统对象)的标签进行比较。然后,软件会根据哪个标签处于支配地位 (dominant) 来允许或禁止事务。标签还可用于确定对其他系统资源的访问,例如可分配的设备、网络、帧缓存器和其他系统。
如果满足下面两个条件,表示一个实体的标签支配另一个标签:
如果两个标签具有相同的等级和相同的区间集合,则表明这两个标签相等。如果两个标签相等,它们互相支配,而且允许访问。
如果一个标签具有较高等级,或者如果它具有相同等级并且其区间是第二个标签的区间的超集,或者两种情况兼具,表示第一个标签严格支配第二个标签。
如果没有一个标签支配另一个标签,表示这两个标签不相交或不可比。
下表提供了有关支配关系的标签比较示例。在此示例中,NEED_TO_KNOW 是高于 INTERNAL 的等级。存在三个区间:Eng、Mkt 和 Fin。
表 6-1 标签关系的示例
|
Trusted Extensions 提供两个用作标签或安全许可的特殊管理标签:ADMIN_HIGH 和 ADMIN_LOW。这些标签用于保护系统资源,而且是供管理员而非一般用户使用。
ADMIN_HIGH 是最高级别标签。ADMIN_HIGH 支配系统中所有其他标签,并且可用于保护系统数据(例如管理数据库或审计迹)以免被读取。您必须位于全局区域中才能读取标签为 ADMIN_HIGH 的数据。
ADMIN_LOW 是最低级别标签。ADMIN_LOW 受系统中所有其他标签的支配,包括一般用户的标签。强制访问控制不允许用户将数据写入标签低于用户标签的文件。因此,一般用户可以读取但不可修改标签 ADMIN_LOW 级别的文件。ADMIN_LOW 通常用于保护共享的公共可执行文件,例如 /usr/bin 中的文件。
系统的所有标签组件(即等级、区间和关联的规则)都存储在 ADMIN_HIGH 文件中,即 label_encodings 文件。该文件位于 /etc/security/tsol 目录中。安全管理员为站点设置 label_encodings 文件。标签编码文件包含:
有关更多信息,请参见 label_encodings(4) 手册页。还可以在《Trusted Extensions Label Administration》和《Compartmented Mode Workstation Labeling: Encodings Format》中了解详细信息。
标签范围是指用户可在该处运行的潜在可用标签集合。用户和资源都有标签范围。可由标签范围保护的资源包括可分配的设备、网络、接口、帧缓存器和命令等。标签范围由范围顶部的安全许可以及底部的最小标签定义。
范围并不一定包括位于最大和最小标签之间的所有标签组合。label_encodings 文件中的规则可取消某些组合的资格。标签必须格式正确(即被标签编码文件中的所有适用规则所允许),才能包含在范围之中。
但是,安全许可不一定要格式正确。例如,假定 label_encodings 文件在某个标签中禁止区间 Eng、Mkt 和 Fin 的任意组合。INTERNAL Eng Mkt Fin 将是有效的安全许可,但不是有效的标签。作为安全许可,此组合将允许用户访问标签为 INTERNAL Eng、INTERNAL Mkt 和 INTERNAL Fin 的文件。
将安全许可和最小标签指定给用户时,您也就定义了允许用户在其中进行操作的帐户标签范围的上界和下界。以下等式描述了帐户标签范围,使用 ≤ 指示“受支配于或相同于”:
最小标签 ≤ 允许标签 ≤ 安全许可
因此,只要该标签可以支配最小标签,则将允许用户在由安全许可支配的任意标签下进行操作。如果没有明确设置用户的安全许可或最小标签,则 label_encodings 文件中定义的缺省值将生效。
可为用户指定安全许可和最小标签,从而允许他们在多个标签或单个标签下执行操作。用户的安全许可和最小标签相等时,用户只能在一个标签下执行操作。
会话范围是指 Trusted Extensions 会话过程中用户可用的标签集合。会话范围必须位于用户的帐户标签范围内以及为系统设置的标签范围内。登录时,如果用户选择单标签会话模式,会话范围限制为该标签。如果用户选择多标签会话模式,用户所选择的标签会成为会话安全许可。会话安全许可定义会话范围的上界。用户的最小标签定义下界。用户在最小标签的工作区中开始会话。会话过程中,用户可切换到会话范围内任何标签的工作区。
标签显示在桌面上以及在桌面上执行的输出(例如打印输出)上。
应用程序—应用程序启动进程。这些进程以启动应用程序的工作区的标签运行。有标签区域中的应用程序,将在区域的标签下将其作为一个文件为其设置标签。
设备—流过设备的数据通过设备分配和设备标签范围进行控制。要使用设备,用户必须位于设备的标签范围内,而且被授权分配设备。
文件系统挂载点—每个挂载点都有一个标签。可使用 getlabel 命令查看标签。
IPsec 和 IKE-IPsec 安全关联和 IKE 规则具有标签。
网络接口-将为 IP 地址(主机)指定描述其标签范围的安全模板。正在进行通信的 Trusted Extensions 系统也将为无标签主机指定缺省标签。
打印机与打印—打印机具有标签范围。标签打印在正文页上。标签、处理信息和其他安全信息打印在标题页和篇尾页上。要在 Trusted Extensions 中配置打印,请参见第 19 章和《Trusted Extensions Label Administration》中的"Labels on Printed Output"。
进程-将为进程设置标签。进程以进程源自的工作区的标签运行。可通过使用 plabel 命令查看进程的标签。
用户—将为用户指定缺省标签和标签范围。用户工作区的标签指示用户进程的标签。
窗口—可在桌面窗口的顶部看到标签。桌面的标签也由颜色指示。颜色将显示在工作区面板和上方的窗口标题栏上,如图 6-1 中所示。
窗口移动到带不同标签的工作区时,窗口会保持其原始的标签。在该窗口中启动的进程会在原始标签下执行。
区域-每个区域都有一个标签。区域拥有的文件和目录处于该区域的标签级别。有关更多信息,请参见 getzonepath(1) 手册页。
在运行 Oracle Solaris 软件但没有 Trusted Extensions 的系统上,角色是可选的。在配置有 Trusted Extensions 的系统上,角色是必需的。该系统由 "Security Administrator"(安全管理员)角色和安全管理员角色管理。在某些情况下,会使用 root 角色。
Trusted Extensions 中角色可用的程序具有特殊属性,即可信路径属性。该属性指示此程序是 TCB 的一部分。从全局区域中启动程序时,可以使用可信路径属性。
与在 Oracle Solaris 中一样,权限配置文件是角色功能的基础。有关权限配置文件和角色的信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的第 8 章 "使用角色和特权(概述)"。
|
