跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
如何在 Trusted Extensions 中为用户配置启动文件
如何在 Trusted Extensions 中登录到故障安全会话
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
在 Trusted Extensions 中,您将承担 "Security Administrator"(安全管理员)角色,以便管理用户、授权、权限和角色。下面的任务列表介绍了您为在有标签环境中工作的用户执行的常见任务。
|
您可能想要扩展用户的标签范围来给予用户对管理应用程序的读取访问权。例如,可登录全局区域的用户也可以查看在特定标签中运行的系统列表。该用户可以查看但不能更改内容。
另一方面,您也可能想要收缩用户的标签范围。例如,可以将来宾用户限制到一个标签中。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
# usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe
也可以通过降低最小标签的级别,来扩展用户的标签范围。
# usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe
有关更多信息,请参见 usermod(1M) 和 user_attr(4) 手册页。
# usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe
如果站点安全策略允许,您可能希望创建权限配置文件,该文件包含对可执行需要授权的任务的用户进行的授权。要使特定系统的每个用户得以授权,请参见如何修改 policy.conf 缺省值。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
有关逐步操作过程,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何创建权限配置文件"。
下列授权可能便于用户使用:
solaris.device.allocate-授权用户分配外围设备,例如麦克风或 CD-ROM。
缺省情况下,Oracle Solaris 用户可以对 CD-ROM 进行读取和写入。不过,在 Trusted Extensions 中,只有可以分配设备的用户能够访问 CD-ROM 驱动器。分配供使用的驱动器需要授权。因此,要在 Trusted Extensions 中对 CD-ROM 进行读取和写入,用户需要 "Allocate Device"(分配设备)授权。
solaris.label.file.downgrade-授权用户降低文件的安全级别。
solaris.label.file.upgrade-授权用户提高文件的安全级别。
solaris.label.win.downgrade-授权用户从较高级别文件选择信息并将所选信息放到较低级别文件中。
solaris.label.win.noview-授权用户移动信息而不查看所移动的信息。
solaris.label.win.upgrade-授权用户从较低级别文件选择信息并将所选信息放到较高级别文件中。
solaris.login.remote-授权用户远程登录。
solaris.print.nobanner-授予用户打印无标题页打印件的权限。
solaris.print.unlabeled-授予用户打印不显示标签的打印件的权限。
solaris.system.shutdown-授权用户关闭系统和关闭区域。
有关逐步操作过程,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何更改用户的安全属性"。
站点安全策略可能要求授予用户的特权要少于缺省情况下指定给用户的特权。例如,在 Sun Ray 系统上使用 Trusted Extensions 的站点,您可能希望阻止用户查看 Sun Ray 服务器上其他用户的进程。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
注意 - 请勿删除 proc_fork 或 proc_exec 特权。如果没有这些特权,用户无法使用系统。 |
# usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any
通过删除 proc_info 特权,可以防止用户检查其他用户发起的任何进程。通过删除 proc_session 特权,可以防止用户检查其当前会话以外的任何进程。通过删除 file_link_any 特权,可以防止用户生成指向不归其所有的文件的硬链接。
另请参见
有关收集权限配置文件中特权限制的示例,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何创建权限配置文件"中的示例。
要限制系统中所有用户的特权,请参见示例 11-2。
对可承担角色的所有用户执行以下过程。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
# usermod -K lock_after_retries=no jdoe
要对 LDAP 用户关闭帐户锁定,请指定 LDAP 系统信息库。
# usermod -S ldap -K lock_after_retries=no jdoe
可以授权一般用户或角色更改文件和目录或所选文本的安全级别或标签。除了具有授权外,该用户或角色还必须配置为以多个标签工作。而且,必须将有标签区域配置为允许重新设置标签。有关过程,请参见如何在有标签区域中允许重新为文件设置标签。
注意 - 更改数据的安全级别是一个特权操作。此任务仅适用于值得信任的用户。 |
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
有关逐步操作过程,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何更改用户的安全属性"。
示例 11-5 允许用户升级而非降级文件标签
"Object Label Management"(对象标签管理)权限配置文件允许用户升级和降级标签。在此示例中,管理员允许可信用户升级数据,但不能将其降级。
管理员创建了一个基于"Object Label Management"(对象标签管理)配置文件的权限配置文件,并删除了新配置文件中的"Downgrade File Label"(降级文件标签)和 "Downgrade DragNDrop or CutPaste Info"(降级 DragNDrop 或 CutPaste 信息)授权。
# profiles -p "Object Label Management" profiles:Object Label Management> set name="Object Upgrade" profiles:Object Upgrade> info auths ... profiles:Object Upgrade> remove auths="solaris.label.file.downgrade, solaris.label.win.downgrade" profiles:Object Upgrade> commit profiles:Object Upgrade> end
然后,管理员将配置文件指定给可信用户。
# usermod -P +"Object Upgrade" jdoe
从系统删除用户时,必须确保同时删除用户的起始目录以及用户拥有的所有对象。作为删除用户拥有的对象的替代方法,您可以将这些对象的所有权变更到一个有效用户。
您还必须确保删除与该用户关联的所有批处理作业。系统上不能保留任何属于已删除用户的对象或进程。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。
# userdel -r jdoe
注 - 您应当负责查找和删除用户在所有标签的临时文件,例如 /tmp 目录中的文件。
有关其他注意事项,请参见用户删除操作。