在区域中使用 Oracle Solaris 审计 - 系统管理指南：Oracle Solaris Containers－资源管理和 Oracle Solaris Zones

跳过导航链接
退出打印视图
	系统管理指南：Oracle Solaris Containers－资源管理和 Oracle Solaris Zones Oracle Solaris 10 1/13 Information Library (简体中文)

第 1 部分资源管理

1. Solaris 10 资源管理介绍

2. 项目和任务（概述）

3. 管理项目和任务

4. 扩展记帐（概述）

5. 管理扩展记帐（任务）

6. 资源控制（概述）

7. 管理资源控制（任务）

8. 公平共享调度程序（概述）

9. 管理公平共享调度程序（任务）

10. 使用资源上限设置守护进程控制物理内存（概述）

11. 管理资源上限设置守护进程（任务）

12. 资源池（概述）

13. 创建和管理资源池（任务）

14. 资源管理配置示例

15. Solaris Management Console 中的资源控制功能

第 2 部分区域

16. Solaris Zones 介绍

17. 非全局区域配置（概述）

18. 规划和配置非全局区域（任务）

19. 关于安装、停止、克隆和卸载非全局区域（概述）

20. 安装、引导、停止、卸载和克隆非全局区域（任务）

21. 非全局区域登录（概述）

22. 登录到非全局区域（任务）

23. 移动和迁移非全局区域（任务）

24. Oracle Solaris 10 9/10：将物理 Oracle Solaris 系统迁移到区域中（任务）

25. 关于安装了区域的 Oracle Solaris 系统上的软件包和修补程序（概述）

26. 在安装了区域的 Oracle Solaris 系统上添加和删除软件包和修补程序（任务）

27. Oracle Solaris Zones 管理（概述）

本章新增内容

全局区域可见性和访问权限

区域中的进程 ID 可见性

区域中的系统可查看性

非全局区域节点名称

文件系统和非全局区域

-o nosuid 选项

在区域中挂载文件系统

在区域中卸载文件系统

安全限制和文件系统行为

作为 NFS 客户机的非全局区域

在区域中禁止使用 mknod

遍历文件系统

从全局区域中访问非全局区域的限制

共享 IP 非全局区域中的联网

共享 IP 区域分区

共享 IP 网络接口

同一计算机上共享 IP 区域之间的 IP 通信

共享 IP 区域中的 Oracle Solaris IP 过滤器

共享 IP 区域中的 IP 网络多路径

Oracle Solaris 10 8/07：专用 IP 非全局区域中的网络设置

专用 IP 区域分区

专用 IP 数据链路接口

同一计算机上专用 IP 区域之间的 IP 通信

专用 IP 区域中的 Oracle Solaris IP 过滤器

专用 IP 区域中的 IP 网络多路径

非全局区域中的设备使用

/dev 和 /devices 名称空间

设备驱动程序管理

在非全局区域中无法使用或者修改的实用程序

无法在非全局区域中使用的实用程序

SPARC: 修改为可在非全局区域中使用的实用程序

在非全局区域中运行应用程序

在非全局区域中使用的资源控制

安装了区域的 Oracle Solaris 系统上的公平共享调度程序

非全局区域中的 FSS 份额分配

区域之间的份额平衡

安装了区域的 Oracle Solaris 系统上的扩展记帐

非全局区域中的特权

在区域中使用 IP 安全体系结构

共享 IP 区域中的 IP 安全体系结构

Oracle Solaris 10 8/07：专用 IP 区域中的 IP 安全体系结构

在区域中使用 Oracle Solaris 审计

在全局区域中配置审计

在非全局区域中配置用户审计特征

为特定的非全局区域提供审计记录

区域中的核心文件

在非全局区域中运行 DTrace

关于备份安装了区域的 Oracle Solaris 系统

备份回送文件系统目录

在全局区域中备份系统

在系统上备份单个非全局区域

确定在非全局区域中备份的内容

仅备份应用程序数据

常规数据库备份操作

关于恢复非全局区域

在安装了区域的 Oracle Solaris 系统上使用的命令

28. Oracle Solaris Zones 管理（任务）

29. 升级安装了非全局区域的 Oracle Solaris 10 系统

30. 各种 Oracle Solaris Zones 问题的故障排除

第 3 部分lx 标记区域

31. 关于标记区域和 Linux 标记区域

32. 规划 lx 标记区域配置（概述）

33. 配置 lx 标记区域（任务）

34. 关于安装、引导、停止、克隆和卸载 lx 标记区域（概述）

35. 安装、引导、停止、卸载和克隆 lx 标记区域（任务）

36. 登录到 lx 标记区域（任务）

37. 移动和迁移 lx 标记区域（任务）

38. 在 lx 标记区域中管理和运行应用程序（任务）

在区域中使用 Oracle Solaris 审计

Oracle Solaris 审计在《系统管理指南：安全性服务》中的第 28 章 "Oracle Solaris 审计（概述）"中进行了介绍。有关与审计关联的区域注意事项，请参见以下各节：

审计记录用于介绍事件，例如登录到系统或写入文件。记录由作为审计数据集合的标记组成。通过使用 zonename 标记，可以配置 Oracle Solaris 审计按区域标识审计事件。使用 zonename 标记，可以生成以下信息：

审计记录，使用生成记录的区域名称进行标记
特定区域的审计日志，全局管理员使此日志可用于区域管理员。

在全局区域中配置审计

Oracle Solaris 审计迹在全局区域中进行配置。审计策略在全局区域中设置并应用于所有区域中的进程。审计记录可以使用发生事件的区域名称进行标记。要在审计记录中包括区域名称，必须在安装任何非全局区域之前编辑 /etc/security/audit_startup 文件。区域名称选择区分大小写。

要在全局区域中将审计配置为包括所有区域审计记录，请将以下行添加到 /etc/security/audit_startup 文件：

/usr/sbin/auditconfig -setpolicy +zonename

以全局区域中全局管理员的身份执行 auditconfig 实用程序：

global# auditconfig -setpolicy +zonename

有关其他信息，请参见 audit_startup(1M) 和 auditconfig(1M) 手册页以及《系统管理指南：安全性服务》中的“配置审计文件（任务列表）”。

在非全局区域中配置用户审计特征

安装了非全局区域之后，便可将全局区域中的 audit_control 文件和 audit_user 文件复制到此区域的 /etc/security 目录。这些文件可能需要进行修改以反映此区域的审计需求。

例如，可以将每个区域配置为以不同的方式审计某些用户。要按用户应用不同的预选条件，必须编辑 audit_control 和 audit_user 文件。如有必要，还可能需要修改非全局区域中的 audit_user 文件以反映区域的用户基础。由于可以针对审计用户以不同的方式配置每个区域，因此，audit_user 文件可能为空。

有关其他信息，请参见 audit_control(4) 和 audit_user(4) 手册页。

为特定的非全局区域提供审计记录

通过加入 zonename 标记（如在全局区域中配置审计中所述），可以按区域对 Oracle Solaris 审计记录进行分类。然后，可以使用 auditreduce 命令收集来自不同区域的记录，从而为特定区域创建日志。

有关更多信息，请参见 audit_startup(1M) 和 auditreduce(1M) 手册页。

版权所有 © 2004, 2013, Oracle 和/或其附属公司。保留所有权利。法律声明

上一页

下一页