跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 管理员规程 Oracle Solaris 10 1/13 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
下面的任务列表介绍了为 Trusted Extensions 管理员设置工作环境的过程。
|
可信编辑器使用 $EDITOR 环境变量的值作为其编辑器。
开始之前
您必须是全局区域中的一个角色。
# echo $EDITOR
以下是可能存在的编辑器。也可能没有设置 $EDITOR 变量。
/usr/dt/bin/dtpad—是 CDE 提供的编辑器。
/usr/bin/gedit—是 Java Desktop System,发行版 number 提供的编辑器。Solaris Trusted Extensions (JDS) 是该桌面的可信版本。
/usr/bin/vi—是可视编辑器。
例如,在角色的起始目录中,修改 Korn shell 的 .kshrc 文件和 C shell 的 .cshrc 文件。
例如,在 Korn shell 中,请使用以下命令:
# setenv EDITOR=pathname-of-editor # export $EDITOR
在 C shell 中,请使用以下命令:
# setenv EDITOR=pathname-of-editor
在 Bourne shell 中,请使用以下命令:
# EDITOR=pathname-of-editor # export EDITOR
示例 5-1 指定可信编辑器的编辑器
编辑系统文件时,"Security Administrator"(安全管理员)角色希望使用 vi。承担该角色的用户修改角色的起始目录中的 .kshrc 初始化文件。
$ cd /home/secadmin $ vi .kshrc ## Interactive shell set -o vi ... export EDITOR=vi
下次任何用户承担 "Security Administrator"(安全管理员)角色时,vi 是可信编辑器。
"Security Administrator"(安全管理员)角色有权使用 Solaris Management Console 在任何时候更改任意帐户的口令。但是,Solaris Management Console 无法更改系统帐户的口令。系统帐户是 UID 低于 100 的帐户。root 是一个系统帐户,因为它的 UID 为 0。
如果您的站点已使超级用户成为 root 角色,请承担 root 角色。
从 "Trusted Path"(可信路径)菜单中,选择 "Change Password"(更改口令)。
示例 5-2 更改角色的口令
可承担在 LDAP 中定义的某个角色的任何用户都可以使用 "Trusted Path"(可信路径)菜单来更改该角色的口令。然后,口令将在 LDAP 中针对试图承担该角色的所有用户进行更改。
与在 Oracle Solaris OS 中一样,"Primary Administrator"(主管理员)角色可以使用 Solaris Management Console 更改角色的口令。在 Trusted Extensions 中,"Security Administrator"(安全管理员)角色可以使用 Solaris Management Console 更改其他角色的口令。
“安全注意”键组合可用来中断不可信的应用程序对指针或键盘的抓取。该键组合还可用来验证指针或键盘是否已被可信的应用程序抓取。在已被骗显示多个可信窗口条的多显示端系统中,该键组合可使指针切换到经授权的可信窗口条。
同时按这些键可重新获得对当前桌面焦点的控制权。在 Sun 键盘上,菱形是 Meta 键。
<Meta> <Stop>
如果抓取(例如指针)不可信,则指针会移动到窗口条。可信指针不会移动到可信窗口条。
<Alt> <Break>
在手提电脑中,同时按这些键可重新获得对当前桌面焦点的控制权。
示例 5-3 测试口令提示符是否可信
在使用 Sun 键盘的 x86 系统上,已提示用户输入口令。光标已被抓取,并且位于口令对话框中。要检查该提示是否可信,用户可同时按 <Meta> <Stop> 键。如果指针保留在对话框中,则用户可以判定该口令提示符是可信的。
如果指针移动到了可信窗口条,则用户可判定该口令提示符可能不可信,然后可以与管理员联系。
示例 5-4 强制将指针移动到可信窗口条
在本示例中,用户没有运行任何可信的进程,但无法看到鼠标指针。要将指针移回到可信窗口条的中心,用户需同时按 <Meta> <Stop> 键。
此过程提供标签的内部十六进制表示形式。此表示形式可安全地用于在公共目录中进行存储。有关更多信息,请参见 atohexlabel(1M) 手册页。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。有关详细信息,请参见如何进入 Trusted Extensions 的全局区域。
$ atohexlabel "CONFIDENTIAL : NEED TO KNOW" 0x0004-08-68
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW" 0x0004-08-68
注 - 人类可阅读的敏感标签和安全许可标签是根据 label_encodings 文件中的规则构成的。每种类型的标签使用该文件的一个单独部分中的规则。敏感标签和安全许可标签都表达相同的基础级别的敏感度时,这些标签具有相同的十六进制形式。但是,标签可具有不同的人类可阅读形式。接受人类可阅读的标签作为输入的系统接口预期输入一种类型的标签。如果标签类型的文本字符串有所差异,则这些文本字符串无法互换使用。
在缺省的 label_encodings 文件中,安全许可标签的等效文本不包括冒号 (:)。
示例 5-5 使用 atohexlabel 命令
当您以十六进制格式传递有效标签时,命令会返回参数。
$ atohexlabel 0x0004-08-68 0x0004-08-68
当您传递管理标签时,命令会返回参数。
$ atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW
故障排除
错误消息 "atohexlabel parsing error found in <string> at position 0"(在位置 0 处的 <string> 中发现 atohexlabel 解析错误)表明传递到 atohexlabel 的 <string> 参数不是有效的标签或安全许可。请检查您的键入内容,并检查该标签是否存在于已安装的 label_encodings 文件中。
此过程提供了一种方法来修复存储在内部数据库中的标签。有关更多信息,请参见 hextoalabel(1M) 手册页。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
$ hextoalabel 0x0004-08-68 CONFIDENTIAL : NEED TO KNOW
$ hextoalabel -c 0x0004-08-68 CONFIDENTIAL NEED TO KNOW
在 Trusted Extensions 中,安全管理员可以更改或访问系统中的缺省安全设置。
/etc/security 和 /etc/default 目录中的文件包含安全设置。在 Oracle Solaris 系统中,超级用户可编辑这些文件。有关 Oracle Solaris 的安全信息,请参见《System Administration Guide: Security Services》中的第 3 章 "Controlling Access to Systems (Tasks)"。
注意 - 仅当站点安全策略允许时您才能放宽系统安全缺省值。 |
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
有关详细信息,请参见如何在 Trusted Extensions 中编辑管理文件。
下表列出了安全文件以及要在这些文件中更改的安全参数。
|