跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 管理员规程 Oracle Solaris 10 1/13 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
Trusted Extensions 中用于管理远程系统的方法
在 Trusted Extensions 中通过角色进行的远程登录
如何在 Trusted Extensions 中从命令行远程登录
如何使用 dtappsession 来远程管理 Trusted Extensions
如何从 Trusted Extensions 系统使用 Solaris Management Console 来远程管理系统
如何从无标签系统使用 Solaris Management Console 来远程管理系统
在 Trusted Extensions 中如何使特定用户能够远程登录到全局区域
如何使用 Xvnc 远程访问 Trusted Extensions 系统
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
缺省情况下,Trusted Extensions 不允许远程管理。如果不可信的远程系统上的用户可以管理配有 Trusted Extensions 的系统,则远程管理将存在重大的安全风险。因此,初始安装的系统上没有启用远程管理选项。
直到配置网络时,才向所有远程主机指定 admin_low 安全模板。因此,任何连接都不使用或接受 CIPSO 协议。在该初始状态下,由多种机制来保护系统免受远程攻击。这些机制包括 netservices 设置、缺省登录策略和 PAM 策略。
将 netservices 服务管理工具 (Service Management Facility, SMF) 配置文件设置为 limited 时,除了安全 shell 外,不会启用任何远程服务。但是,因登录策略和 PAM 策略的原因,ssh 服务不能用于远程登录。
root 帐户不能用于远程登录,因为 /etc/default/login 文件中 CONSOLE 的缺省策略阻止使用 root 帐户进行远程登录。
两种 PAM 设置也影响远程登录。
pam_roles 模块始终拒绝 role 类型的帐户的本地登录。缺省情况下,该模块也拒绝远程登录。但是,可以通过在系统的 pam.conf 条目中指定 allow_remote 来将系统配置为接受远程登录。
此外,pam_tsol_account 模块拒绝远程登录到全局区域,除非使用 CIPSO 协议。该策略的目的是由另一个 Trusted Extensions 系统执行远程管理。
要启用远程登录功能,两个系统都必须将其对等方指定给一个 CIPSO 安全模板。如果该方法不可行,可以通过在 pam.conf 文件中指定 allow_unlabeled 选项来放宽网络协议策略。如果放宽了这两个策略中的任意一个,则必须更改缺省网络模板以便使任意计算机都无法访问全局区域。应尽量少用 admin_low 模板,且应该修改 tnrhdb 数据库以便使通配符地址 0.0.0.0 不缺省设置为 ADMIN_LOW 标签。有关详细信息,请参见远程管理 Trusted Extensions(任务列表)和如何限定可能会在可信网络上联系的主机。