本节包含有关 Oracle Solaris Cluster 提供的特定安全机制的信息。
安全安装使用以下重要安全功能:
基于角色的访问控制 (Role-Based Access Control, RBAC)-使用 solaris.cluster.modify、solaris.cluster.admin 和 solaris.cluster.read 的 RBAC 授权访问群集。您必须是指定有 User Security(用户安全)权限配置文件的管理员,才能够更改角色的大多数安全属性。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的管理权限的使用和Oracle Solaris Cluster 系统管理指南 中的Oracle Solaris Cluster RBAC 权限配置文件。
新节点-将 claccess 命令或 clsetup 实用程序与特权配合使用来向群集添加节点。有关更多信息,请参见Oracle Solaris Cluster 系统管理指南 中的第 8 章 管理群集节点。
访问状态的默认设置为 claccess deny-all。仅当要执行特权操作(例如添加新节点)时才应该更改此设置。您完成后应该恢复 deny-all 状态。如果期望频繁更改群集配置,可以通过使用 /usr/cluster/bin/claccess -p protocol=authentication-protocol 命令选择更安全的验证协议来确保最大程度地信任新系统。有关更多信息,请参见 claccess(1CL) 手册页和在 Oracle Solaris 11.2 中管理 Kerberos 和其他验证服务 中的第 10 章 配置网络服务验证。
Trusted Extensions-可以启用 Oracle Solaris Trusted Extensions 功能以用于区域群集中。有关更多信息,请参见Oracle Solaris Cluster 软件安装指南 中的区域群集中使用 Trusted Extensions 的准则和Oracle Solaris Cluster 软件安装指南 中的如何安装和配置 Trusted Extensions。
区域群集-区域群集包含使用 cluster 属性设置的 solaris、solaris10 或 labeled 标记的一个或多个非全局区域。labeled 标记的区域群集仅供 Oracle Solaris 软件的 Trusted Extensions 功能使用。通过使用 clzonecluster 命令或 clsetup 实用程序可以创建区域群集。您可以使用 Oracle Solaris Zones 提供的隔离功能,在类似于全局群集的区域群集上运行受支持的服务。有关更多信息,请参见Oracle Solaris Cluster 软件安装指南 中的创建和配置区域群集和Oracle Solaris Cluster 系统管理指南 中的使用区域群集。
与群集控制台的安全连接-必须与群集节点的控制台建立安全 shell 连接。有关 pconsole 实用程序的更多信息,请参见Oracle Solaris Cluster 系统管理指南 中的如何安全地连接到群集控制台。
Common Agent Container-Oracle Solaris Cluster Manager 使用强大的加密技术确保每个群集节点上 Oracle Solaris Cluster 管理栈之间的安全通信。有关更多信息,请参见Oracle Solaris Cluster 系统管理指南 中的故障排除。
日志记录-Oracle Solaris Cluster 使用 syslogd(1M) 命令记录错误和状态消息。确保设置 /etc/syslog.conf 文件以控制存储消息的位置。还可以安全地保护日志文件,例如 /var/adm/messages 文件。有关更多信息,请参见Oracle Solaris Cluster 系统管理指南 中的管理群集。
审计-默认情况下启用 Oracle Solaris Cluster,因为它位于 Oracle Solaris OS 中。审计在 /var/cluster/logs/commandlog 文件中存储所有执行的命令,您应该根据需要对文件设置保护。有关更多信息,请参见Oracle Solaris Cluster 系统管理指南 中的如何查看 Oracle Solaris Cluster 命令日志的内容。
Oracle Solaris OS 强化-Oracle Solaris Cluster 使用安全强化技术将 Oracle Solaris OS 重新配置为强化状态。此外,它还激活 Oracle Solaris 系统审计。