在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

如何配置网络安全角色

如果使用 Oracle Solaris 的权限功能管理系统,请使用此过程提供网络管理角色或网络安全角色。

开始之前

您必须承担 root 角色才能创建和指定角色。一般用户可以列出并查看可用权限配置文件的内容。

  1. 列出与网络相关的可用权限配置文件。
    % getent prof_attr | grep Network | more
    ...
    Network Management:RO::Manage the host and network configuration...
    Network Security:RO::Manage network and host security...:profiles=Network Wifi
    Security,Network Link Security,Network IPsec Management...
    Network Wifi Management:RO::Manage wifi network configuration...
    Network Wifi Security:RO::Manage wifi network security...
    Network Link Security:RO::Manage network link security...
    Network IPsec Management:RO::Manage IPsec and IKE...
    System Administrator:RO::Can perform most non-security administrative tasks:
    profiles=...Network Management...
    Information Security:RO::Maintains MAC and DAC security policies:
    profiles=...Network Security...

    Network Management(网络管理)配置文件是 System Administrator(系统管理员)配置文件的补充配置文件。如果您将 System Administrator(系统管理员)权限配置文件纳入角色,则此角色可以执行 Network Management(网络管理)配置文件中的命令。

  2. 列出 Network Management(网络管理)权限配置文件中的命令。
    % profiles -p "Network Management" info
    ...
    cmd=/usr/sbin/dladm
    cmd=/usr/sbin/dlstat
    ...
    cmd=/usr/sbin/svcadm
    cmd=/usr/sbin/svccfg
    cmd=/usr/sbin/dumpcap
  3. 确定网络安全角色在站点中的作用范围。

      使用Step 1 中的权限配置文件定义指导您做出决定。

    • 要创建处理所有网络安全的角色,请使用 Network Security(网络安全)权限配置文件。

    • 要创建只处理 IPsec 和 IKE 的角色,请使用 Network IPsec Management(网络 IPsec 管理)权限配置文件。

    • 要创建处理网络管理和安全的角色,除 "Network Management"(网络管理)配置文件以外,请使用 "Network Security"(网络安全)或 "Network IPsec Management"(网络 IPsec 管理)权限配置文件。

  4. 创建角色,并将角色分配给一个或多个用户。

    有关步骤,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的创建角色Example 7–7

示例 7-5  创建并分配网络管理和安全角色

在本示例中,管理员向一个角色分配两个权限配置文件,即 "Network Management"(网络管理)和 "Network Security"(网络安全)。然后,管理员将角色分配给可信用户。

# roleadd -c "Network Mgt and Security" \
-S ldap -K profiles="Network Management Plus" netmgtsec
# passwd netmgtsec
New Password: xxxxxxxx
Confirm password: xxxxxxxx
# usermod -R netmgtsec jdoe

jdoe 承担 netmgtsec 角色后,配置文件中的权限可供用户 jdoe 使用。

% su - netsecmgt
Password: xxxxxxxx
#
示例 7-6  在角色之间划分网络安全职责

在此示例中,管理员要在两个角色之间划分网络安全职责。其中一个角色负责管理 Wifi 和链路安全,另一个角色负责管理 IPsec 和 IKE。为每个角色指定三个人,一人一班。

    管理员创建的角色如下:

  1. 管理员将第一个角色命名为 LinkWifi。

  2. 管理员将 Network Wifi(网络 Wifi)、Network Link Security(网络链路安全)和 Network Management(网络管理)权限配置文件指定给该角色。

  3. 管理员将 LinkWifi 角色分配给适当的用户。

  4. 管理员将第二个角色命名为 IPsec Administrator。

  5. 管理员将 Network IPsec Management(网络 IPsec 管理)和 Network Management(网络管理)权限配置文件指定给该角色。

  6. 管理员将 "IPsec Administrator"(IPsec 管理员)角色分配给适当的用户。

示例 7-7  使可信用户能够配置和管理 IPsec

在本示例中,管理员让一个用户负责配置和管理 IPsec。

除了 "Network Management"(网络管理)和 "IPsec Network Management"(IPsec 网络管理)权限配置文件,管理员还赋予用户编辑 hosts 文件的能力以及读取日志的能力。

  1. 管理员创建两个权限配置文件,一个用于编辑文件,另一个用于读取日志。

    # profiles -p -S LDAP "Hosts Configuration"
    profiles:Network Configuration> set desc="Edits root-owned network files"
    ...Configuration> add auth=solaris.admin.edit/etc/hosts
    ...Configuration> commit
    ...Configuration> end
    ...Configuration> exit
    
    # profiles -p -S LDAP "Read Network Logs"
    profiles:Read Network Logs> set desc="Reads root-owned network log files"
    ...Logs> add cmd=/usr/bin/more
    ...Logs:more>set privs={file_dac_read}:/var/user/ikeuser/*
    ...Logs:more>set privs={file_dac_read}:/var/log/ikev2/*
    ...Logs:more> set privs={file_dac_read}:/etc/inet/ike/*
    ...Logs:more> set privs={file_dac_read}:/etc/inet/secret/*
    ...Logs:more>end
    ...Logs> add cmd=/usr/bin/tail
    ...Logs:tail>set privs={file_dac_read}:/var/user/ikeuser/*
    ...Logs:tail>set privs={file_dac_read}:/var/log/ikev2/*
    ...Logs:tail>set privs={file_dac_read}:/etc/inet/ike/*
    ...Logs:tail> set privs={file_dac_read}:/etc/inet/secret/*
    ...Logs:tail>end
    ...Logs> add cmd=/usr/bin/page
    ...Logs:page>set privs={file_dac_read}:/var/user/ikeuser/*
    ...Logs:page>set privs={file_dac_read}:/var/log/ikev2/*
    ...Logs:page>set privs={file_dac_read}:/etc/inet/ike/*
    ...Logs:page> set privs={file_dac_read}:/etc/inet/secret/*
    ...Logs:page>end
    ...Logs> exit

    通过权限配置文件,用户可以使用 moretailpage 命令读取日志。cathead 命令无法使用。

  2. 管理员创建权限配置文件,允许用户执行 IPsec 及其加密服务的所有配置和管理任务。

    # profiles -p "Site Network Management"
    profiles:Site Network Management> set desc="Handles all network files and logs"
    ...Management> add profiles="Network Management"
    ...Management> add profiles="Network IPsec Management"
    ...Management> add profiles="Hosts Configuraton"
    ...Management> add profiles="Read Network Logs"
    ...Management> commit; end; exit
  3. 管理员为配置文件创建一个角色,为角色分配一个口令,然后将角色分配给了解网络和安全的可信用户。

    # roleadd -S LDAP -c "Network Management Guru" \
    -m -K profiles="Site Network Management" netadm
    # passwd netadm
    Password: xxxxxxxx
    Confirm password: xxxxxxxx
    # usermod -S LDAP -R +netadm jdoe
  4. 在带外,管理员为 jdoe 提供角色口令。