Trusted Extensions 配置和管理

退出打印视图

更新时间: 2014 年 7 月
 
 

Trusted Extensions 和 Oracle Solaris OS 之间的不同之处

    Trusted Extensions 软件扩展了 Oracle Solaris OS。以下列表进行了概述。另请参见Appendix C, Trusted Extensions 管理快速参考

  • Trusted Extensions 使用称为标签的特殊安全标记控制对数据的访问。标签提供强制访问控制 (Mandatory Access Control, MAC)。MAC 保护是对 UNIX 文件权限或自主访问控制 (Discretionary Access Control, DAC) 的补充。标签将直接指定给用户、区域、设备、窗口和网络端点。标签将隐式指定给进程、文件和其他系统对象。

    MAC 不会被一般用户覆盖。Trusted Extensions 要求一般用户在有标签区域中进行操作。缺省情况下,有标签区域中没有用户或进程可以覆盖 MAC。

    与在 Oracle Solaris OS 中一样,可以覆盖 MAC 时,可将覆盖安全策略的能力指定给特定进程或用户。例如,可授权用户更改文件的标签。此类操作会升级或降级该文件中信息的敏感度。

  • Trusted Extensions 会添加到现有配置文件和命令中。例如,Trusted Extensions 会添加审计事件、授权、特权和权限配置文件。

  • 一些在 Oracle Solaris 系统上可选的功能在 Trusted Extensions 系统上是必需的。例如,区域和角色在配置有 Trusted Extensions 的系统上是必需的。

  • 一些在 Oracle Solaris 系统上可选的功能在 Trusted Extensions 系统上处于启用状态。例如,许多配置 Trusted Extensions 的站点要求在创建用户并指定安全属性时进行 separation of duty(职责分离)

  • Trusted Extensions 可以更改 Oracle Solaris 的缺省行为。例如,在配置有 Trusted Extensions 的系统上,要求进行设备分配。

  • Trusted Extensions 可缩小 Oracle Solaris 中可用选项的范围。例如,在 Trusted Extensions 中,所有区域都是有标签区域。与 Oracle Solaris 中不同,有标签区域必须使用相同的用户 ID 和组 ID 池。此外,Trusted Extensions 中的有标签区域可以共享一个 IP 地址。

  • Trusted Extensions 提供了多级别版本的 Oracle Solaris 桌面 Solaris Trusted Extensions (GNOME),此名称可以简写为 Trusted GNOME)。

  • Trusted Extensions 提供其他图形用户界面 (graphical user interface, GUI) 和命令行界面 (command line interface, CLI)。例如,Trusted Extensions 提供设备管理器 GUI 来管理设备。此外,updatehome CLI 可用于将启动文件放在每个标签的用户起始目录中。

  • 在窗口环境中,Trusted Extensions 提供了用于进行管理的 GUI。例如,除 zonecfg 命令外,还可使用 "Labeled Zone Manager"(有标签区域管理器)管理有标签区域。

  • Trusted Extensions 限制用户可以看到的内容。例如,用户无法看到自己不能分配的设备。

  • Trusted Extensions 限制用户的桌面选项。例如,会允许用户的工作站停止活动一段有限的时间,屏幕才会锁定。缺省情况下,用户无法关闭系统。