本节包含有关 Oracle Solaris Cluster 提供的特定安全机制的信息。
安全安装使用以下重要安全功能:
基于角色的访问控制 (Role-Based Access Control, RBAC)-使用 solaris.cluster.modify、solaris.cluster.admin 和 solaris.cluster.read 的 RBAC 授权访问群集。您必须是指定有 User Security(用户安全)权限配置文件的管理员,才能够更改角色的大多数安全属性。有关更多信息,请参见在 Oracle Solaris 11.3 中确保用户和进程的安全 中的管理权限的使用和Oracle Solaris Cluster 4.3 系统管理指南 中的Oracle Solaris Cluster RBAC 权限配置文件。
新节点-将 claccess 命令或 clsetup 实用程序与特权配合使用来向群集添加节点。有关更多信息,请参见Oracle Solaris Cluster 4.3 系统管理指南 中的第 8 章 管理群集节点。
访问状态的默认设置为 claccess deny-all。仅当要执行特权操作(例如添加新节点)时才应该更改此设置。您完成后应该恢复 deny-all 状态。如果期望频繁更改群集配置,可以通过使用 /usr/cluster/bin/claccess -p protocol=authentication-protocol 命令选择更安全的验证协议来确保最大程度地信任新系统。有关更多信息,请参见 claccess(1CL) 手册页和在 Oracle Solaris 11.3 中管理 Kerberos 和其他验证服务 中的第 10 章 配置网络服务验证。
Trusted Extensions-可以启用 Oracle Solaris Trusted Extensions 功能以用于区域群集中。有关更多信息,请参见Oracle Solaris Cluster 4.3 软件安装指南 中的区域群集中使用 Trusted Extensions 的准则和Oracle Solaris Cluster 4.3 软件安装指南 中的如何安装和配置 Trusted Extensions。
区域群集-区域群集包含使用 cluster 属性设置的 solaris 标记、solaris10 标记或 labeled 标记的一个或多个非全局区域。labeled 标记的区域群集仅供 Oracle Solaris 软件的 Trusted Extensions 功能使用。
通过使用 clzonecluster 命令或 clsetup 实用程序可以创建区域群集。您可以使用 Oracle Solaris Zones 提供的隔离功能,在类似于全局群集的区域群集上运行受支持的服务。有关更多信息,请参见Oracle Solaris Cluster 4.3 软件安装指南 中的创建和配置区域群集和Oracle Solaris Cluster 4.3 系统管理指南 中的使用区域群集。
与群集控制台的安全连接-必须与群集节点的控制台建立安全 shell 连接。有关 pconsole 实用程序的更多信息,请参见Oracle Solaris Cluster 4.3 系统管理指南 中的如何安全地连接到群集控制台。
Common Agent Container-Oracle Solaris Cluster Manager GUI 使用强大的加密技术确保每个群集节点上 Oracle Solaris Cluster 管理栈之间的安全通信。有关更多信息,请参见Oracle Solaris Cluster 4.3 系统管理指南 中的排除 Oracle Solaris Cluster Manager 的故障。
日志记录-Oracle Solaris Cluster 软件使用 syslogd 命令记录错误和状态消息。确保设置 /etc/syslog.conf 文件以控制存储消息的位置。还可以安全地保护日志文件,例如 /var/adm/messages 文件。有关更多信息,请参见Oracle Solaris Cluster 4.3 系统管理指南 中的管理群集。
审计-默认情况下启用 Oracle Solaris Cluster,因为它位于 Oracle Solaris OS 中。审计在 /var/cluster/logs/commandlog 文件中存储所有执行的命令,您应该根据需要对文件设置保护。有关更多信息,请参见Oracle Solaris Cluster 4.3 系统管理指南 中的如何查看 Oracle Solaris Cluster 命令日志的内容。
Oracle Solaris OS 强化-Oracle Solaris Cluster 使用安全强化技术将 Oracle Solaris OS 重新配置为强化状态。此外,它还激活 Oracle Solaris 系统审计。