指南：Oracle Solaris Trusted Extensions 的配置方法

《OracleSolarisTrustedExtensions配置指南》介绍在Solaris操作系(SolarisOS)中配置TrustedExtensions的过程。该指南还介绍如何准备Solari系统以支持TrustedExtensions的安全安装。 目录 前言........................................................................................................................................................13 1 TrustedExtensions的安全规划 .......................................................................................................19 在TrustedExtensions中规划安全 .................................................................................................. 19 了解TrustedExtensions ............................................................................................................. 20 了解站点的安全策略................................................................................................................. 20 设计TrustedExtensions的管理策略 ...................................................................................... 21 设计标签策略 .............................................................................................................................. 21 规划TrustedExtensions的系统硬件和容量 ......................................................................... 22 规划可信网络 .............................................................................................................................. 22 在TrustedExtensions中规划区域 .......................................................................................... 23 规划多级别访问 ......................................................................................................................... 24 在TrustedExtensions中规划LDAP命名服务 ..................................................................... 25 在TrustedExtensions中规划审计 .......................................................................................... 25 在TrustedExtensions中规划用户安全 ................................................................................. 26 设计TrustedExtensions的配置策略 ...................................................................................... 27 在启用TrustedExtensions之前解决其他问题 .................................................................... 28 在启用TrustedExtensions之前备份系统 ............................................................................. 28 启用TrustedExtensions的结果（从管理员角度） ................................................................... 29 2 TrustedExtensions的配置任务列表...............................................................................................31 任务列表：准备Solaris系统以使用TrustedExtensions ........................................................... 31 任务列表：准备和启用TrustedExtensions ................................................................................. 31 任务列表：配置TrustedExtensions .............................................................................................. 32 3 将TrustedExtensions软件添加到SolarisOS（任务） ..............................................................37 初始设置团队的职责 ........................................................................................................................ 37 3 安装或升级SolarisOS以使用TrustedExtensions ...................................................................... 37 ▼ 安装Solaris系统以支持TrustedExtensions ......................................................................... 38 ▼ 准备已安装的Solaris系统以使用TrustedExtensions ........................................................ 38 在启用TrustedExtensions之前收集信息并做出决定 ............................................................... 40 ▼ 在启用TrustedExtensions之前收集系统信息 .................................................................... 41 ▼ 在启用TrustedExtensions之前做出系统和安全决策 ....................................................... 41 启用TrustedExtensions服务........................................................................................................... 43 ▼ 启用TrustedExtensions ............................................................................................................. 43 4 配置TrustedExtensions（任务） ...................................................................................................45 在TrustedExtensions中设置全局区域 ......................................................................................... 45 ▼ 检查并安装标签编码文件 ........................................................................................................ 46 ▼ 在TrustedExtensions中启用IPv6网络................................................................................. 49 ▼ 配置系统解释域 ......................................................................................................................... 50 ▼ 创建用于克隆区域的ZFS池 ................................................................................................... 51 ▼ 重新引导并登录到TrustedExtensions .................................................................................. 52 ▼ 在TrustedExtensions中初始化SolarisManagementConsole服务器 ............................. 54 ▼ 使全局区域成为TrustedExtensions中的客户机 ................................................................ 57 创建有标签区域 ................................................................................................................................. 60 ▼ 运行txzonemgr脚本 .................................................................................................................. 61 ▼ 在TrustedExtensions中配置网络接口 ................................................................................. 62 ▼ 命名区域并为其添加标签 ........................................................................................................ 65 ▼ 安装有标签区域 ......................................................................................................................... 67 ▼ 引导有标签区域 ......................................................................................................................... 68 ▼ 检验区域的状态 ......................................................................................................................... 70 ▼ 定制有标签区域 ......................................................................................................................... 71 ▼ 在TrustedExtensions中复制或克隆区域 ............................................................................. 73 将网络接口和路由添加到有标签区域 ......................................................................................... 74 ▼ 添加网络接口以路由现有的有标签区域 ............................................................................. 75 ▼ 添加不使用全局区域的网络接口以路由现有的有标签区域 .......................................... 77 ▼ 在每个有标签区域中配置名称服务高速缓存 ..................................................................... 80 在TrustedExtensions中创建角色和用户..................................................................................... 82 ▼ 创建实施职责分离的权限配置文件 ...................................................................................... 82 ▼ 在TrustedExtensions中创建安全管理员角色 .................................................................... 85 ▼ 创建受限系统管理员角色 ........................................................................................................ 87 目录 OracleSolarisTrustedExtensions配置指南 • 2011年8月 4 ▼ 在TrustedExtensions中创建可以承担角色的用户............................................................ 88 ▼ 检验TrustedExtensions角色是否有效 ................................................................................. 90 ▼ 使用户能够登录到有标签区域 ............................................................................................... 92 在TrustedExtensions中创建起始目录 ......................................................................................... 92 ▼ 在TrustedExtensions中创建起始目录服务器 .................................................................... 93 ▼ 在TrustedExtensions中使用户能够访问其起始目录 ....................................................... 93 将用户和主机添加到现有可信网络 .............................................................................................. 95 ▼ 将NIS用户添加到LDAP服务器............................................................................................ 95 TrustedExtensions配置故障排除................................................................................................... 97 在启用 Trusted Extensions 之后运行了 netservices limited ..........................................97 无法在有标签区域中打开控制台窗口 .................................................................................. 97 有标签区域无法访问X服务器 ............................................................................................... 98 其他TrustedExtensions配置任务 ................................................................................................100 ▼ 如何在TrustedExtensions中将文件复制到便携介质 .....................................................100 ▼ 如何在TrustedExtensions中从便携介质复制文件..........................................................101 ▼ 如何从系统中删除TrustedExtensions ................................................................................102 5 为TrustedExtensions配置LDAP（任务） .................................................................................105 在TrustedExtensions主机上配置LDAP服务器（任务列表） ............................................105 在TrustedExtensions主机上配置LDAP代理服务器（任务列表） ...................................106 在TrustedExtensions系统上配置SunJavaSystemDirectoryServer .....................................106 ▼ 收集用于LDAP的DirectoryServer的信息 ........................................................................107 ▼ 安装SunJavaSystemDirectoryServer ...................................................................................108 ▼为DirectoryServer创建LDAP客户机 .................................................................................110 ▼ 配置SunJavaSystemDirectoryServer的日志 .....................................................................112 ▼ 为SunJavaSystemDirectoryServer配置多级别端口........................................................113 ▼ 置备SunJavaSystemDirectoryServer ...................................................................................114 为现有SunJavaSystemDirectoryServer创建TrustedExtensions代理 ................................116 ▼ 创建LDAP代理服务器 ...........................................................................................................116 为LDAP配置SolarisManagementConsole（任务列表） ......................................................117 ▼ 向SolarisManagementConsole注册LDAP凭证 ...............................................................118 ▼ 使SolarisManagementConsole接受网络通信 ...................................................................118 ▼ 在SolarisManagementConsole中编辑LDAP工具箱 ......................................................119 ▼ 验证SolarisManagementConsole是否包含TrustedExtensions信息 ...........................120 目录 5 6 配置具有TrustedExtensions的无显示系统（任务） .............................................................123 TrustedExtensions中的无显示系统配置（任务列表） .........................................................123 ▼ 在TrustedExtensions中，以root用户身份启用远程登录 ...........................................124 ▼ 在TrustedExtensions中以某个角色启用远程登录..........................................................125 ▼ 启用从无标签系统进行的远程登录 ....................................................................................127 ▼ 使用远程SolarisManagementConsole在文件范围内进行管理 ....................................127 ▼ 启用管理GUI的远程显示 .....................................................................................................128 ▼ 在TrustedExtensions中使用rlogin或ssh命令登录和管理无显示系统 ..................128 A 站点安全策略 ................................................................................................................................... 131 创建和管理安全策略 ......................................................................................................................131 站点安全策略和TrustedExtensions ............................................................................................132 计算机安全建议 ...............................................................................................................................132 物理安全建议 ...................................................................................................................................133 人员安全建议 ...................................................................................................................................134 常见安全违规 ...................................................................................................................................134 其他安全参考信息 ..........................................................................................................................135 美国*出版物 .......................................................................................................................135 UNIX安全出版物 ....................................................................................................................135 一般计算机安全出版物 ..........................................................................................................136 一般UNIX出版物 ....................................................................................................................136 B 使用CDE操作在TrustedExtensions中安装区域 ......................................................................137 使用CDE操作将网络接口与区域关联（任务列表） ...........................................................137 ▼ 使用CDE操作为系统指定两个IP地址 .............................................................................137 ▼ 使用CDE操作为系统指定一个IP地址 .............................................................................139 准备使用CDE操作创建区域（任务列表） .............................................................................140 ▼ 使用CDE操作指定区域名称和区域标签 ..........................................................................140 使用CDE操作创建有标签的区域（任务列表） ....................................................................142 ▼ 使用CDE操作安装、初始化并引导有标签区域 .............................................................143 ▼ 在TrustedCDE中解析本地区域与全局区域间的路由 ...................................................145 ▼ 在TrustedExtensions中定制引导的区域 ...........................................................................147 ▼ 在TrustedExtensions中使用复制区域方法 .......................................................................148 ▼ 在TrustedExtensions中使用克隆区域方法 .......................................................................149 目录 OracleSolarisTrustedExtensions配置指南 • 2011年8月 6 C TrustedExtensions的配置核对表 .................................................................................................151 用于配置TrustedExtensions的核对表 .......................................................................................151