Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1315818
  • 博文数量: 554
  • 博客积分: 10425
  • 博客等级: 上将
  • 技术积分: 7555
  • 用 户 组: 普通用户
  • 注册时间: 2006-11-09 09:49
文章分类

全部博文(554)

文章存档

2012年(1)

2011年(1)

2009年(8)

2008年(544)

分类:

2008-04-10 15:51:17

 
保证登录和口令的安全
第3 章• 控制对系统的访问(任务) 55
-p 选项用于显示没有口令的用户列表。除非启用了名称服务,否则logins 命令将使用本地
系统的口令数据库。
显示没有口令的用户
在以下示例中,用户pmorph 没有口令。
# logins -p
pmorph 501 other 1 Polly Morph
#
 如何临时禁止用户登录
在系统关闭或例行维护期间,可临时禁止用户登录。超级用户登录将不受影响。有关更多
信息,请参见nologin(4) 手册页。
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《System
Administration Guide: Basic Administration》中的第2 章,“WorkingWith the Solaris
Management Console (Tasks)”。
在文本编辑器中创建/etc/nologin 文件。
# vi /etc/nologin
添加有关系统可用性的消息。
关闭并保存该文件。
禁止用户登录
在此示例中,用户将收到系统不可用的通知。
# vi /etc/nologin
(Add system message here)
# cat /etc/nologin
***No logins permitted.***
示例3–2
1
2
3
4
示例3–3
保证登录和口令的安全
56 系统管理指南:安全性服务• 2006 年9 月
***The system will be unavailable until 12 noon.***
您也可以将系统引导至运行级0(单用户模式)以禁止登录。有关将系统引导至单用户模式
的信息,请参见《System Administration Guide: Basic Administration》中的第9 章,“Shutting
Down a System (Tasks)”。
 如何监视失败的登录尝试
此过程从终端窗口捕获失败的登录尝试。此过程不会从CDE 或GNOME登录尝试中捕获失
败的登录。
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《System
Administration Guide: Basic Administration》中的第2 章,“WorkingWith the Solaris
Management Console (Tasks)”。
在/var/adm 目录中创建loginlog 文件。
# touch /var/adm/loginlog
在loginlog 文件中,为root 用户设置读写权限。
# chmod 600 /var/adm/loginlog
在loginlog 文件中,将组成员关系更改为sys。
# chgrp sys /var/adm/loginlog
检验日志是否正常工作。
例如,使用错误的口令五次登录系统。然后,显示/var/adm/loginlog 文件。
# more /var/adm/loginlog
jdoe:/dev/pts/2:Tue Nov 4 10:21:10 2003
jdoe:/dev/pts/2:Tue Nov 4 10:21:21 2003
jdoe:/dev/pts/2:Tue Nov 4 10:21:30 2003
jdoe:/dev/pts/2:Tue Nov 4 10:21:40 2003
jdoe:/dev/pts/2:Tue Nov 4 10:21:49 2003
#
1
2
3
4
5
保证登录和口令的安全
第3 章• 控制对系统的访问(任务) 57
在loginlog 文件中,每次失败的尝试都对应一项。每一项都包含用户的登录名称、tty 设备
以及登录尝试失败的时间。如果用户登录尝试失败的次数少于五次,则不会记录任何失败
的登录尝试。
如果loginlog 文件不断增大,则表明可能是存在侵入计算机系统的尝试。因此,应定期检
查并清除该文件的内容。有关更多信息,请参见loginlog(4) 手册页。
 如何监视所有失败的登录尝试
此过程捕获syslog 文件中所有失败的登录尝试。
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《System
Administration Guide: Basic Administration》中的第2 章,“WorkingWith the Solaris
Management Console (Tasks)”。
使用所需的SYSLOG 和SYSLOG_FAILED_LOGINS 值设置/etc/default/login 文件。
编辑/etc/default/login 文件以更改相应项。请确保取消对SYSLOG=YES 的注释。
# grep SYSLOG /etc/default/login
# SYSLOG determines whether the syslog(3) LOG_AUTH facility
# should be used
SYSLOG=YES
...
SYSLOG_FAILED_LOGINS=0
#
使用正确的权限创建文件以保存日志信息。
a. 在/var/adm 目录中创建authlog 文件。
# touch /var/adm/authlog
b. 在authlog 文件中,为root 用户设置读写权限。
# chmod 600 /var/adm/authlog
c. 在authlog 文件中,将组成员关系更改为sys。
# chgrp sys /var/adm/authlog
1
2
3
保证登录和口令的安全
58 系统管理指南:安全性服务• 2006 年9 月
编辑syslog.conf 文件以记录失败的口令尝试。
这些失败应发送到authlog 文件。
a. 在syslog.conf 文件中键入以下项。
使用制表符分隔syslog.conf 的同一行中的字段。
auth.notice <按Tab 键> /var/adm/authlog
b. 刷新syslog 守护进程的配置信息。
# svcadm refresh system/system-log
检验日志是否正常工作。
例如,使用错误的口令以普通用户的身份登录系统。然后,以主管理员角色或超级用户身
份显示/var/adm/authlog 文件。
# more /var/adm/authlog
Nov 4 14:46:11 example1 login: [ID 143248 auth.notice]
Login failure on /dev/pts/8 from example2, stacey
#
定期监视/var/adm/authlog 文件。
在三次登录失败后记录访问尝试
按照上述过程进行操作,但在/etc/default/login 文件中将SYSLOG_FAILED_LOGINS 的值设
置为3。
在三次登录失败后关闭连接
在/etc/default/login 文件中取消对RETRIES 项的注释,然后将RETRIES 的值设置为3。所
做编辑将立即生效。在一个会话中重试登录三次后,系统便会关闭连接。
 如何创建拨号口令
注意– 首次建立拨号口令时,务必保持登录到至少一个端口。请在其他端口上测试该口令。
如果注销以测试新口令,则可能无法重新登录。如果同时还登录到另一个端口,则可返回
并修复相应错误。
4
5
6
示例3–4
示例3–5
保证登录和口令的安全
第3 章• 控制对系统的访问(任务) 59
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《System
Administration Guide: Basic Administration》中的第2 章,“WorkingWith the Solaris
Management Console (Tasks)”。
创建一个包含串行设备列表的/etc/dialups 文件。
添加要使用拨号口令保护的所有端口。/etc/dialups 文件的内容应与以下信息类似:
/dev/term/a
/dev/term/b
/dev/term/c
对于要求拥有拨号口令的登录程序,创建一个/etc/d_passwd 文件,并在文件中添加这些程
序。
添加用户可在登录时运行的shell 程序,例如uucico、sh、ksh 和csh。/etc/d_passwd 文件
的显示应与以下信息类似:
/usr/lib/uucp/uucico:encrypted-password:
/usr/bin/csh:encrypted-password:
/usr/bin/ksh:encrypted-password:
/usr/bin/sh:encrypted-password:
在此过程的后续部分,将为每个登录程序添加加密口令。
在这两个文件中,将拥有权设置为root。
# chown root /etc/dialups /etc/d_passwd
在这两个文件中,将组拥有权设置为root。
# chgrp root /etc/dialups /etc/d_passwd
在这两个文件中,为root 设置读写权限。
# chmod 600 /etc/dialups /etc/d_passwd
创建加密口令。
a. 创建临时用户。
# useradd username
b. 为临时用户创建口令。
# passwd username
1
2
3
4
5
6
7
保证登录和口令的安全
60 系统管理指南:安全性服务• 2006 年9 月
New Password: <键入口令>
Re-enter new Password: <重新键入口令>
passwd: password successfully changed for username
c. 捕获加密口令。
# grep username /etc/shadow > username.temp
d. 编辑username.temp 文件。
删除除加密口令以外的所有字段。第二个字段保存加密口令。
例如,在以下行中,加密口令为U9gp9SyA/JlSk。
temp:U9gp9SyA/JlSk:7967:::::7988:
e. 删除临时用户。
# userdel username
将加密口令从username.temp 文件复制到/etc/d_passwd 文件中。
可为每个登录shell 创建不同口令。或者,对每个登录shell 使用相同口令。
将该口令通知拨号用户。
应确保在通知用户的过程中口令不会被篡改。
 如何临时禁用拨号登录
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《System
Administration Guide: Basic Administration》中的第2 章,“WorkingWith the Solaris
Management Console (Tasks)”。
将下面的项作为单独的一行放入/etc/d_passwd 文件:
/usr/bin/sh:*:
更改口令算法(任务列表)
以下任务列表说明管理口令算法的过程:
8
9
1
2
更改口令算法(任务列表)
第3 章• 控制对系统的访问(任务) 61
任务参考
提供强口令加密第62 页中的“如何指定口令加密算法”
为名称服务提供强口令加密第63 页中的“如何为NIS 域指定新的口令算法”
第63 页中的“如何为NIS+ 域指定新的口令算法”
第64 页中的“如何为LDAP 域指定新的口令算法”
添加新的口令加密模块第64 页中的“如何安装第三方的口令加密模块”
更改口令加密的缺省算法
缺省情况下,使用crypt_unix 算法加密用户口令。通过更改缺省口令加密算法,可以使用
更强大的加密算法,如MD5 或Blowfish。
 如何指定口令加密算法
在此过程中,BSD-Linux 版本的MD5 算法是用户更改其口令时使用的缺省加密算法。此算
法适合由运行Solaris、BSD 和Linux 版本的UNIX 的计算机构成的混合网络。有关口令加密
算法和算法标识符的列表,请参见表2–1。
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《System
Administration Guide: Basic Administration》中的第2 章,“WorkingWith the Solaris
Management Console (Tasks)”。
指定所选加密算法的标识符。
键入标识符作为/etc/security/policy.conf 文件中的CRYPT_DEFAULT 变量的值。
可能需要在文件中添加注释以对选择进行说明。
# cat /etc/security/policy.conf
...
CRYPT_ALGORITHMS_ALLOW=1,2a,md5
#
# Use the version of MD5 that works with Linux and BSD systems.
# Passwords previously encrypted with __unix__ will be encrypted with MD5
# when users change their passwords.
1
2
更改口令加密的缺省算法
62 系统管理指南:安全性服务• 2006 年9 月
#
#
CRYPT_DEFAULT=__unix__
CRYPT_DEFAULT=1
在此示例中,算法配置可确保不会使用功能最弱的算法crypt_unix 加密口令。使用
crypt_unix 模块加密口令的用户将在更改其口令时获得使用crypt_bsdmd5 加密的口令。
有关配置算法选择的更多信息,请参见policy.conf(4) 手册页。
使用Blowfish 算法加密口令
在此示例中,Blowfish 算法的标识符2a 被指定为policy.conf 文件中的CRYPT_DEFAULT 变量
的值:
CRYPT_ALGORITHMS_ALLOW=1,2a,md5
#CRYPT_ALGORITHMS_DEPRECATE=__unix__
CRYPT_DEFAULT=2a
此配置与使用Blowfish 算法的BSD 系统兼容。
 如何为NIS 域指定新的口令算法
当NIS 域中的用户更改其口令时,NIS 客户机会查看/etc/security/policy.conf 文件中的
本地算法配置。NIS 客户机将加密口令。
在NIS 客户机的/etc/security/policy.conf 文件中指定口令加密算法。
将修改过的/etc/security/policy.conf 文件复制到NIS 域中的每台客户机。
为尽可能减少混淆,将修改过的/etc/security/policy.conf 文件复制到NIS 根服务器和从
服务器。
 如何为NIS+ 域指定新的口令算法
当NIS+ 域中的用户更改其口令时,NIS+ 名称服务会查看NIS+ 主服务器的
/etc/security/policy.conf 文件中的算法配置。运行rpc.nispasswd 守护进程的NIS+ 主服
务器将创建加密口令。
在NIS+ 主服务器的/etc/security/policy.conf 文件中指定口令加密算法。
示例3–6
1
2
3
1
更改口令加密的缺省算法
第3 章• 控制对系统的访问(任务) 63
为尽可能减少混淆,将NIS+ 主服务器的/etc/security/policy.conf 文件复制到NIS+ 域中
的每台主机。
 如何为LDAP域指定新的口令算法
正确配置LDAP 客户机后,LDAP 客户机便可以使用新的口令算法。LDAP 客户机的行为与
NIS 客户机的行为相同。
在LDAP 客户机的/etc/security/policy.conf 文件中指定口令加密算法。
将修改过的policy.conf 文件复制到LDAP 域中的每台客户机。
确保客户机的/etc/pam.conf 文件不使用pam_ldap 模块。
确保注释符号(#) 位于包含pam_ldap.so.1 的项的前面。另外,请勿将新的server_policy 选
项与pam_authtok_store.so.1 模块一起使用。
客户机的pam.conf 文件中的PAM项允许根据本地算法配置来加密口令。PAM项还允许验
证口令。
当LDAP 域中的用户更改其口令时,LDAP 客户机会查看/etc/security/policy.conf 文件
中的本地算法配置。LDAP 客户机将加密口令。然后,客户机将加密过的口令连同{crypt}
标记一起发送到服务器。该标记告知服务器该口令已加密。该口令将按原样存储在服务器
上。验证时,客户机先从服务器检索存储的口令。然后,将存储的口令与其从用户键入的
口令生成的加密版本进行比较。
注– 要利用LDAP服务器的口令策略控制,请将server_policy 选项与pam.conf 文件中的
pam_authtok_store 项一起使用。这样,将使用Sun JavaTM System Directory Server 的加密机制
在服务器上加密口令。有关过程,请参见《System Administration Guide: Naming and
Directory Services (DNS, NIS, and LDAP)》中的第11 章,“Setting Up Sun Java System Directory
ServerWith LDAP Clients (Tasks)”。
 如何安装第三方的口令加密模块
第三方口令加密算法通常在软件包中作为模块提供。运行pkgadd 命令时,供应商的脚本应
修改/etc/security/crypt.conf 文件。然后,您可修改/etc/security/policy.conf 文件以
包含新模块及其标识符。
使用pkgadd 命令添加软件。
有关如何添加软件的详细说明,请参见《System Administration Guide: Basic
Administration》中的“Adding or Removing a Software Package (pkgadd)”。
确认是否已添加新模块及模块标识符。
读取/etc/security/crypt.conf 文件中的加密算法列表。
2
1
2
3
1
2
更改口令加密的缺省算法
64 系统管理指南:安全性服务• 2006 年9 月
例如,以下行说明已安装了用于实现crypt_rot13 算法的模块:
# crypt.conf
#
md5 /usr/lib/security/$ISA/crypt_md5.so
rot13 /usr/lib/security/$ISA/crypt_rot13.so
# For *BSD - Linux compatibility
# 1 is MD5, 2a is Blowfish
1 /usr/lib/security/$ISA/crypt_bsdmd5.so
2a /usr/lib/security/$ISA/crypt_bsdbf.so
将新安装算法的标识符添加到/etc/security/policy.conf 文件。
以下行显示了需要修改以添加rot13 标识符的policy.conf 文件的摘录:
# Copyright 1999-2002 Sun Microsystems, Inc. All rights reserved.
# ...
#ident "@(#)policy.conf 1.6 02/06/07 SMI"
# ...
# crypt(3c) Algorithms Configuration
CRYPT_ALGORITHMS_ALLOW=1,2a,md5,rot13
#CRYPT_ALGORITHMS_DEPRECATE=__unix__
CRYPT_DEFAULT=md5
在此示例中,如果当前口令是使用crypt_rot13 算法加密的,则使用rot13 算法。新用户口
令使用crypt_sunmd5 算法进行加密。此算法配置适用于仅Solaris 网络。
3
更改口令加密的缺省算法
第3 章• 控制对系统的访问(任务) 65
监视和限制超级用户(任务列表)
以下任务列表说明如何监视和限制root 用户登录:
任务说明参考
监视正在使用su 命令的用户定期扫描sulog 文件。第66 页中的“如何监视正在使用su 命令的
用户”
在控制台上显示超级用户活

在超级用户尝试登录时监视其访问尝试。第67 页中的“如何限制和监视超级用户登
录”
监视和限制超级用户
另一种使用超级用户帐户的方法是设置基于角色的访问控制。基于角色的访问控制称为
RBAC。有关RBAC 的概述信息,请参见第169 页中的“基于角色的访问控制(概述)”。
要设置RBAC,请参见第9 章。
 如何监视正在使用su 命令的用户
sulog 文件列出了su 命令的每次使用情况,而不仅仅包括用于从用户切换到超级用户的su
尝试。
定期监视/var/adm/sulog 文件的内容。
# more /var/adm/sulog
SU 12/20 16:26 + pts/0 stacey-root
SU 12/21 10:59 + pts/0 stacey-root
SU 01/12 11:11 + pts/0 root-rimmer
SU 01/12 14:56 + pts/0 pmorph-root
SU 01/12 14:57 + pts/0 pmorph-root
这些项显示以下信息:
 输入命令的日期和时间。
 尝试是否成功。加号(+) 表明尝试成功。减号(-) 表明尝试失败。
 发出命令的端口。
 用户名称和切换身份的名称。
缺省情况下,通过/etc/default/su 文件中的以下项启用此文件中的su 记录:
SULOG=/var/adm/sulog

监视和限制超级用户(任务列表)
66 系统管理指南:安全性服务• 2006 年9 月
 如何限制和监视超级用户登录
此方法可立即检测访问本地系统的超级用户尝试。
查看/etc/default/login 文件中的CONSOLE 项。
CONSOLE=/dev/console
缺省情况下,控制台设备设置为/dev/console。使用此设置,root 可以登录到控制台。
root 无法远程登录。
检验root 是否可以远程登录。
从远程系统,尝试以超级用户身份登录。
mach2 % rlogin -l root mach1
Password: <键入mach1 的超级用户口令>
Not on system console
Connection closed.
监视成为超级用户的尝试。
缺省情况下,会使用SYSLOG 实用程序在控制台上列显成为超级用户的尝试。
a. 在桌面上打开终端控制台。
b. 在另一个窗口中,使用su 命令成为超级用户。
% su
Password: <键入超级用户口令>
#
将在终端控制台上列显一条消息。
Sep 7 13:22:57 mach1 su: ’su root’ succeeded for jdoe on /dev/pts/6
记录超级用户访问尝试
在此示例中,SYSLOG 不会记录超级用户尝试。因此,管理员将通过删除/etc/default/su 文
件中的#CONSOLE=/dev/console 项的注释来记录这些尝试。
# CONSOLE determines whether attempts to su to root should be logged
# to the named device
#
1
2
3
示例3–7
监视和限制超级用户
第3 章• 控制对系统的访问(任务) 67
CONSOLE=/dev/console
当用户尝试成为超级用户时,将在终端控制台上列显该尝试。
SU 09/07 16:38 + pts/8 jdoe-root
要在/etc/default/login 文件包含缺省CONSOLE 项的情况下从远程系统成为超级用户,用户
必须先使用其用户名登录。使用其用户名登录后,用户便可以使用su 命令成为超级用户。
如果控制台显示类似于Mar 16 16:20:36 mach1 login: ROOT LOGIN /dev/pts/14 FROM
mach2.Example.COM 的项,则系统允许远程root 登录。要禁止远程超级用户访问,请将
/etc/default/login 文件中的#CONSOLE=/dev/console 项更改为CONSOLE=/dev/console。
SPARC: 控制对系统硬件的访问(任务列表)
以下任务列表说明如何使PROM 免受不需要的访问:
任务说明参考
禁止用户更改系统硬件设置修改PROM 设置需要提供口令。第68 页中的“如何要求硬件访问口令

禁用中止序列禁止用户访问PROM。第69 页中的“如何禁用系统的中止序
列”
控制对系统硬件的访问
可以通过要求在访问硬件设置时提供口令来保护物理计算机,也可以通过禁止用户使用中
止序列离开窗口系统来保护计算机。
 如何要求硬件访问口令
在x86 系统上,保护PROM 即是保护BIOS。有关如何保护BIOS,请参阅计算机手册。
成为超级用户或承担拥有设备安全配置文件、维护和修复配置文件或系统管理员配置文件
的角色。
系统管理员配置文件包括维护和修复配置文件。要创建拥有系统管理员配置文件的角色并
将该角色指定给用户,请参见第186 页中的“配置RBAC(任务列表)”。
在终端窗口中,键入PROM 安全模式。
# eeprom security-mode=command
故障排除
1
2
SPARC: 控制对系统硬件的访问(任务列表)
68 系统管理指南:安全性服务• 2006 年9 月
Changing PROM password:
New password: <键入口令>
Retype new password: <重新键入口令>
选择值command 或full。有关更多详细信息,请参见eeprom(1M) 手册页。
如果键入上述命令时未提示输入PROM 口令,则表明系统已拥有PROM 口令。
(可选的)要更改PROM 口令,请键入以下命令:
# eeprom security-password= 按回车键
Changing PROM password:
New password: <键入口令>
Retype new password: <重新键入口令>
新的PROM 安全模式和口令将立即生效。但是,很可能在下次引导时才会对这些更改进行
通知。
注意– 切勿忘记PROM口令。如果没有此口令,硬件将不可用。
 如何禁用系统的中止序列
某些服务器系统具有键开关。如果将键开关设置在安全位置,则该开关将覆盖软件键盘中
止设置。因此,使用以下过程进行的任何更改都可能无法实现。
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《System
Administration Guide: Basic Administration》中的第2 章,“WorkingWith the Solaris
Management Console (Tasks)”。
将KEYBOARD_ABORT 的值更改为disable。
注释掉/etc/default/kbd 文件中的enable 行。然后,添加disable 行:
# cat /etc/default/kbd
...
# KEYBOARD_ABORT affects the default behavior of the keyboard abort
3
1
2
控制对系统硬件的访问
第3 章• 控制对系统的访问(任务) 69
# sequence, see kbd(1) for details. The default value is "enable".
# The optional value is "disable". Any other value is ignored.
...
#KEYBOARD_ABORT=enable
KEYBOARD_ABORT=disable
更新键盘缺省值。
# kbd -i
3
控制对系统硬件的访问
70 系统管理指南:安全性服务• 2006 年9 月
控制对设备的访问(任务)
本章介绍了保护设备的逐步说明,并包含一个参考部分。以下是本章中的信息列表:
 第71 页中的“配置设备(任务列表)”
 第71 页中的“配置设备策略(任务列表)”
 第76 页中的“管理设备分配(任务列表)”
 第81 页中的“分配设备(任务列表)”
 第87 页中的“设备保护(参考)”
有关设备保护的概述信息,请参见第41 页中的“控制对设备的访问”。
配置设备(任务列表)
以下任务列表介绍了管理设备访问的任务。
任务参考
管理设备策略第71 页中的“配置设备策略(任务列表)”
管理设备分配第76 页中的“管理设备分配(任务列表)”
使用设备分配第81 页中的“分配设备(任务列表)”
配置设备策略(任务列表)
以下任务列表介绍了与设备策略相关的设备配置过程。
任务说明参考
查看系统上设备的设备策略列出设备及其设备策略。第72 页中的“如何查看设备策略”
4第4 章
71
任务说明参考
要求使用设备的权限使用权限保护设备。第73 页中的“如何更改现有设备上的
设备策略”
删除设备的权限要求删除或减少访问设备所需的权限。示例4–3
审计设备策略中的更改在审计跟踪中记录设备策略的更改。第74 页中的“如何审计设备策略中的
更改”
访问/dev/arp 获取Solaris IP MIB-II 信息。第75 页中的“如何从/dev/* 设备检索
IP MIB-II 信息”
配置设备策略
设备策略会限制或防止对作为系统整体部分的设备进行访问。策略在内核中实施。
 如何查看设备策略
显示系统上所有设备的设备策略。
% getdevpolicy | more
DEFAULT
read_priv_set=none
write_priv_set=none
ip:*
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess
...
查看特定设备的设备策略
此示例显示了三个设备的设备策略。
% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/hme
/dev/allkmem
read_priv_set=all

示例4–1
配置设备策略
72 系统管理指南:安全性服务• 2006 年9 月
write_priv_set=all
/dev/ipsecesp
read_priv_set=sys_net_config
write_priv_set=sys_net_config
/dev/hme
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess
 如何更改现有设备上的设备策略
承担拥有设备安全权限配置文件的角色或成为超级用户。
主管理员角色拥有设备安全权限配置文件。还可以将设备安全权限配置文件指定给所创建
的角色。有关如何创建角色并将其指定给用户的信息,请参见示例9–3。
向设备中添加策略。
# update_drv -a -p policy device-driver
-a 指定device-driver 的policy。
-p policy device-driver 的设备策略。设备策略指定两组权限。一组用于读取设备,另
一组用于写入设备。
device-driver 设备驱动程序。
有关更多信息,请参见update_drv(1M) 手册页。
向现有设备中添加策略
以下示例向ipnat 设备中添加设备策略。
# getdevpolicy /dev/ipnat
/dev/ipnat
read_priv_set=none
write_priv_set=none
# update_drv -a \
 
 
 
以上文章转自于 : http://developers.sun.com.cn/
阅读(519) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~