如果 GBase 8s 安装应用程序报告目标路径不安全,那么可以手动调整目录的许可权以确保 onsecurity 实用程序接受目录的现有许可权设置。
执行以下过程之前,请了解您环境中的安全安装路径的构成,包括用户和组 gbasedbt 的使用情况。请参阅 GBase 8s 安全指南 以获取准则信息。
对于处理 GBase 8s 安装应用程序中运行的 onsecurity 实用程序检测到目标路径不安全时所产生的问题,以下过程向您提供更精细的控制。
-
当通知您安装目录不安全时,请阅读详细描述目标路径中非安全目录相关信息的消息。
-
选择查看其他选项以确保安装目录安全。
-
如果所有者不安全:如果有关目标路径的安全性消息表明某个目录所有者存在潜在问题,请选择以下某个选项:
- 更改所有者(最安全)
- 对于 $GBASEDBTDIR 之上的所有节点,将非安全目录的所有者更改为用户 root;将 $GBASEDBTDIR 的所有者更改为用户 gbasedbt。
- 将所有者添加到可信所有者列表
- 将非用户 root 且非用户 gbasedbt 的全部现有目录所有者添加到 /etc/gbasedbt/trusted.uids 文件。选择此选项表明您充分信任这些其他所有者。
- 忽略所有者问题
- 允许 GBase 8s 安装继续执行而不解决潜在的安全脆弱性问题。
注意: 如果选择忽略所有者问题并且在安装后未成功确保目标路径的安全,那么 GBase 8s 将不会初始化。
-
如果组不安全:如果有关目标路径的安全性消息表明某个组存在潜在问题,请选择以下某个选项:
- 更改组(最安全)
- 对于 $GBASEDBTDIR 之上的所有节点,将非安全目录的组更改为 root;将 $GBASEDBTDIR 的组更改为组 gbasedbt。
- 除去组的写许可权
- 除去除了组 root 和 gbasedbt 之外的所有组的写许可权。
- 将组添加到可信组
- 将指定给目标路径中目录的所有非 root 和非 gbasedbt 组添加到 /etc/gbasedbt/trusted.gids 文件。选择此选项表明您充分信任这些其他组。
- 忽略组许可权问题
- 允许 GBase 8s 安装继续执行而不解决潜在的安全脆弱性问题。
注意: 如果选择忽略组许可权问题并且在安装后未成功确保目标路径的安全,那么 GBase 8s 将不会初始化。
-
如果存在公用写许可权:如果在有关安全性的安装应用程序消息中将公用写许可权识别为问题,请选择以下某个选项:
- 除去公用写许可权
- 除去对安装路径中目录的公用写访问权。
- 将目录添加到可信但非安全目录的列表
- 将具有公用写访问权的所有目录添加到 /etc/gbasedbt/trusted.insecure.directories 文件。
重要: 仅当环境中的特殊情况需要 trusted.insecure.directories 文件时才使用该文件。此变通方法会使安装面临潜在的安全性问题。
选择此选项带来的风险将由您自行承担。
- 忽略公用许可权问题
- 允许 GBase 8s 安装继续执行而不解决潜在的安全脆弱性问题。
注意: 如果选择忽略公用写访问权问题并且在安装后未成功确保目标路径的安全,那么 GBase 8s 将不会初始化。
在已确定如何处理 $GBASEDBTDIR 路径许可权之后,GBase 8s 安装可以继续执行。