TCB具体的是什么东东？他的作用能具体说说么？
红皮书上写的东西。
The Trusted Computing Base (TCB) is the part of the system that is responsible
for enforcing the information security policies of the system. All of the
computer’s hardware is included in the TCB, but a person administering the system should be concerned primarily with the software components of the TCB.

If you install the Trusted Computing Base option, you enable the trusted path,
trusted shell, and system-integrity checking (tcbck command). These features
can be enabled only during BOS installation.

TCB 可信任的计算环境

具体描述你的帖子里写的很清楚啊

work在，太好了~hoho

我是写的清楚，可是我看不太明白……

“可信计算库”（TCB）是负责强制系统范围信息安全策略的系统的一部分。通过安装和使用 TCB，可以定义对可信通信路径的用户访问，这将允许用户和 TCB 间的安全通信。只有在安装操作系统时，才启用 TCB 功能。要在已安装的机器上安装 TCB，您将必须执行“保留”安装。启用 TCB 允许您访问可信 shell、可信进程以及“安全注意键”（SAK）。

TCB 是负责强制系统信息安全策略的系统的一部分。TCB 包含全部计算机硬件，但管理系统的人员应该主要关心 TCB 的软件组件。

如果您安装系统时使用“可信计算库”选项，您就启用了可信路径、可信 shell 及系统完整性校验（tcbck 命令）。这些功能仅可以在基本操作系统（BOS）安装过程中启用。如果在初始安装过程中未选择 TCB 选项，tcbck 命令将被禁用。只有通过启用 TCB 选项来重新安装系统才可以使用该命令。

要在 BOS 安装过程中设置 TCB 选项，请从“安装和设置”屏幕选择更多选项。在“安装选项”屏幕，安装可信计算库选择的缺省值是 no。要启用TCB ，请输入 2 并按下 Enter 键。

由于每个设备都是 TCB 的一部分，所以 TCB 监视 /dev 目录中的每个文件。另外，TCB 自动监视超过 600 个附加文件，把这些文件的关键信息存储在 /etc/security/sysck.cfg 文件中。如果正在安装 TCB，安装以后立即把该文件备份到可移动的介质中，例如磁带、CD 或磁盘，并把介质存储在安全的地方。

检查可信计算库

tcbck 命令审计“可信计算库”的安全状态。当 TCB 文件未得到正确保护或当配置文件具有非安全值时，操作系统的安全性会受到危害。tcbck 命令通过读取 /etc/security/sysck.cfg 文件审计该信息。该文件包含所有 TCB 文件、配置文件和可信命令的描述。

/etc/security/sysck.cfg 文件并没有脱机，因此黑客就有可能改变它。确保每一个 TCB 更新后，创建一个脱机的只读副本。同时，做进行任何检查之前，把该文件从归档介质中复制到磁盘上。

安装 TCB 和使用 tcbck 命令不能保证系统在符合受控访问保护概要文件（CAPP）和评估保证级别 4+（EAL4+）的方式下运行。有关 CAPP/EAL4+ 选项的信息，请参阅受控的访问保护概要文件和评估保证级别 4+。

文档中提到了启用必须在安装系统时才能启用但是没提到如何禁用，不知系统安装好后是否还可以禁用掉。安装TCB后/usr/bin等目录下部分可执行程序无可执行权限（比如topas），cfgmgr的一些method也没有可执行权限，系统使用起来恶心无比还要到处改权限。

[ 本帖最后由 traveller2 于 2008-5-10 08:31 编辑 ]

LS也试过了啊
安全和方便是互相矛盾的。

装了TCB，snmp就被禁用了，起都起不来，所以HACMP也起不来。

卸TCB？我查过，一直没有查到卸的方法，应该是没有。我的选择就是重装。

所以，不明白的时候，千万不要在安装的时候选上TCB

删除bos.security的安装包可以吗？我今天试试。

公司小弟弟稀里糊涂就把TCB装上了，连装了好几台
我去装的HACMP5.3
改了一些目录下程序的可执行权限后cfgmgr等才正常运作
HA也顺利起来了，简单做了下接管测试，没发现问题。
没注意SNMP，难不成真要重装...

[ 本帖最后由 traveller2 于 2008-5-11 10:55 编辑 ]

以后也许还会遇到问题，可能性说不清楚。所以，还是彻底解决才好

被我猜对了，请我吃饭~

卸载security包,?在想怎么写个脚本，把正常机器上面的权限照搬到启用了tcb的机器上... ，不知道是否就是彻底解决问题