跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11 安全准则 Oracle Solaris 11 Information Library (简体中文) |
最好按顺序执行以下任务。此时,Oracle Solaris 11 OS 已安装,只有可承担 root 角色的初始用户才有权访问系统。
|
安装后立即通过检验软件包来验证安装。
开始之前
您必须是 root 角色。
要保留记录,请将命令输出发送到某个文件。
# pkg verify > /var/pkgverifylog
另请参见
有关更多信息,请参见 pkg(1) 和 pkg(5) 手册页。这些手册页中包含使用 pkg verify 命令的示例。
使用此过程可禁用系统不需要的服务。
开始之前
您必须是 root 角色。
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
例如,如果系统不是 NFS 服务器或 Web 服务器,而服务处于联机状态,则禁用这些服务。
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
另请参见
有关更多信息,请参见《Oracle Solaris 管理:常见任务》中的第 6 章 "管理服务(概述)"和 svcs(1) 手册页。
使用此过程可阻止此系统的用户暂停系统或关闭系统电源。
开始之前
您必须是 root 角色。
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
#CONSOLE_USER=Console User
# usermod -P +new-profile username
另请参见
有关更多信息,请参见《Oracle Solaris 管理:安全服务》中的"policy.conf 文件"以及 policy.conf(4) 和 usermod(1M) 手册页。
使用此过程可创建用于反映站点安全策略的警告消息。这些文件的内容将在本地和远程登录时显示。
注 - 此过程中的样例消息不满足美国政府要求,也可能不满足您的安全策略。
开始之前
您必须是 root 角色。最佳做法是就安全消息的内容向贵公司的法律顾问进行咨询。
# vi /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
有关更多信息,请参见 issue(4) 手册页。
telnet 程序将 /etc/issue 文件的内容显示为登录消息。有关其他应用程序使用该文件的信息,请参见向 ssh 和 ftp 用户显示安全消息和在桌面登录屏幕中放置安全消息。
# vi /etc/motd This system serves authorized users only. Activity is monitored and reported.
从多种方法中选择一种来创建供用户在登录时查看的安全消息。
有关更多信息,请在桌面上单击 "System"(系统)> "Help"(帮助)菜单以启动 GNOME 帮助浏览器。您也可以使用 yelp 命令。在 gdm(1M) 手册页的“GDM Login Scripts and Session Files”(GDM 登录脚本和会话文件)部分介绍了桌面登录脚本。
注 - 此过程中的样例消息不满足美国政府要求,也可能不满足您的安全策略。
开始之前
您必须是 root 角色。最佳做法是就安全消息的内容向贵公司的法律顾问进行咨询。
您有几种选择。创建对话框的这几种方式都可以使用在标题文件中放置安全消息的步骤 1 中的 /etc/issue 文件。
# vi /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
在登录窗口中进行验证后,用户必须关闭该对话框才能访问工作区。有关 zenity 命令的选项,请参见 zenity(1) 手册页。
/etc/gdm 目录包含三个初始化脚本,它们分别在桌面登录之前、登录期间以及登录后显示安全消息。Oracle Solaris 10 版本中也提供了这些脚本。
# vi /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
此脚本在显示用户工作区之前运行。可修改 Default.sample 脚本来创建此脚本。
# vi /etc/gdm/PostLogin/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
# vi /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
注 - 可将该对话框包含在用户工作区的窗口中。
登录窗口将扩大以容纳您的消息。此方法不指向 /etc/issue 文件。必须将文本键入 GUI。
注 - 登录窗口 gdm-greeter-login-window.ui 将被 pkg fix 和 pkg update 命令覆盖。要保存更改,请将文件复制到配置文件目录,并在升级系统后将更改与新文件合并。有关更多信息,请参见 pkg(5) 手册页。
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
glade-3 程序将打开 GTK+ 接口设计程序。将安全消息键入在用户输入字段上方显示的标签。
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
要查看接口设计程序的指南,请在 GNOME 帮助浏览器中单击 "Development"(开发)。glade-3(1) 手册页列在 "Manual Pages"(手册页)的 "Applications"(应用程序)下。
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
示例 2-1 创建桌面登录时显示的简短警告消息
在本示例中,管理员键入一条简短消息作为桌面文件中 zenity 命令的参数。管理员还使用 --warning 选项在消息中显示警告图标。
# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application