确保用户安全

此时，只有可承担 root 角色的初始用户才有权访问系统。最好按顺序执行以下任务，然后一般用户才可以登录。

设置更强的口令约束

如果缺省设置不满足您的站点安全要求，请使用此过程。相关步骤遵循 /etc/default/passwd 文件中的条目列表顺序执行。

开始之前

更改缺省设置之前，请确保更改后允许所有用户向其应用程序和网络上的其他系统进行验证。

您必须是 root 角色。

• 编辑 /etc/default/passwd 文件。
  1. 要求用户每个月都更改口令，但频率不能超过每三周更改一次。

     ## /etc/default/passwd
     ##
     MAXWEEKS=
     MINWEEKS=
     MAXWEEKS=4
     MINWEEKS=3

  2. 要求口令长度至少为八个字符。

     #PASSLENGTH=6
     PASSLENGTH=8

  3. 保留口令历史记录。

     #HISTORY=0
     HISTORY=10

  4. 要求与上一口令具有最小差异。

     #MINDIFF=3
     MINDIFF=4

  5. 要求至少有一个大写字母。

     #MINUPPER=0
     MINUPPER=1

  6. 要求至少有一个数字。

     #MINDIGIT=0
     MINDIGIT=1

另请参见

• 有关用于限制口令创建的变量列表，请参见 /etc/default/passwd 文件。该文件中指出了缺省设置。

• 有关在安装后生效的口令约束，请参见系统访问受限制和监视。

• passwd(1) 手册页

为一般用户设置帐户锁定

使用此过程可在登录尝试失败特定次数后锁定一般用户帐户。

开始之前

您必须是 root 角色。请勿在用于管理活动的系统上在系统范围内设置此保护。

1. 将 LOCK_AFTER_RETRIES 安全属性设置为 YES。
   • 在系统范围内设置。

     # vi /etc/security/policy.conf
     ...
     #LOCK_AFTER_RETRIES=NO
     LOCK_AFTER_RETRIES=YES
     ...

   • 对每个用户设置。

     # usermod -K lock_after_retries=yes username

2. 将 RETRIES 安全属性设置为 3。

   # vi /etc/default/login
   ...
   #RETRIES=5
   RETRIES=3
   ...

另请参见

• 有关用户和角色安全属性的讨论，请参见《Oracle Solaris 管理：安全服务》中的第 10  章 "Oracle Solaris 中的安全属性（参考）"。

• 所选手册页包括 policy.conf(4) 和 user_attr(4)。

为一般用户设置限制性更为严格的 umask 值

如果缺省 umask 值 022 的限制性不够严格，请使用此过程设置限制性更为严格的掩码。

开始之前

您必须是 root 角色。

• 在各种 shell 的框架目录中修改登录配置文件中的 umask 值。

  Oracle Solaris 为管理员提供了用于定制用户 shell 缺省值的目录。这些框架目录包括诸如 .profile、.bashrc 和 .kshrc 等文件。

  选择以下值之一：

  • umask 027－提供中等文件保护

    (740)－w（组），rwx（其他用户）

  • umask 026－提供稍严格的文件保护

    (741)－w（组），rw（其他用户）

  • umask 077－提供完整的文件保护

    (700)－组或其他用户无权访问

另请参见

有关更多信息，请参见以下内容：

• 《Oracle Solaris 管理：常见任务》中的"设置用户帐户"

• 《Oracle Solaris 管理：安全服务》中的"缺省 umask 值"

• 所选手册页包括 usermod(1M) 和 umask(1)。

审计除登录/注销之外的重要事件

使用此过程可以审计管理命令、侵入系统的尝试以及站点安全策略所指定的其他重要事件。

开始之前

您必须是 root 角色。您要实现与审计有关的站点安全策略。

1. 审计用户和角色对特权命令的所有使用情况。

   对于所有用户和角色，将 AUE_PFEXEC 审计事件添加到其预选掩码中。

   # usermod -K audit_flags=lo,ps:no username

   # rolemod -K audit_flags=lo,ps:no rolename

2. 记录审计命令的参数。

   # auditconfig -setpolicy +argv

3. 记录审计命令的执行环境。

   # auditconfig -setpolicy +arge

另请参见

• 有关审计策略的信息，请参见《Oracle Solaris 管理：安全服务》中的"审计策略"。

• 有关设置审计标志的示例，请参见《Oracle Solaris 管理：安全服务》中的"配置审计服务（任务）"和《Oracle Solaris 管理：安全服务》中的"审计服务的故障排除（任务）"。

• 要配置审计，请参见 auditconfig(1M) 手册页。

实时监视 lo 事件

使用此过程可在您要监视的事件发生时为其激活 audit_syslog 插件。

开始之前

您必须承担 root 角色才能修改 syslog.conf 文件。其他步骤要求您分配有 "Audit Configuration"（审计配置）权限配置文件。

1. 将 lo 类发送到 audit_syslog 插件，并激活该插件。

   # auditconfig -setplugin audit_syslog active p_flags=lo

2. 将 audit.notice 项添加到 syslog.conf 文件。

   此缺省项包括日志文件的位置。

   # cat /etc/syslog.conf
   …
   audit.notice       /var/adm/auditlog

3. 创建日志文件。

   # touch /var/adm/auditlog

4. 刷新 syslog 服务的配置信息。

   # svcadm refresh system/system-log

5. 刷新审计服务。

   审计服务在刷新时将读取审计插件的更改。

   # audit -s

另请参见

• 要将审计摘要发送到其他系统，请参见《Oracle Solaris 管理：安全服务》中的"如何配置 syslog 审计日志"后的示例。

• 审计服务可生成大量输出。要管理日志，请参见 logadm(1M) 手册页。

• 要监视输出，请参见监视 audit_syslog 审计摘要。

为用户删除不需要的基本特权

在特殊情况下，可从一般用户的基本特权集中删除三种基本特权中的一个或多个特权。

• file_link_any－允许进程创建指向某个 UID 所拥有的文件的硬链接，但是该 UID 不能与该进程的有效 UID 相同。

• proc_info－允许进程检查它可以向其发送信号的进程以外的进程的状态。不能被检查的进程在 /proc 中不可见，并且似乎并不存在。

• proc_session－允许进程在其会话之外发送信号或跟踪进程。

开始之前

您必须是 root 角色。

1. 阻止用户链接到不归其所有的文件。

   # usermod -K defaultpriv=basic,!file_link_any user

2. 阻止用户检查不归其所有的进程。

   # usermod -K defaultpriv=basic,!proc_info user

3. 阻止用户从其当前会话启动第二个会话，例如启动 ssh 会话。

   # usermod -K defaultpriv=basic,!proc_session user

4. 将所有三种特权从用户的基本特权集中删除。

   # usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user

另请参见

有关更多信息，请参见《Oracle Solaris 管理：安全服务》中的第 8  章 "使用角色和特权（概述）"和 privileges(5) 手册页。