针对安全性定制用户环境（任务列表）

下面的任务列表介绍了在针对所有用户定制系统时或定制各个用户帐户时可以执行的常见任务。其中的许多任务需要在一般用户登录之前执行。

任务	说明	参考
更改标签属性。	为用户帐户修改标签属性，例如最小标签和缺省标签视图。	如何修改缺省用户标签属性
针对系统的所有用户更改 Trusted Extensions 策略。	更改 `policy.conf` 文件。	如何修改 `policy.conf` 缺省值
	在系统空闲达到设定的时间量之后，打开屏幕保护程序或注销用户。	示例 11-1
	为系统的所有一般用户删除不必要的特权。	示例 11-2
	阻止在公共资讯服务站的已打印输出中显示标签。	示例 11-3
为用户配置初始化文件。	为所有用户配置启动文件，例如 `.bashrc`、`.cshrc`、`.copy_files` 和 `.soffice`。	如何在 Trusted Extensions 中为用户配置启动文件
登录到一个故障安全会话。	修复出现故障的用户初始化文件。	如何在 Trusted Extensions 中登录到故障安全会话

如何修改缺省用户标签属性

您可以在配置第一个系统期间修改缺省用户标签属性。必须将所做更改复制到每个 Trusted Extensions 系统。

注意 - 必须在任何一般用户访问系统之前完成此任务。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。有关详细信息，请参见如何进入 Trusted Extensions 的全局区域。

在 /etc/security/tsol/label_encodings 文件中查看缺省用户属性设置。
有关缺省设置，请参见在 Trusted Extensions 中规划用户安全中的表 1-2。
在 label_encodings 文件中修改用户属性设置。

将文件的副本分发到每个 Trusted Extensions 系统。

注意 - label_encodings 文件在所有系统上必须都相同。要想了解一种分发方法，请参见如何在 Trusted Extensions 中将文件复制到便携介质和如何在 Trusted Extensions 中从便携介质复制文件。

如何修改 `policy.conf` 缺省值

在 Trusted Extensions 中更改 policy.conf 缺省值等同于在 Oracle Solaris 中更改任何安全相关系统文件。使用以下过程可为系统的所有用户更改缺省值。

开始之前

您必须在全局区域中承担 root 角色。有关详细信息，请参见如何进入 Trusted Extensions 的全局区域。

在 /etc/security/policy.conf 文件中查看缺省设置。
有关 Trusted Extensions 关键字，请参见表 10-1。
修改设置。

示例 11-1 更改系统的空闲设置

在本例中，安全管理员想让空闲的系统返回到登录屏幕。缺省情况下会锁定空闲系统。因此，root 角色将按如下方式将 IDLECMD keyword=value 对添加到 /etc/security/policy.conf 文件：

IDLECMD=LOGOUT

管理员还想缩短系统在注销之前空闲的时间。因此，root 角色将按如下方式将 IDLETIME keyword=value 对添加到 policy.conf 文件：

IDLETIME=10

现在，系统会在空闲 10 分钟后注销用户。

请注意，如果登录用户承担了某个角色，则用户的 IDLECMD 和 IDLETIME 值将对该角色生效。

示例 11-2 修改每个用户的基本特权集

在本示例中，大型安装的安全管理员不希望一般用户查看其他用户的进程。因此，在配置有 Trusted Extensions 的每个系统上，root 角色将从基本特权集中删除 proc_info。将按如下方式对 /etc/policy.conf 文件中的 PRIV_DEFAULT 设置取消注释并进行修改：

PRIV_DEFAULT=basic,!proc_info

示例 11-3 为系统的所有用户指定与打印相关的授权

在此示例中，站点安全允许公共资讯服务站计算机在打印时不带标签。在公共资讯服务站中，root 角色修改 /etc/security/policy.conf 文件中的 AUTHS_GRANTED 值。在下次引导时，此资讯服务站的所有用户执行的打印作业都会在没有页面标签的情况下打印。

AUTHS_GRANTED=solaris.print.unlabeled

然后，管理员决定通过删除标题页和篇尾页来节省纸张。管理员进一步修改 policy.conf 条目。

AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner

重新引导公共资讯服务站后，所有打印作业均不带标签，也没有标题页和篇尾页。

如何在 Trusted Extensions 中为用户配置启动文件

用户可以以对应于其最小敏感标签的标签将 .copy_files 文件和 .link_files 文件放入其起始目录中。用户还可以修改其最小标签的现有 .copy_files 和 .link_files 文件。管理员角色可以使用此过程来自动化站点的设置。

开始之前

您必须具有全局区域中的 "System Administrator"（系统管理员）角色。有关详细信息，请参见如何进入 Trusted Extensions 的全局区域。

创建两个 Trusted Extensions 启动文件。
将 .copy_files 和 .link_files 添加到您的启动文件列表中。
```
# cd /etc/skel
# touch .copy_files .link_files
```
定制 .copy_files 文件。
1. 在编辑器中，键入 .copy_files 文件的完整路径名。
```
# vi /etc/skel/.copy_files
```
2. 在 .copy_files 中键入要复制到用户所有标签起始目录中的文件，每行键入一个文件。
  可使用 .copy_files 和 .link_files 文件作为参考。有关文件样例，请参见示例 11-4。
定制 .link_files 文件。
1. 在编辑器中，键入 .link_files 的完整路径名。
```
# vi /etc/skel/.link_files
```
2. 在 .link_files 中键入要链接到用户在所有标签的起始目录中的文件，每行键入一个文件。
为您的用户定制其他启动文件。
- 有关启动文件中包含哪些文件的讨论，请参见《Oracle Solaris 管理：常见任务》中的"定制用户的工作环境"。
- 有关详细信息，请参见《Oracle Solaris 管理：常见任务》中的"如何定制用户初始化文件"。
可选为其缺省 shell 是配置文件 shell 的用户创建 skelP 子目录。
P 表示 Profile（配置文件）shell。
将定制的启动文件复制到相应的框架目录中。
创建用户时，请使用相应的 skelX 路径名。
X 表示 shell 名称的开头字母，例如 B 代表 Bourne，K 代表 Korn，C 代表 C shell，P 代表 Profile shell。

示例 11-4 为用户定制启动文件

在本示例中，系统管理员为每个用户的起始目录配置文件。这些文件在任何用户登录之前已工作。这些文件位于用户的最小标签。在此站点中，用户的缺省 shell 是 C shell。

系统管理员创建具有以下内容的 .copy_files 和 .link_files 文件：

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.bashrc
.bashrc.user
.cshrc
.login
:wq

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
:wq

在 shell 初始化文件中，管理员确保用户的打印作业会传至有标签的打印机。

## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1

## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

将定制的文件复制到相应的框架目录中。

$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \
.login .profile .mailrc /etc/skelC
$ cp .copy_files .link_files .ksh .profile .mailrc \
/etc/skelK

故障排除

如果您在最低级别标签创建了一个 .copy_files 文件，然后登录到较高级别区域运行 updatehome 命令，且该命令失败并出现访问错误，请尝试以下操作：

确认您可以从较高级别的区域查看较低级别的目录。

higher-level zone# ls /zone/lower-level-zone/home/username
ACCESS ERROR: there are no files under that directory

如果您无法查看低级别目录，请在较高级别的区域中重新启动自动挂载服务：
```
higher-level zone# svcadm restart autofs
```

除非为主目录使用 NFS 挂载，否则较高级别区域中的自动挂载程序应从 /zone/lower-level-zone/export/home/username 回送挂载到 /zone/lower-level-zone/home/username。

如何在 Trusted Extensions 中登录到故障安全会话

在 Trusted Extensions 中，故障安全登录是受保护的。如果一般用户已定制了 shell 初始化文件但现在无法登录，您可以使用故障安全登录来修复用户的文件。

开始之前

您必须知道 root 口令。

在登录屏幕中键入用户名。
在屏幕底部，从桌面菜单中选择 Solaris Trusted Extensions 故障安全会话。
出现提示时，键入口令。
提示输入其他口令时，键入 root 口令。
现在，您可以调试用户的初始化文件了。

跳过导航链接
退出打印视图
	Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文)