保護系統

最好依序執行下列作業。此時，Oracle Solaris 11 作業系統已安裝，只有能夠擔任 root 角色的初始使用者可以存取系統。

驗證套裝軟體

安裝後會立即驗證套裝軟體以驗證安裝。

開始之前

您必須為 root 角色。

1. 執行 pkg verify 指令。

   若要保留記錄，可將指令輸出傳送至檔案。

   # pkg verify > /var/pkgverifylog

2. 審閱有任何錯誤的記錄。
3. 如果您找到錯誤，請從媒體重新安裝或修正錯誤。

另請參閱

如需更多資訊，請參閱「pkg(1) 線上手冊」和「pkg(5) 線上手冊」。這些線上手冊包含使用 pkg verify 指令的範例。

停用不需要的服務

基於系統考量，使用此程序停用不必要的服務。

開始之前

您必須為 root 角色。

1. 列出線上服務。

   # svcs | grep network
   online         Sep_07   svc:/network/loopback:default
   ...
   online         Sep_07   svc:/network/ssh:default

2. 停用此系統不需要的服務。

   例如，如果系統不是 NFS 伺服器或 Web 伺服器，但這些服務在線上，請停用這些服務。

   # svcadm disable svc:/network/nfs/server:default
   # svcadm disable svc:/network/http:apache22

另請參閱

如需更多資訊，請參閱「Oracle Solaris Administration: Common Tasks」中的第 6 章「Managing Services (Overview)」和「svcs(1) 線上手冊」。

移除使用者的電源管理能力

使用此程序，可避免此系統的使用者暫停系統或中斷系統的電源。

開始之前

您必須為 root 角色。

1. 審閱主控台使用者 (Console User) 權限設定檔的內容。

   % getent prof_attr | grep Console
   Console User:RO::Manage System as the Console User:
   profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
   Brightness,CPU Power Management,Network Autoconf User;
   auths=solaris.system.shutdown;help=RtConsUser.html

2. 建立權限設定檔，其中包含您要使用者保留的任何主控台使用者 (Console User) 設定檔權限。

   如需相關說明，請參閱「Oracle Solaris Administration: Security Services」中的「How to Create or Change a Rights Profile」。

3. 在 /etc/security/policy.conf 檔案中註釋主控台使用者 (Console User) 權限設定檔。

   #CONSOLE_USER=Console User

4. 將您在步驟 2 建立的權限設定檔指派給使用者。

   # usermod -P +new-profile username

另請參閱

如需更多資訊，請參閱「Oracle Solaris Administration: Security Services」中的「policy.conf File」，以及「policy.conf(4) 線上手冊」和「usermod(1M) 線上手冊」。

將安全訊息放置在標題檔案中

使用此程序建立反映您網站安全性策略的警告訊息。這些檔案的內容會顯示在本機和遠端登入。

開始之前

您必須為 root 角色。最佳做法是向您公司的法律顧問查詢安全訊息的相關內容。

1. 將安全訊息輸入 /etc/issue 檔案。

   # vi /etc/issue
         ALERT   ALERT   ALERT   ALERT   ALERT
   
   This machine is available to authorized users only.
   
   If you are an authorized user, continue. 
   
   Your actions are monitored, and can be recorded.

   如需更多資訊，請參閱「issue(4) 線上手冊」。

   telnet 程式會顯示 /etc/issue 檔案的內容作為其登入訊息。如需讓其他應用程式使用此檔案的資訊，請參閱向 ssh 和 ftp 使用者顯示安全訊息和將安全訊息放置在桌面登入畫面上。

2. 新增安全訊息至 /etc/motd 檔案。

   # vi /etc/motd
   This system serves authorized users only. Activity is monitored and reported.

將安全訊息放置在桌面登入畫面上

從數種方法中選擇以建立供使用者在登入時審閱的安全訊息。

如需更多資訊，請按一下桌面上的 [系統 > 說明] 功能表啟動 [GNOME 說明瀏覽器]。您也可以使用 yelp 指令。在「gdm(1M) 線上手冊」的「GDM Login Scripts and Session Files」小節中有關於桌面登入程序檔的討論。

開始之前

您必須為 root 角色。最佳做法是向您公司的法律顧問查詢安全訊息的相關內容。

• 將安全訊息放置在桌面登入畫面上。

  您有幾個選項可用。建立對話方塊的選項可使用將安全訊息放置在標題檔案中的步驟 1中的 /etc/issue 檔案。

  • 選項 1：建立一個會在登入時於對話方塊中顯示安全訊息的桌面檔案。

    # vi /usr/share/gdm/autostart/LoginWindow/banner.desktop
    [Desktop Entry]
    Type=Application
    Name=Banner Dialog
    Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
    --title="Security Message" \
    --filename=/etc/issue
    OnlyShowIn=GNOME;
    X-GNOME-Autostart-Phase=Application

    在登入視窗中認證後，使用者必須關閉對話方塊才能連線工作區。如需 zenity 指令選項的資訊，請參閱「zenity(1) 線上手冊」。

  • 選項 2：修改 GDM 初始化程序檔即可在對話方塊中顯示安全訊息。

    /etc/gdm 目錄包含三種初始化程序檔，可以在桌面登入之前、登入期間或登入之後立即顯示安全訊息。在 Oracle Solaris 10 發行版本中也有提供這些程序檔。

    • 在登入畫面出現之前顯示安全訊息。

      # vi /etc/gdm/Init/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • 認證之後在登入畫面上顯示安全訊息。

      在顯示使用者工作區之前會先執行此程序檔。修改 Default.sample 程序檔即可建立此程序檔。

      # vi /etc/gdm/PostLogin/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • 認證後在使用者的初始工作區中顯示安全訊息。

      # vi /etc/gdm/PreSession/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

      ---

      備註 - 在使用者的工作區上，視窗可能會覆蓋對話方塊。

      ---

  • 選項 3：修改登入視窗來於輸入欄位上方顯示安全訊息。

    登入視窗會展開以配合您的訊息長度。此方法未指向 /etc/issue 檔案。您必須將文字輸入至 GUI 中。

    ---

    備註 - pkg fix 與 pkg update 指令已覆寫登入視窗 (gdm-greeter-login-window.ui)。如果要保留變更，請將檔案複製到配置檔案目錄中，然後在升級系統之後將此其變更與新檔案合併。如需更多資訊，請參閱「pkg(5) 線上手冊」。

    ---

    1. 將目錄變更為登入視窗使用者介面。

       # cd /usr/share/gdm

    2. (可選擇) 儲存原始登入視窗使用者介面的副本。

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig

    3. 使用 [GNOME 工具套件] 介面設計程式將標籤新增至登入視窗。

       glade-3 程式會開啟 GTK+ 介面設計程式。在使用者輸入欄位上方所顯示的標籤中輸入安全訊息。

       # /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui

       若要審閱介面設計程式的指南，請按一下 [GNOME 說明瀏覽器] 中的 [開發]。就會在 [線上手冊] 中的 [應用程式] 底下列示「glade-3(1) 線上手冊」。

    4. (可選擇) 在修改登入視窗 GUI 之後，儲存副本。

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site

範例 2-1 在桌面登入建立簡短警告訊息

在此範例中，管理員會輸入簡短的訊息作為桌面檔案中 zenity 指令的引數。管理員也會使用 --warning 選項，來顯示含有該訊息的警告圖示。

# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application