| 跳過導航連結 | |
| 結束列印檢視 | |
|
Oracle Solaris 11 安全性指導方針 Oracle Solaris 11 Information Library (繁體中文) |
| 跳過導航連結 | |
| 結束列印檢視 | |
|
|
Oracle Solaris 11 安全性指導方針 Oracle Solaris 11 Information Library (繁體中文) |
此時,只有能夠擔任 root 角色的初始使用者可以存取系統。最好依序執行下列作業,才能讓一般使用者登入。
|
如果預設值無法滿足您的網站安全性需求,則使用此程序。步驟會依照 /etc/default/passwd 檔案中的項目清單來操作。
開始之前
變更預設值前,請確保這些變更可以讓所有使用者驗證應用程式和網路上的其他系統。
您必須為 root 角色。
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
另請參閱
如需限制密碼建立的變數清單,請參閱 /etc/default/passwd 檔案。檔案會指示預設值。
如需安裝後生效的密碼限制,請參閱系統存取權會受到限制和監視。
「passwd(1) 線上手冊」
使用此程序,在嘗試登入失敗達特定次數後會鎖定一般使用者帳戶。
備註 - 不要為可以擔任角色的使用者設定帳戶鎖定,因為您可能會鎖定該角色。
開始之前
您必須為 root 角色。不要在用來進行管理活動的系統上,將此保護設定為全系統保護。
# vi /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# vi /etc/default/login ... #RETRIES=5 RETRIES=3 ...
另請參閱
如需使用者和角色安全性屬性的討論,請參閱「Oracle Solaris Administration: Security Services」中的第 10 章「Security Attributes in Oracle Solaris (Reference)」。
選取的線上手冊包含「policy.conf(4) 線上手冊」和 「user_attr(4) 線上手冊」。
如果預設 umask 值 022 的限制性不夠,請使用此程序設定更具限制性的遮罩。
開始之前
您必須為 root 角色。
Oracle Solaris 提供可讓管理員自訂使用者 Shell 預設值的目錄。這些骨架目錄包含如 .profile、.bashrc 以及 .kshrc 等等的檔案。
選擇下列其中一個值:
umask 027 – 提供中等檔案保護
(740) – w 適用於群組,rwx 適用於其他人
umask 026 – 提供稍微嚴格的檔案保護
(741) – w 適用於群組,rw 適用於其他人
umask 077 – 提供完整的檔案保護
(700) – 不提供群組或其他人存取權
另請參閱
如需更多資訊,請參閱:
「Oracle Solaris Administration: Common Tasks」中的「Setting Up User Accounts」
「Oracle Solaris Administration: Security Services」中的「Default umask Value」
選取的線上手冊包含「usermod(1M) 線上手冊」和「umask(1) 線上手冊」。
使用此程序,稽核管理指令、侵入系統的嘗試,以及網站安全性策略指定的其他重大事件。
備註 - 此程序的範例可能無法滿足您的安全性策略。
開始之前
您必須為 root 角色。您要針對稽核實作網站安全性策略。
若是要稽核所有使用者與角色,請新增 AUE_PFEXEC 稽核事件至 preselection 遮罩。
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
另請參閱
如需稽核策略的資訊,請參閱「Oracle Solaris Administration: Security Services」中的「Audit Policy」。
如需有關設定稽核旗號的範例,請參閱「Oracle Solaris Administration: Security Services」中的「Configuring the Audit Service (Tasks)」和「Oracle Solaris Administration: Security Services」中的「Troubleshooting the Audit Service (Tasks)」。
若要配置稽核,請參閱「auditconfig(1M) 線上手冊」。
請使用此程序啟動您想要即時監視之事件的 audit_syslog 外掛程式。
開始之前
您必須為 root 角色才可修改 syslog.conf 檔案。 其他步驟需要將稽核配置權限設定檔指派給您。
# auditconfig -setplugin audit_syslog active p_flags=lo
預設的項目包括記錄檔案的位置。
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system/system-log
稽核服務會在重新整理時讀取稽核外掛程式的變更。
# audit -s
另請參閱
若要將稽核摘要傳送至其他系統,請參閱下列範例「Oracle Solaris Administration: Security Services」中的「How to Configure syslog Audit Logs」。
稽核服務可以產生大量輸出。若要管理記錄,請參閱「logadm(1M) 線上手冊」。
若要監視輸出,請參閱監視 audit_syslog 稽核摘要。
在特定情況下,可從一般使用者的基本設定中移除三個基本權限中的一個或多個權限。
file_link_any – 允許程序建立與有效 UID 程序相異,且由 UID 擁有之檔案的強制連結。
proc_info – 允許程序檢查可傳送訊號以外程序的狀態。無法檢查的程序在 /proc 中不會顯示,而且也不會存在。
proc_session – 允許程序傳送訊號或追蹤其階段作業以外的程序。
開始之前
您必須為 root 角色。
# usermod -K defaultpriv=basic,!file_link_any user
# usermod -K defaultpriv=basic,!proc_info user
# usermod -K defaultpriv=basic,!proc_session user
# usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user
另請參閱
如需更多資訊,請參閱「Oracle Solaris Administration: Security Services」中的第 8 章「Using Roles and Privileges (Overview)」和「privileges(5) 線上手冊」。
|