确保系统安全

最好按顺序执行以下任务。此时，Oracle Solaris OS 已安装并且只有可承担 root 角色的初始用户才有权访问系统。

任务	说明	参考
1. 检验系统上的软件包。	检查安装介质中的软件包是否与已安装软件包相同。	如何检验软件包
2. 保护系统上的硬件设置。	要求输入口令才能更改硬件设置，以保护硬件。	《Oracle Solaris 11.1 管理：安全服务》中的"控制对系统硬件的访问（任务）"
3. 禁用不需要的服务。	阻止运行不属于系统必需功能的进程。	如何禁用不需要的服务
5. 阻止工作站所有者关闭系统电源。	阻止控制台用户关闭或暂停系统。	如何为用户删除电源管理功能
6. 创建用于反映站点安全策略的登录警告消息。	通知用户和潜在攻击者：系统处于受监视状态。	如何在标题文件中放置安全消息如何在桌面登录屏幕中放置安全消息

如何检验软件包

安装后立即通过检验软件包来验证安装。

开始之前

您必须承担 root 角色。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

运行 pkg verify 命令。
要保留记录，请将命令输出发送到某个文件。
```
# pkg verify > /var/pkgverifylog
```
查看日志中是否存在错误。
如果发现错误，则通过介质重新进行安装或修复错误。

另请参见

有关更多信息，请参见 pkg(1) 和 pkg(5) 手册页。这些手册页中包含使用 pkg verify 命令的示例。

如何禁用不需要的服务

使用此过程可禁用系统不需要的服务。

开始之前

您必须承担 root 角色。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

列出联机服务。

# svcs | grep network
online         Sep_07   svc:/network/loopback:default
...
online         Sep_07   svc:/network/ssh:default

禁用此系统不需要的服务。
例如，如果系统不是 NFS 服务器或 Web 服务器，而服务处于联机状态，则禁用这些服务。
```
# svcadm disable svc:/network/nfs/server:default
# svcadm disable svc:/network/http:apache22
```

另请参见

有关更多信息，请参见《在 Oracle Solaris 11.1 中管理服务和故障》中的第 1 章 "管理服务（概述）"和 svcs(1) 手册页。

如何为用户删除电源管理功能

使用此过程可阻止此系统的用户暂停系统或关闭系统电源。

开始之前

您必须承担 root 角色。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

查看 "Console User"（控制台用户）权限配置文件的内容。

% getent prof_attr | grep Console
Console User:RO::Manage System as the Console User:
profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
Brightness,CPU Power Management,Network Autoconf User;
auths=solaris.system.shutdown;help=RtConsUser.html

创建一个权限配置文件，该权限配置文件包括 "Console User"（控制台用户）配置文件中您希望用户保留的任何权限。
有关说明，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何创建权限配置文件"。
在 /etc/security/policy.conf 文件中注释掉 "Console User"（控制台用户）权限配置文件。
```
#CONSOLE_USER=Console User
```
将您在步骤 2 中创建的权限配置文件指定给用户。
```
# usermod -P +new-profile username
```

另请参见

有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"policy.conf 文件"以及policy.conf(4)和 usermod(1M) 手册页。

如何在标题文件中放置安全消息

使用以下过程可在两个标题文件中创建反映站点安全策略的安全消息。这两个标题文件的内容将在本地和远程登录时显示。

注 - 此过程中的样例消息不满足美国政府要求，也可能不满足您的安全策略。最佳做法是就安全消息的内容向贵公司的法律顾问进行咨询。

开始之前

您必须成为具有 "Administrator Message Edit"（管理员消息编辑）权限配置文件的管理员。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

将安全消息添加到 /etc/issue 文件。
```
$ pfedit /etc/issue
      ALERT   ALERT   ALERT   ALERT   ALERT

This machine is available to authorized users only.

If you are an authorized user, continue. 

Your actions are monitored, and can be recorded.
```
login 命令在验证前显示 /etc/issue 的内容，就像 telnet 和 FTP 服务一样。要使其他应用程序能够使用此文件，请参见如何将安全消息显示给 ssh 用户和如何在桌面登录屏幕中放置安全消息。
有关更多信息，请参见 issue(4) 和 pfedit(1M) 手册页。
在 /etc/motd 文件中添加安全消息。
```
$ pfedit /etc/motd
This system serves authorized users only. Activity is monitored and reported.
```
在 Oracle Solaris 中，用户的初始 shell 显示了 /etc/motd 文件的内容。

如何在桌面登录屏幕中放置安全消息

从多种方法中选择一种来创建供用户在登录时查看的安全消息。

有关更多信息，请在桌面上单击 "System"（系统）→ "Help"（帮助）菜单以启动 GNOME 帮助浏览器。您也可以使用 yelp 命令。在 gdm(1M) 手册页的“GDM Login Scripts and Session Files”（GDM 登录脚本和会话文件）部分介绍了桌面登录脚本。

注 - 此过程中的样例消息不满足美国政府要求，也可能不满足您的安全策略。最佳做法是就安全消息的内容向贵公司的法律顾问进行咨询。

开始之前

要创建文件，您必须承担 root 角色。要修改现有文件，您必须成为具有 solaris.admin.edit/path-to-existing-file 授权的管理员。

可使用以下三个选项之一将安全消息放置在桌面登录屏幕中：
创建对话框的选项可以使用 /etc/issue 文件中的安全消息（来自如何在标题文件中放置安全消息的步骤 1）。
- 选项 1：创建用户登录时在对话框中显示安全消息的桌面文件。
```
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message" \
--filename=/etc/issue
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application
```
  在登录窗口中进行验证后，用户必须关闭该对话框才能访问工作区。有关 zenity 命令的选项，请参见 zenity(1) 手册页。
- 选项 2：修改 GDM 初始化脚本以在对话框中显示安全消息。
  /etc/gdm 目录包含三个初始化脚本，这三个脚本分别在桌面登录之前、登录期间或登录后立即显示安全消息。Oracle Solaris 10 版本中也提供了这些脚本。
  - 在出现登录屏幕之前显示安全消息。
```
$ pfedit /etc/gdm/Init/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    有关以非 root 用户身份编辑系统文件的信息，请参见pfedit(1M) 手册页。
  - 验证后在用户的初始工作区中显示安全消息。
```
$ pfedit /etc/gdm/PreSession/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    注 - 可将该对话框包含在用户工作区的窗口中。
- 选项 3：修改登录窗口以在输入字段上方显示安全消息。
  登录窗口将扩大以容纳您的消息。此方法不指向 /etc/issue 文件。必须将文本键入 GUI。
  
  注 - 登录窗口 gdm-greeter-login-window.ui 将被 pkg fix 和 pkg update 命令覆盖。要保存更改，请将文件复制到配置文件目录，并在升级系统后将更改与新文件合并。有关更多信息，请参见 pkg(5) 手册页。
  1. 将目录转到登录窗口用户界面。
```
# cd /usr/share/gdm
```
  2. 可选保存原始登录窗口 UI 的副本。
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
```
  3. 使用 GNOME 工具包接口设计程序向登录窗口添加标签。
    glade-3 程序将打开 GTK+ 接口设计程序。将安全消息键入在用户输入字段上方显示的标签。
```
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
```
    要查看接口设计程序指南，请在 GNOME 帮助浏览器中单击 "Development"（开发）。glade-3(1) 手册页列在 "Manual Pages"（手册页）的 "Applications"（应用程序）下。
  4. 可选保存修改后的登录窗口 UI 的副本。
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
```

示例 2-1 创建桌面登录时显示的简短警告消息

在本示例中，管理员键入一条简短消息作为桌面文件中 zenity 命令的参数。管理员还使用 --warning 选项在消息中显示警告图标。

# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application

跳过导航链接
退出打印视图
	Oracle Solaris 11 安全准则 Oracle Solaris 11.1 Information Library (简体中文)