| 跳过导航链接 | |
| 退出打印视图 | |
|
Oracle Solaris 11 安全准则 Oracle Solaris 11.1 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Oracle Solaris 11 安全准则 Oracle Solaris 11.1 Information Library (简体中文) |
此时,只有可承担 root 角色的初始用户才有权访问系统。最好按顺序执行以下任务,然后一般用户才可以登录。
|
如果缺省设置不满足您的站点安全要求,请使用此过程。相关步骤遵循 /etc/default/passwd 文件中的条目列表顺序执行。
开始之前
更改缺省设置之前,请确保更改后允许所有用户向其应用程序和网络上的其他系统进行验证。
您必须承担 root 角色。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
另请参见
有关用于限制口令创建的变量列表,请参见 /etc/default/passwd 文件。该文件中指出了缺省设置。
有关在安装后生效的口令约束,请参见系统访问受限制和监视。
passwd(1) 手册页
使用此过程可在登录尝试失败特定次数后锁定一般用户帐户。
注 - 请勿对可以承担角色的用户设置帐户锁定,因为您可以锁定相应角色。
开始之前
请勿在用于管理活动的系统上在系统范围内设置此保护。
您必须承担 root 角色。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
另请参见
有关用户和角色安全属性的讨论,请参见《Oracle Solaris 11.1 管理:安全服务》中的第 10 章 "Oracle Solaris 中的安全属性(参考信息)"。
所选手册页包括 policy.conf(4) 和 user_attr(4)。
如果缺省 umask 值 022 的限制性不够严格,请使用此过程设置限制性更为严格的掩码。
开始之前
您必须承担 root 角色。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
Oracle Solaris 为管理员提供了用于定制用户 shell 缺省值的目录。这些框架目录包括 .profile、.bashrc 和 .kshrc 之类的文件。
选择以下值之一:
umask 026-提供中等文件保护
(741)-为组提供 r,为其他用户提供 x
umask 027-提供严格的文件保护
(740)-为组提供 r,其他用户无权访问。
umask 077-提供完整的文件保护
(700)-组或其他用户无权访问
另请参见
有关更多信息,请参见以下内容:
所选手册页包括 usermod(1M) 和 umask(1)。
使用此过程可以审计管理命令、侵入系统的尝试以及站点安全策略所指定的其他重要事件。
注 - 本过程中的示例可能不足以满足您的安全策略。
开始之前
您必须承担 root 角色。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
对于所有用户和角色,将 AUE_PFEXEC 审计事件添加到其预选掩码中。
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
另请参见
关于审计策略的信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"审计策略"。
有关设置审计标志的示例,请参见《Oracle Solaris 11.1 管理:安全服务》中的"配置审计服务(任务)"和《Oracle Solaris 11.1 管理:安全服务》中的"审计服务的故障排除(任务)"。
要配置审计,请参见 auditconfig(1M) 手册页。
使用此过程可在您要监视的事件发生时为其激活 audit_syslog 插件。
开始之前
您必须承担 root 角色才能修改 syslog.conf 文件。其他步骤要求您分配有 "Audit Configuration"(审计配置)权限配置文件。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# auditconfig -setplugin audit_syslog active p_flags=lo
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
提示 - 如果 rsyslog 服务实例联机,请修改 rsyslog.conf 文件。
此缺省项包括日志文件的位置。
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system-log:default
注 - 如果 rsyslog 服务联机,请刷新 system-log:rsyslog 服务实例。
审计服务在刷新时将读取审计插件的更改。
# audit -s
另请参见
要将审计摘要发送到其他系统,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何配置 syslog 审计日志"之后的示例。
审计服务可生成大量输出。要管理日志,请参见 logadm(1M) 手册页。
要监视输出,请参见监视 audit_syslog 审计摘要。
在特殊情况下,可从一般用户的基本特权集中删除三种基本特权中的一个或多个特权。
file_link_any-允许进程创建指向某个 UID 所拥有的文件的硬链接,但是该 UID 不能与该进程的有效 UID 相同。
proc_info-允许进程检查它可以向其发送信号的进程以外的进程的状态。不能被检查的进程在 /proc 中不可见,并且似乎并不存在。
proc_session-允许进程在其会话之外发送信号或跟踪进程。
开始之前
您必须承担 root 角色。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
另请参见
有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的第 8 章 "使用角色和特权(概述)"和 privileges(5) 手册页。
|