保護系統

最好依序執行下列作業。此時，已安裝 Oracle Solaris 作業系統，只有能夠擔任 root 角色的初始使用者可以存取系統。

作業	說明	相關說明
1. 驗證系統上的套裝軟體。	檢查安裝媒體的套裝軟體是否與已安裝的套裝軟體相同。	如何驗證套裝軟體
2. 保護系統的硬碟設定。	變更硬體設定時需要提供密碼，以保護硬體。	「Oracle Solaris 11.1 Administration: Security Services」中的「Controlling Access to System Hardware (Tasks)」
3. 停用不需要的服務。	避免執行不屬於系統必要功能的處理程序。	如何停用不需要的服務
5. 避免工作站所有者中斷系統的電源。	避免主控台使用者關閉或暫停系統。	如何移除使用者的電源管理能力
6. 建立反映您網站之安全性策略的登入警告訊息。	通知使用者及可能的攻擊者系統已受監控。	如何將安全訊息放置在標題檔案中如何將安全訊息放置在桌面登入畫面上

如何驗證套裝軟體

安裝後會立即驗證套裝軟體以驗證安裝。

開始之前

您必須擔任 root 角色。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

執行 pkg verify 指令。
若要保留記錄，可將指令輸出傳送至檔案。
```
# pkg verify > /var/pkgverifylog
```
審閱有任何錯誤的記錄。
如果您找到錯誤，請從媒體重新安裝或修正錯誤。

另請參閱

如需更多資訊，請參閱 pkg(1) 線上手冊和 pkg(5) 線上手冊。這些線上手冊包含使用 pkg verify 指令的範例。

如何停用不需要的服務

基於系統考量，請使用此程序停用不必要的服務。

開始之前

您必須擔任 root 角色。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

列出線上服務。

# svcs | grep network
online         Sep_07   svc:/network/loopback:default
...
online         Sep_07   svc:/network/ssh:default

停用此系統不需要的服務。
例如，如果系統不是 NFS 伺服器或 Web 伺服器，但這些服務在線上，請停用這些服務。
```
# svcadm disable svc:/network/nfs/server:default
# svcadm disable svc:/network/http:apache22
```

另請參閱

如何移除使用者的電源管理能力

使用此程序可避免此系統的使用者暫停系統或中斷系統的電源。

開始之前

您必須擔任 root 角色。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

審閱主控台使用者 (Console User) 權限設定檔的內容。

% getent prof_attr | grep Console
Console User:RO::Manage System as the Console User:
profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
Brightness,CPU Power Management,Network Autoconf User;
auths=solaris.system.shutdown;help=RtConsUser.html

建立權限設定檔，其中包含您要使用者保留的任何主控台使用者 (Console User) 設定檔權限。
如需相關說明，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Create a Rights Profile」。
在 /etc/security/policy.conf 檔案中註釋主控台使用者 (Console User) 權限設定檔。
```
#CONSOLE_USER=Console User
```
將您在步驟 2 建立的權限設定檔指派給使用者。
```
# usermod -P +new-profile username
```

另請參閱

如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「policy.conf File」，以及 policy.conf(4) 線上手冊和 usermod(1M) 線上手冊。

如何將安全訊息放置在標題檔案中

使用此程序，在兩個標題檔案中建立反映您的網站安全性策略的安全訊息。這些標題檔案的內容會顯示在本機和遠端登入。

備註 - 此程序中的範例訊息無法滿足美國政府的要求，可能也無法滿足您的安全性策略。最佳做法是向您公司的法律顧問查詢安全訊息的相關內容。

開始之前

您必須成為被指派「編輯管理員訊息」權限設定檔的管理員。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

新增安全訊息至 /etc/issue 檔案。
```
$ pfedit /etc/issue
      ALERT   ALERT   ALERT   ALERT   ALERT

This machine is available to authorized users only.

If you are an authorized user, continue. 

Your actions are monitored, and can be recorded.
```
login 命令會在驗證前顯示 /etc/issue 的內容，就像 telnet 和 FTP 服務一樣。若要讓其他應用程式使用此檔案，請參閱如何向 ssh 使用者顯示安全訊息和如何將安全訊息放置在桌面登入畫面上。
如需更多資訊，請參閱 issue(4) 線上手冊和 pfedit(1M) 線上手冊。
新增安全訊息至 /etc/motd 檔案。
```
$ pfedit /etc/motd
This system serves authorized users only. Activity is monitored and reported.
```
在 Oracle Solaris 中，使用者的初始 Shell 會顯示 /etc/motd 檔案的內容。

如何將安全訊息放置在桌面登入畫面上

從數種方法中選擇以建立供使用者在登入時審閱的安全訊息。

如需更多資訊，請按一下桌面上的「系統 → 說明「功能表啟動「GNOME 說明瀏覽器」。您也可以使用 yelp 指令。在 gdm(1M) 線上手冊的「GDM Login Scripts and Session Files」小節中有關於桌面登入程序檔的討論。

備註 - 此程序中的範例訊息無法滿足美國政府的要求，可能也無法滿足您的安全性策略。最佳做法是向您公司的法律顧問查詢安全訊息的相關內容。

開始之前

若要建立檔案，您必須擔任 root 角色。若要修改現有的檔案，您必須成為被指派 solaris.admin.edit/path-to-existing-file 授權的管理員。

使用下列三個選項的其中一項，將安全訊息放置在桌面登入畫面上：
建立對話方塊的選項可使用如何將安全訊息放置在標題檔案中的步驟 1中的 /etc/issue 檔案中的安全訊息。
- 選項 1：建立一個會在登入時於對話方塊中顯示安全訊息的桌面檔案。
```
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message" \
--filename=/etc/issue
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application
```
  在登入視窗中認證後，使用者必須關閉對話方塊才能連線工作區。如需 zenity 指令選項的資訊，請參閱 zenity(1) 線上手冊。
- 選項 2：修改 GDM 初始化程序檔即可在對話方塊中顯示安全訊息。
  /etc/gdm 目錄包含三種初始化程序檔，可以在桌面登入之前、登入期間或登入之後立即顯示安全訊息。在 Oracle Solaris 10 發行版本中也有提供這些程序檔。
  - 在登入畫面出現之前顯示安全訊息。
```
$ pfedit /etc/gdm/Init/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    如需以非 root 使用者的身分編輯系統檔案的相關資訊，請參閱 pfedit(1M) 線上手冊。
  - 認證後在使用者的初始工作區中顯示安全訊息。
```
$ pfedit /etc/gdm/PreSession/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    備註 - 在使用者的工作區上，視窗可能會覆蓋對話方塊。
- 選項 3：修改登入視窗，使安全訊息顯示在輸入欄位上方。
  登入視窗會展開以配合您的訊息長度。此方法未指向 /etc/issue 檔案。您必須將文字輸入至 GUI 中。
  
  備註 - pkg fix 與 pkg update 指令已覆寫登入視窗 (gdm-greeter-login-window.ui)。如果要保留變更，請將檔案複製到配置檔案目錄中，然後在升級系統之後將此其變更與新檔案合併。如需更多資訊，請參閱 pkg(5) 線上手冊。
  1. 將目錄變更為登入視窗使用者介面。
```
# cd /usr/share/gdm
```
  2. (可選擇) 儲存原始登入視窗使用者介面的副本。
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
```
  3. 使用「GNOME 工具套件」介面設計程式將標籤新增至登入視窗。
    glade-3 程式會開啟 GTK+ 介面設計程式。在使用者輸入欄位上方所顯示的標籤中輸入安全訊息。
```
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
```
    若要審閱介面設計程式的指南，請按一下「GNOME 說明瀏覽器」中的「開發」。就會在「線上手冊」中的「應用程式」底下列示 glade-3(1) 線上手冊。
  4. (可選擇) 儲存已修改的登入視窗使用者介面的副本。
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
```

範例 2-1 在桌面登入建立簡短警告訊息

在此範例中，管理員會輸入簡短的訊息作為桌面檔案中 zenity 指令的引數。管理員也會使用 --warning 選項，來顯示含有該訊息的警告圖示。

# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application

跳過導航連結
結束列印檢視
	Oracle Solaris 11 安全性指導方針 Oracle Solaris 11.1 Information Library (繁體中文)