跳過導航連結 | |
結束列印檢視 | |
Oracle Solaris 11 安全性指導方針 Oracle Solaris 11.1 Information Library (繁體中文) |
最好依序執行下列作業。此時,已安裝 Oracle Solaris 作業系統,只有能夠擔任 root 角色的初始使用者可以存取系統。
|
安裝後會立即驗證套裝軟體以驗證安裝。
開始之前
您必須擔任 root 角色。如需更多資訊,請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。
若要保留記錄,可將指令輸出傳送至檔案。
# pkg verify > /var/pkgverifylog
另請參閱
如需更多資訊,請參閱 pkg(1) 線上手冊和 pkg(5) 線上手冊。這些線上手冊包含使用 pkg verify 指令的範例。
基於系統考量,請使用此程序停用不必要的服務。
開始之前
您必須擔任 root 角色。如需更多資訊,請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
例如,如果系統不是 NFS 伺服器或 Web 伺服器,但這些服務在線上,請停用這些服務。
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
另請參閱
如需更多資訊,請參閱「Managing Services and Faults in Oracle Solaris 11.1」中的第 1 章「Managing Services (Overview)」和 svcs(1) 線上手冊。
使用此程序可避免此系統的使用者暫停系統或中斷系統的電源。
開始之前
您必須擔任 root 角色。如需更多資訊,請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
如需相關說明,請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Create a Rights Profile」。
#CONSOLE_USER=Console User
# usermod -P +new-profile username
另請參閱
如需更多資訊,請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「policy.conf File」,以及 policy.conf(4) 線上手冊和 usermod(1M) 線上手冊。
使用此程序,在兩個標題檔案中建立反映您的網站安全性策略的安全訊息。這些標題檔案的內容會顯示在本機和遠端登入。
備註 - 此程序中的範例訊息無法滿足美國政府的要求,可能也無法滿足您的安全性策略。最佳做法是向您公司的法律顧問查詢安全訊息的相關內容。
開始之前
您必須成為被指派「編輯管理員訊息」權限設定檔的管理員。如需更多資訊,請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。
$ pfedit /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
login 命令會在驗證前顯示 /etc/issue 的內容,就像 telnet 和 FTP 服務一樣。若要讓其他應用程式使用此檔案,請參閱如何向 ssh 使用者顯示安全訊息和如何將安全訊息放置在桌面登入畫面上。
如需更多資訊,請參閱 issue(4) 線上手冊和 pfedit(1M) 線上手冊。
$ pfedit /etc/motd This system serves authorized users only. Activity is monitored and reported.
在 Oracle Solaris 中,使用者的初始 Shell 會顯示 /etc/motd 檔案的內容。
從數種方法中選擇以建立供使用者在登入時審閱的安全訊息。
如需更多資訊,請按一下桌面上的「系統 → 說明「功能表啟動「GNOME 說明瀏覽器」。您也可以使用 yelp 指令。在 gdm(1M) 線上手冊的「GDM Login Scripts and Session Files」小節中有關於桌面登入程序檔的討論。
備註 - 此程序中的範例訊息無法滿足美國政府的要求,可能也無法滿足您的安全性策略。最佳做法是向您公司的法律顧問查詢安全訊息的相關內容。
開始之前
若要建立檔案,您必須擔任 root 角色。若要修改現有的檔案,您必須成為被指派 solaris.admin.edit/path-to-existing-file 授權的管理員。
建立對話方塊的選項可使用如何將安全訊息放置在標題檔案中的步驟 1中的 /etc/issue 檔案中的安全訊息。
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
在登入視窗中認證後,使用者必須關閉對話方塊才能連線工作區。如需 zenity 指令選項的資訊,請參閱 zenity(1) 線上手冊。
/etc/gdm 目錄包含三種初始化程序檔,可以在桌面登入之前、登入期間或登入之後立即顯示安全訊息。在 Oracle Solaris 10 發行版本中也有提供這些程序檔。
$ pfedit /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
如需以非 root 使用者的身分編輯系統檔案的相關資訊,請參閱 pfedit(1M) 線上手冊。
$ pfedit /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
備註 - 在使用者的工作區上,視窗可能會覆蓋對話方塊。
登入視窗會展開以配合您的訊息長度。此方法未指向 /etc/issue 檔案。您必須將文字輸入至 GUI 中。
備註 - pkg fix 與 pkg update 指令已覆寫登入視窗 (gdm-greeter-login-window.ui)。如果要保留變更,請將檔案複製到配置檔案目錄中,然後在升級系統之後將此其變更與新檔案合併。如需更多資訊,請參閱 pkg(5) 線上手冊。
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
glade-3 程式會開啟 GTK+ 介面設計程式。在使用者輸入欄位上方所顯示的標籤中輸入安全訊息。
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
若要審閱介面設計程式的指南,請按一下「GNOME 說明瀏覽器」中的「開發」。就會在「線上手冊」中的「應用程式」底下列示 glade-3(1) 線上手冊。
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
範例 2-1 在桌面登入建立簡短警告訊息
在此範例中,管理員會輸入簡短的訊息作為桌面檔案中 zenity 指令的引數。管理員也會使用 --warning 選項,來顯示含有該訊息的警告圖示。
# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application