保護使用者

此時，只有能夠擔任 root 角色的初始使用者可以存取系統。最好依序執行下列作業，才能讓一般使用者登入。

作業	說明	相關說明
需要增強式密碼，以及經常更換密碼。	加強每個系統的預設密碼限制強度。	如何設定較強的密碼限制
為一般使用者配置限制檔案權限。	將一般使用者的檔案權限設定為比 `022` 更具限制性的值。	如何為一般使用者設定更具限制性的 `umask` 值
設定一般使用者的帳戶鎖定。	在不是用來管理的系統上，設定全系統帳戶鎖定，並減少會啟動鎖定的登入次數。	如何設定一般使用者的帳戶鎖定
預先選取其他稽核類別。	針對系統的潛在威脅提供較佳的監視和記錄。	如何稽核登入/登出以外的重大事件
將稽核事件的文字摘要傳送到 `syslog` 公用程式。	提供即時涵蓋重大稽核事件，例如登入和嘗試登入。	如何即時監視 `lo` 事件
建立角色。	將特定的管理作業分發給數個可信任的使用者，如此就沒有某個使用者可以損毀系統。	「Managing User Accounts and User Environments in Oracle Solaris 11.1」中的「Setting Up and Managing User Accounts by Using the CLI」「Oracle Solaris 11.1 Administration: Security Services」中的「How to Create a Role」「Oracle Solaris 11.1 Administration: Security Services」中的「How to Assign a Role」。
減少可見的 GNOME 桌面應用程式數目。	防止使用者使用會影響安全的桌面應用程式。	請參閱「Oracle Solaris 11.1 Desktop Administrator’s Guide」中的第 11 章「Disabling Features in the Oracle Solaris Desktop System」。
限制使用者的權限。	移除使用者不需要的基本權限。	如何移除使用者不需要的基本權限

如何設定較強的密碼限制

如果預設值無法滿足您的網站安全性需求，則使用此程序。步驟會依照 /etc/default/passwd 檔案中的項目清單來操作。

開始之前

變更預設值前，請確保這些變更可以讓所有使用者驗證應用程式和網路上的其他系統。

您必須擔任 root 角色。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

編輯 /etc/default/passwd 檔案。
1. 要求使用者每個月都要變更密碼，但更換的頻率間隔不得少於三個禮拜。
```
## /etc/default/passwd
##
MAXWEEKS=
MINWEEKS=
MAXWEEKS=4
MINWEEKS=3
```
2. 要求密碼至少要有 8 個字元。
```
#PASSLENGTH=6
PASSLENGTH=8
```
3. 保留密碼歷程記錄。
```
#HISTORY=0
HISTORY=10
```
4. 要求與上個密碼的最小差異。
```
#MINDIFF=3
MINDIFF=4
```
5. 要求至少要有一個大寫字母。
```
#MINUPPER=0
MINUPPER=1
```
6. 要求至少要有一個數字。
```
#MINDIGIT=0
MINDIGIT=1
```

另請參閱

如需限制密碼建立的變數清單，請參閱 /etc/default/passwd 檔案。檔案會指示預設值。
如需安裝後生效的密碼限制，請參閱系統存取權會受到限制和監視。
passwd(1) 線上手冊

如何設定一般使用者的帳戶鎖定

使用此程序，在嘗試登入失敗達特定次數後會鎖定一般使用者帳戶。

備註 - 不要為可以擔任角色的使用者設定帳戶鎖定，因為您可能會鎖定該角色。

開始之前

不要在用來進行管理活動的系統上，將此保護設定為全系統保護。

您必須擔任 root 角色。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

將 LOCK_AFTER_RETRIES 安全性屬性設為 YES。

設定全系統。

# pfedit /etc/security/policy.conf
...
#LOCK_AFTER_RETRIES=NO
LOCK_AFTER_RETRIES=YES
...

設定每個使用者。

# usermod -K lock_after_retries=yes username

將 RETRIES 安全性屬性設為 3。

# pfedit /etc/default/login
...
#RETRIES=5
RETRIES=3
...

另請參閱

如需使用者和角色安全性屬性的討論，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的第 10 章「Security Attributes in Oracle Solaris (Reference)」。
選取的線上手冊包含 policy.conf(4) 線上手冊和 user_attr(4) 線上手冊。

如何為一般使用者設定更具限制性的 `umask` 值

如果預設 umask 值 022 的限制性不夠，請使用此程序設定更具限制性的遮罩。

開始之前

您必須擔任 root 角色。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

針對各種 Shells 修改骨架目錄中登入設定檔的 umask 值。
Oracle Solaris 提供可讓管理員自訂使用者 Shell 預設值的目錄。這些骨架目錄包含如 .profile、.bashrc 以及 .kshrc 等等的檔案。

選擇下列其中一個值：
- umask 026 – 提供中等檔案保護
  
  (741) – 群組設為 r，其他人設為 x
- umask 027 – 提供嚴格的檔案保護
  
  (740) – 群組設為 r，其他人禁止存取
- umask 077 – 提供完整的檔案保護
  
  (700) – 不提供群組或其他人存取權

另請參閱

如需更多資訊，請參閱：

「Managing User Accounts and User Environments in Oracle Solaris 11.1」中的「Setting Up and Managing User Accounts by Using the CLI」
「Oracle Solaris 11.1 Administration: Security Services」中的「Default umask Value」
選取的線上手冊包含 usermod(1M) 線上手冊和 umask(1) 線上手冊。

如何稽核登入/登出以外的重大事件

使用此程序，稽核管理指令、侵入系統的嘗試，以及網站安全性策略指定的其他重大事件。

備註 - 此程序的範例可能無法滿足您的安全性策略。

開始之前

您必須擔任 root 角色。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

稽核使用者與角色對於特權指令的所有用法。
若是要稽核所有使用者與角色，請新增 AUE_PFEXEC 稽核事件至 preselection 遮罩。
```
# usermod -K audit_flags=lo,ps:no username
```
```
# rolemod -K audit_flags=lo,ps:no rolename
```
請記錄稽核指令的引數。
```
# auditconfig -setpolicy +argv
```
請記錄執行稽核指令的環境。
```
# auditconfig -setpolicy +arge
```

另請參閱

如需稽核策略的資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「Audit Policy」。
如需有關設定稽核旗號的範例，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「Configuring the Audit Service (Tasks)」和「Oracle Solaris 11.1 Administration: Security Services」中的「Troubleshooting the Audit Service (Tasks)」。
若要配置稽核，請參閱 auditconfig(1M) 線上手冊。

如何即時監視 `lo` 事件

請使用此程序啟動您想要即時監視之事件的 audit_syslog 外掛程式。

開始之前

您必須擔任 root 角色才可修改 syslog.conf 檔案。其他步驟需要將稽核配置權限設定檔指派給您。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

將 lo 類別傳送至 audit_syslog 外掛程式，並使該外掛程式生效。
```
# auditconfig -setplugin audit_syslog active p_flags=lo
```

判斷哪個 system-log 服務實例處於線上狀態。

# svcs system-log
STATE          STIME    FMRI
disabled       13:11:55 svc:/system/system-log:rsyslog
online         13:13:27 svc:/system/system-log:default

提示 - 如果 rsyslog 服務實例處於線上狀態，請修改 rsyslog.conf 檔案。

將 audit.notice 項目新增至 syslog.conf 檔案。
預設的項目包括記錄檔案的位置。
```
# cat /etc/syslog.conf
…
audit.notice       /var/adm/auditlog
```
建立記錄檔案。
```
# touch /var/adm/auditlog
```
重新整理 system-log 服務的配置資訊。
```
# svcadm refresh system-log:default
```
備註 - 如果 rsyslog 服務處於線上狀態，請重新整理 system-log:rsyslog 服務實例。
重新整理稽核服務。
稽核服務會在重新整理時讀取稽核外掛程式的變更。
```
# audit -s
```

另請參閱

若要將稽核摘要傳送至其他系統，請參閱下列範例：「Oracle Solaris 11.1 Administration: Security Services」中的「How to Configure syslog Audit Logs」。
稽核服務可以產生大量輸出。若要管理記錄，請參閱 logadm(1M) 線上手冊。
若要監視輸出，請參閱監視 audit_syslog 稽核摘要。

如何移除使用者不需要的基本權限

在特定情況下，可從一般使用者的基本設定中移除三個基本權限中的一個或多個權限。

file_link_any – 允許程序建立與有效 UID 程序相異，且由 UID 擁有之檔案的強制連結。
proc_info – 允許程序檢查可傳送訊號以外程序的狀態。無法檢查的程序在 /proc 中不會顯示，而且也不會存在。
proc_session – 允許程序傳送訊號或追蹤其階段作業以外的程序。

開始之前

您必須擔任 root 角色。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

防止使用者連結至不屬於使用者的檔案。

# usermod -K 'defaultpriv=basic,!file_link_any' user

防止使用者檢查不屬於使用者的程序。
```
# usermod -K 'defaultpriv=basic,!proc_info' user
```
防止使用者啟動第二個階段作業，例如從使用者目前的階段作業啟動 ssh 階段作業。
```
# usermod -K 'defaultpriv=basic,!proc_session' user
```

從使用者的基本設定移除所有三個權限。

# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user

另請參閱

跳過導航連結
結束列印檢視
	Oracle Solaris 11 安全性指導方針 Oracle Solaris 11.1 Information Library (繁體中文)