| 跳過導航連結 | |
| 結束列印檢視 | |
|
Oracle Solaris 11 安全性指導方針 Oracle Solaris 11.1 Information Library (繁體中文) |
| 跳過導航連結 | |
| 結束列印檢視 | |
|
|
Oracle Solaris 11 安全性指導方針 Oracle Solaris 11.1 Information Library (繁體中文) |
安裝之後,在其他安全性功能當中,Oracle Solaris 會保護系統免於遭受入侵,並會監視登入嘗試。
初始使用者和 root 角色帳戶 – 初始使用者帳戶可以從主控台登入。此帳戶會被指派 root 角色。這兩個帳戶的密碼最初是相同的。
登入之後,初始使用者可取得 root 角色,以進一步配置系統。取得角色之後,系統會提示使用者變更 root 密碼。請注意,任何角色均無法直接登入,包括 root 角色。
初始使用者會被指派 /etc/security/policy.conf 檔案中的預設值。預設值包含基本 Solaris 使用者 (Basic Solaris User) 權限設定檔和主控台使用者 (Console User) 權限設定檔。這些權限設定檔可讓使用者讀取和寫入 CD 或 DVD、在沒有特權的情況下於系統上執行任何指令,以及在主控台停止並重新啟動系統。
初始使用者帳戶也會被指派系統管理員權限設定檔。因此,在未取得 root 角色的情況下,初始使用者會擁有部分管理權限,例如安裝軟體和管理命名服務的權限。
密碼需求 – 使用者密碼必須至少為 6 個字元的長度,並且至少包含兩個字母字元和一個非字母字元。密碼會使用 SHA256 演算法進行雜湊。所有使用者 (包含 root 角色) 在變更密碼時,都必須符合這些密碼需求。
有限的網路存取 – 在安裝之後,系統會受保護,以避免經由網路的入侵威脅。初始使用者可以使用 ssh 通訊協定,經由認證和加密的連線進行遠端登入。這是唯一接受內送封包的網路通訊協定。ssh 金鑰會使用 AES128 演算法進行包裝。有了加密和認證機制,使用者可以放心地連線系統,不會有資料遭到攔截、修改或詐騙的風險。
記錄的登入嘗試 – 系統會對所有登入/登出事件 (登入、登出、切換使用者、啟動和停止 ssh 階段作業,以及螢幕鎖定) 與所有無法歸類 (失敗) 的登入啟用稽核服務。由於 root 角色無法登入,因此可以在稽核記錄中追蹤具有 root 身分的使用者名稱。初始使用者可以透過系統管理員權限設定檔授予的權限來審閱稽核記錄。
在初始使用者登入後,核心、檔案系統以及桌面應用程式都會受最低特權、權限和以角色為基礎的存取控制 (RBAC) 所保護。
核心保護 – 許多常駐程式和管理指令只會被指派讓它們可以成功執行的特權。許多常駐程式是從不具備 root (UID=0) 特權的特殊管理帳戶執行,因此無法加以奪取以執行其他作業。這些特殊的管理帳戶無法登入。裝置受特權保護。
檔案系統 – 依照預設,所有檔案系統均為 ZFS 檔案系統。使用者的 umask 是 022,因此當某個使用者建立新檔案或目錄時,只有該使用者才能進行修改。該使用者群組的成員可以讀取並搜尋目錄,以及讀取檔案。使用者群組以外的登入可以列示目錄和讀取檔案。目錄權限為 drwxr-xr-x (755)。檔案權限為 -rw-r--r-- (644)。
桌面 Applet – 桌面 Applet 受 RBAC 保護。例如,唯有初始使用者或 root 角色可以使用套裝軟體管理員 Applet 安裝新的套裝軟體。沒有被指派使用權限的一般使用者,則看不到套裝軟體管理員。
Oracle Solaris 11 提供許多安全性功能,可用來設定系統和使用者,以滿足網站安全性需求。
以角色為基礎的存取控制 (RBAC) – Oracle Solaris 提供數種授權、特權及權限設定檔。root 是唯一定義的角色。權限設定檔可為您建立的角色提供良好的基礎。此外,某些管理指令需要 RBAC 授權才能成功。沒有授權的使用者無法執行指令,即使使用者具有必要的特權也一樣。
使用者權限 – 使用者會被指派 /etc/security/policy.conf 檔案中一組基本的特權、權限設定檔和授權,如同系統存取權會受到限制和監視中所述的初始使用者。使用者登入嘗試不會受到限制,但稽核服務會記錄所有失敗的登入。
系統檔案保護 – 系統檔案會受檔案權限保護。唯有 root 角色可以修改系統配置檔案。
|