在 Trusted Extensions 中规划用户安全
Trusted Extensions 软件为用户提供了合理的安全缺省设置。Table 1–2 中列出了这些安全缺省设置。如果列出了两个值,则第一个值为缺省值。安全管理员可以修改这些缺省值以反映站点的安全策略。设置缺省值后,安全管理员可以创建继承这些已建立缺省值的所有用户。有关这些缺省值的关键字和值的说明,请参见 label_encodings(4) 和 policy.conf(4) 手册页。
表 1-2 Trusted Extensions 用户帐户安全缺省值 | | |
/etc/security/policy.conf
| IDLECMD
| lock |logout
|
IDLETIME
| 15
|
CRYPT_ALGORITHMS_ALLOW
| 1,2a,md5,5,6
|
CRYPT_DEFAULT
| 5 (sha256)
|
LOCK_AFTER_RETRIES
| no |yes
|
PRIV_DEFAULT
| basic
|
PRIV_LIMIT
| all
|
AUTHS_GRANTED
| solaris.device.cdrw
|
CONSOLE_USER
| Console User
|
PROFS_GRANTED
| Basic Solaris User
|
/etc/security/tsol/label_encodings 的 LOCAL DEFINITIONS 部分
| Default User Clearance(缺少用户安全许可)
| CNF: INTERNAL USE ONLY(CNF:仅供内部使用)
|
Default User Sensitivity Label(缺少用户敏感标签)
| PUBLIC
|
|
注 - IDLECMD 和 IDLETIME 变量应用于登录用户的会话。 如果登录用户承担了角色,则用户的 IDLECMD 和 IDLETIME 值将对该角色生效。
系统管理员可以设置一个标准用户模板,该模板可为每个用户设置适当的系统缺省值。例如,缺省情况下每个用户的初始 shell 为 bash shell。系统管理员可以设置一个为每个用户提供一个 pfbash shell 的模板。