用户帐户创建之后,安全管理员为用户指定安全属性。如果您已经设置了正确的缺省值,则下一步是仅为需要非缺省值的用户指定安全属性。
为用户指定安全属性时,请考虑以下信息:
帐户创建期间,系统管理员可以为用户帐户指定口令。该初始指定之后,安全管理员或用户可以更改口令。
与在 Oracle Solaris 中一样,可强制用户定期更改其口令。口令生命期选项限制了能够猜测或窃取口令的任何入侵者可能能够非法访问系统的时间长度。此外,设定在更改口令之前需经过的最小时间可防止具有新口令的用户立即恢复为旧口令。有关详细信息,请参见 passwd(1) 手册页。
与在 Oracle Solaris OS 中一样,为用户指定授权可将这些授权添加到现有授权。对于可伸缩性,可将授权添加到一个权限配置文件中,然后将该配置文件指定给用户。
与在 Oracle Solaris OS 中一样,权限配置文件的顺序很重要。除了授权以外,配置文件机制使用指定的安全属性的第一个实例的值。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的所指定权限的搜索顺序。
您可以按照对您有利的方式使用配置文件的排序顺序。如果您希望命令在运行时使用的安全属性不同于在现有配置文件中为该命令定义的安全属性,可创建一个新的配置文件并包含您希望为该命令指定的安全属性。然后,将此新配置文件插入到现有配置文件之前。
对于许多站点来说,缺省特权集的限制可能不够严厉。要限制系统上任何一般用户的特权集,请更改 policy.conf 文件设置。要更改各个用户的特权集,请参见如何收缩用户的特权集。
与在 Oracle Solaris OS 中一样,为用户指定审计类会修改用户的预选掩码。有关资源的更多信息,请参见在 Oracle Solaris 11.2 中管理审计 和Chapter 22, Trusted Extensions 和审计。