保護使用者

语言：

此時，只有能夠擔任 root 角色的初始使用者可以存取系統。最好依序執行下列作業，才能讓一般使用者登入。

表 2-2 保護使用者作業說明

作業	說明	相關說明
需要提供增強式密碼，並且定期更換密碼。	加強每個系統的預設密碼限制強度。	如何設定較強的密碼限制
為一般使用者配置限制檔案權限。	將一般使用者的檔案權限設定為比 `022` 更具限制性的值。	如何設定更具限制性的一般使用者 umask 值
設定一般使用者的帳戶鎖定。	在不是用來管理的系統上，設定全系統帳戶鎖定，並減少會啟動鎖定的登入次數。	如何設定一般使用者的帳戶鎖定
替所有使用者預先選取 `cusa` 稽核類別。	針對系統的潛在威脅提供較佳的監視和記錄。	如何稽核登入/登出以外的重大事件
建立角色。	將特定的管理作業分散給數個可信任的使用者，如此就沒有某個使用者可以損毀系統。您可以使用預先定義的 ARMOR 角色、建立自己的角色，或者在自己的角色延伸 ARMOR。	Managing User Accounts and User Environments in Oracle Solaris 11.2 中的Managing User Accounts by Using the CLI Securing Users and Processes in Oracle Solaris 11.2 中的Assigning Rights to Users
減少可見的 GNOME 桌面應用程式數目。	防止使用者使用會影響安全的桌面應用程式。	請參閱Oracle Solaris 11.2 Desktop Administrator’s Guide 中的第 11 章Disabling Features in the Oracle Solaris Desktop System。
限制使用者的權限。	移除使用者不需要的基本權限。	如何移除使用者不需要的基本權限