Navigationslinks überspringen | |
Druckansicht beenden | |
Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11 Information Library (Deutsch) |
1. Übersicht über die Oracle Solaris 11-Sicherheitsfunktionen
2. Konfigurieren der Oracle Solaris 11-Sicherheitsfunktionen
Installieren von Oracle Solaris
Deaktivieren nicht erforderlicher Services
Entfernen der Energieverwaltungsfunktion für Benutzer
Hinzufügen einer Sicherheitsmeldung zu allen Bannerdateien
Einfügen einer Sicherheitsmeldung in den Desktop-Anmeldebildschirm
Festlegen strikterer Passwortbeschränkungen
Festlegen der Kontosperre für normale Benutzer
Festlegen eines restriktiveren umask-Werts für normale Benutzer
Prüfen wichtiger Ereignisse außer Anmelden/Abmelden
Überwachen von lo-Ereignissen in Echtzeit
Entfernen nicht benötigter Basisberechtigungen von Benutzern
Sicherheitsmeldung für ssh und ftp Nutzer anzeigen
Deaktivieren des Netzwerkrouting-Dämons
Deaktivieren von Broadcast-Paketweiterleitung
Deaktivieren von Antworten auf Echoanforderungen
Festlegen von Strict Multihoming
Festlegen einer Maximalanzahl unvollständiger TCP-Verbindungen
Festlegen einer maximalen Anzahl an ausstehenden TCP-Verbindungen
Geben Sie eine sichere Zufallszahl für die TCP-Erstverbindung an
Zurücksetzen von Netzwerkparametern auf sichere Werte
Schutz von Dateisystemen und Dateien
Schutz von Anwendungen und Services
Erstellen von Zonen für die Aufnahme wichtiger Anwendungen
Konfigurieren von IPsec und IKE
Hinzufügen von SMF zu einem veralteten Service
Erstellen eines BART-Schnappschusses des Systems
Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit
Konfiguration von Trusted Extensions
Konfigurieren von Labeled IPsec
3. Überwachen und Verwalten der Oracle Solaris 11-Sicherheitsfunktionen
Nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann zu diesem Zeitpunkt auf das System zugreifen. Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen, bevor sich normale Benutzer anmelden können.
|
Führen Sie diese Schritte durch, wenn die Standardwerte nicht den Sicherheitsbestimmungen Ihres Standorts entsprechen. Die Schritte richten sich nach der Liste der Einträge in der Datei /etc/default/passwd.
Bevor Sie beginnen
Vergewissern Sie sich vor Änderung der Standardwerte, dass sich dadurch alle Benutzer bei ihren Anwendungen und anderen Systemen im Netzwerk authentifizieren können.
Sie müssen die root-Rolle übernehmen.
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
Siehe auch
Eine Liste von Variablen zur Erstellung sicherer Passwörter finden Sie in der Datei /etc/default/passwd. Die Standardwerte sind in der Datei angegeben.
Informationen zu den nach der Installation wirksamen Passwortbeschränkungen finden Sie in Eingeschränkter und überwachter Systemzugriff.
Manpage passwd(1)
Führen Sie diese Schritte durch, um normale Benutzerkonten nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen zu sperren.
Hinweis - Legen Sie keine Kontosperre für Benutzer fest, die Rollen übernehmen können, da dadurch die Rolle gesperrt werden kann.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Legen Sie keinen systemweiten Schutz fest auf einem System, das Sie für administrative Aufgaben nutzen.
# vi /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# vi /etc/default/login ... #RETRIES=5 RETRIES=3 ...
Siehe auch
Eine Beschreibung der Sicherheitsattribute für Benutzer und Rollen finden Sie in Kapitel 10, Security Attributes in Oracle Solaris (Reference) in Oracle Solaris Administration: Security Services.
Manpages policy.conf(4) und user_attr(4)
Wenn der umask-Standardwert 022 nicht ausreichend ist, gehen Sie folgendermaßen vor, um einen restriktiveren Wert festzulegen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen.
Oracle Solaris bietet Administratoren Verzeichnisse zur benutzerdefinierten Anpassung der Shell-Standardwerte des Benutzers. In diesen Schemaverzeichnissen befinden sich u. a. die Dateien .profile , .bashrc und .kshrc.
Wählen Sie einen der folgenden Werte:
umask 027 – bietet maßvollen Dateischutz
(740) – w für Gruppe, rwx für andere
umask 026 – bietet leicht erhöhten Dateischutz
(741) – w für Gruppe, rw für andere
umask 077 – bietet kompletten Dateischutz
(700) – kein Zugriff für Gruppen oder andere Personen
Siehe auch
Weitere Informationen finden Sie hier:
Setting Up User Accounts in Oracle Solaris Administration: Common Tasks
Default umask Value in Oracle Solaris Administration: Security Services
Manpages usermod(1M) und umask(1)
Führen Sie diese Schritte durch, um administrative Befehle, Angriffsversuche auf das System und andere in Ihrer Standortsicherheitsrichtlinie angegebenen wichtige Ereignisse zu prüfen.
Hinweis - Die Beispiele in dieser Anweisung erfüllen möglicherweise nicht die Anforderungen Ihrer Sicherheitsrichtlinie.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Sie implementieren Ihre Standortsicherheitsrichtlinie im Hinblick auf Prüfungen.
Fügen Sie den Vorauswahlmasken aller Benutzer und Rollen das Prüfereignis AUE_PFEXEC hinzu.
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
Siehe auch
Informationen zum Thema Prüfungsrichtlinien finden Sie unter Audit Policy in Oracle Solaris Administration: Security Services .
Beispiele für das Festlegen von Prüf-Flags finden Sie unter Configuring the Audit Service (Tasks) in Oracle Solaris Administration: Security Services und unter Troubleshooting the Audit Service (Tasks) in Oracle Solaris Administration: Security Services .
Informationen zum Konfigurieren von Prüfungen erhalten Sie auf der Manpage auditconfig(1M).
Führen Sie diese Schritte zum Aktivieren des audit_syslog-Plug-ins durch, um Ereignisse in Echtzeit zu überwachen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen, um die Datei syslog.conf zu ändern. Für die weiteren Schritte muss Ihnen das Rechteprofil "Audit Configuration" zugewiesen sein.
# auditconfig -setplugin audit_syslog active p_flags=lo
Der Standardeintrag enthält den Speicherort der Protokolldatei.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system/system-log
Bei Aktualisierung überträgt der Prüfservice die Änderungen an das Prüf-Plug-in.
# audit -s
Siehe auch
Ein Beispiel für das Senden von Prüfzusammenfassungen an ein anderes System finden Sie unter How to Configure syslog Audit Logs in Oracle Solaris Administration: Security Services.
Die durch den Prüfservice generierte Ausgabe kann sehr umfangreich sein. Informationen zum Verwalten der Protokolle finden Sie auf der Manpage logadm(1M).
Informationen zum Überwachen der Ausgabe finden Sie in Überwachen von audit_syslog-Prüfzusammenfassungen.
Unter bestimmten Umständen können bis zu drei Basisberechtigungen aus einem Basissatz für normale Benutzer entfernt werden.
file_link_any – Ein Prozess kann dadurch Hard Links zu Dateien erstellen, deren Eigentümer eine UID ist, die sich von der tatsächlichen UID des Prozesses unterscheidet.
proc_info – Ein Prozess kann den Status anderer Prozesse untersuchen, an die er kein Signal sendet. Prozesse, die nicht untersucht werden können, werden in /proc nicht angezeigt und scheinen nicht vorhanden zu sein.
proc_session – Ein Prozess kann außerhalb seiner Sitzung Signale senden oder Prozesse verfolgen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen.
# usermod -K defaultpriv=basic,!file_link_any user
# usermod -K defaultpriv=basic,!proc_info user
# usermod -K defaultpriv=basic,!proc_session user
# usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user
Siehe auch
Weitere Informationen finden Sie in Kapitel 8, Using Roles and Privileges (Overview) in Oracle Solaris Administration: Security Services und auf der Manpage privileges(5).