Oracle Solaris 11-Standardsicherheitseinstellungen

Nach der Installation schützt Oracle Solaris u. a. das System vor Angriffen und überwacht Anmeldeversuche.

Eingeschränkter und überwachter Systemzugriff

Der erste Benutzer und die root -Rolle – Eine Anmeldung ist mit dem Konto des ersten Benutzers über die Konsole möglich. Die root-Rolle wird diesem Konto zugewiesen. Die Passwörter für beide Konten sind zunächst identisch.

Der erste Benutzer kann nach der Anmeldung die root-Rolle übernehmen, um das System weiter zu konfigurieren. Bei der Übernahme der Rolle wird der Benutzer aufgefordert, das root-Passwort zu ändern. Beachten Sie, dass eine Anmeldung direkt über eine Rolle nicht möglich ist, auch nicht über die root-Rolle.
Dem ersten Benutzer werden Standardeinstellungen der Datei /etc/security/policy.conf zugewiesen. Zu den Standardeinstellungen gehören die Rechteprofile "Basic Solaris User" und "Console User". Mit diesen Rechteprofilen können Benutzer eine CD oder DVD lesen und darauf schreiben, im System Befehle ohne Berechtigungen ausführen und das System über die Konsole anhalten oder neu starten.
Das Rechteprofil "System Administrator" ist dem Konto des ersten Benutzers ebenfalls zugewiesen. Daher verfügt der erste Benutzer über administrative Rechte für beispielsweise die Installation von Software und Verwaltung des Naming Service, ohne die root-Rolle übernehmen zu müssen.

Passwortanforderungen – Benutzerpasswörter müssen mindestens 6 Zeichen lang sein und mindestens einen Buchstaben und eine Zahl enthalten. Bei Passwörtern wird der Hash-Algorithmus SHA256 angewendet. Bei Passwortänderungen müssen alle Benutzer, auch Benutzer mit der root-Rolle, diese Anforderungen einhalten.

Eingeschränkter Zugriff auf das Netzwerk – Nach der Installation ist das System vor Angriffen über das Netzwerk geschützt. Die Remote-Anmeldung des ersten Benutzers wird über eine authentifizierte, verschlüsselte Verbindung mithilfe des ssh-Protokolls zugelassen. Nur dieses Netzwerkprotokoll akzeptiert eingehende Pakete. Der ssh-Schlüssel wird vom Algorithmus AES128 umgeben. Durch den verschlüsselten, authentifizierten Zugriff auf das System sind Benutzer vor Abfang- und Spoofing-Angriffen geschützt und müssen keine Änderungen vornehmen.

Protokollierte Anmeldeversuche – Der Prüfservice wird für alle login/logout-Ereignisse (Anmeldung, Abmeldung, Benutzerwechsel, Starten und Beenden einer ssh-Sitzung, Bildschirmsperre) und für alle nicht zuweisbaren (fehlgeschlagenen) Anmeldeversuche aktiviert. Da mit der root-Rolle keine Anmeldung möglich ist, kann der Name des Benutzers, der die root-Rolle übernommen hat, im Prüfpfad festgestellt werden. Der erste Benutzer kann die Prüfprotokolle aufgrund eines Rechts einsehen, das durch das Rechteprofil "System Administrator" gewährt wird.

Kernel-, Datei- und Desktopschutz

Nachdem der erste Benutzer angemeldet ist, sind Kernel, Dateisysteme und Desktopanwendungen durch geringste Berechtigungen, Zugriffsrechte und RBAC geschützt.

Kernel-Schutz – Viele Dämonen und administrative Befehle werden nur die für die erfolgreiche Ausführung erforderlichen Berechtigungen zugewiesen. Viele Dämonen werden über spezielle Verwaltungskonten ausgeführt, die nicht über root (UID=0)-Berechtigungen verfügen, damit sie nicht aufgrund eines Hijacking-Angriffs andere Aufgaben ausführen. Eine Anmeldung mit diesen speziellen Verwaltungskonten ist nicht möglich. Geräte sind durch Berechtigungen geschützt.

Dateisysteme – Alle Dateisysteme sind standardmäßig ZFS-Dateisysteme. Da der umask-Wert des Benutzers 022 beträgt, kann eine Datei oder ein Verzeichnis, die der Benutzer erstellt hat, nur durch ihn selbst geändert werden. Mitglieder der Gruppe des Benutzers sind berechtigt, das Verzeichnis zu lesen und zu durchsuchen sowie die Datei zu lesen. Angemeldete Benutzer, die nicht zur Gruppe des Benutzers gehören, können das Verzeichnis auflisten und die Datei lesen. Die Verzeichnisberechtigungen sind drwxr-xr-x (755). Die Dateiberechtigungen sind -rw-r--r-- (644).

Desktopapplets – Desktopapplets werden durch RBAC geschützt. Beispiel: Nur der erste Benutzer oder der Benutzer mit der root-Rolle können mithilfe des Package Manager-Applets neue Pakete installieren. Der Package Manager wird normalen Benutzern nicht angezeigt, die nicht zur Nutzung des Applets berechtigt sind.

Zusätzliche Sicherheitsfunktionen

Oracle Solaris 11 bietet Sicherheitsfunktionen, die für die Konfiguration Ihrer Systeme verwendet werden können und die Ihren Standortsicherheitsanforderungen entsprechen.

RBAC (Role-Based Access Control) – Oracle Solaris bietet eine Reihe von Authentifizierungen, Berechtigungen und Rechteprofilen. Die einzige definierte Rolle ist die root -Rolle. Die Rechteprofile sind eine gute Grundlage für das Erstellen von Rollen. Außerdem sind für das Ausführen von einigen administrativen Befehlen RBAC-Autorisierungen erforderlich. Benutzer ohne diese Autorisierungen können keine Befehle ausführen, auch wenn sie über die erforderlichen Berechtigungen verfügen.
Benutzerrechte – Benutzer erhalten wie der erste Benutzer einen Basisberechtigungssatz, Rechteprofile und Autorisierungen aus der Datei /etc/security/policy.conf (siehe Eingeschränkter und überwachter Systemzugriff). Es gibt keine Obergrenze für Anmeldeversuche; sie werden jedoch durch den Prüfservice protokolliert.
Systemdateischutz – Systemdateien werden durch Dateiberechtigungen geschützt. Systemdateien können nur in der root-Rolle geändert werden.

Navigationslinks überspringen
Druckansicht beenden
	Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11 Information Library (Deutsch)