Sicurezza del sistema

È consigliabile eseguire le seguenti attività nell'ordine indicato. Al termine della procedura, il sistema operativo Oracle Solaris 11 è installato e solo l'utente iniziale che può assumere il ruolo root potrà accedervi.

Verifica dei pacchetti

Al completamento dell'installazione, convalidarla verificando i pacchetti.

Prima di cominciare

È necessario utilizzare il ruolo root.

1. Eseguire il comando pkg verify.

   Per conservare un record, inviare l'output del comando a un file.

   # pkg verify > /var/pkgverifylog

2. Verificare che il log non contenga errori.
3. In caso contrario, ripetere l'installazione dal supporto o correggere gli errori.

Vedere anche

Per maggiori informazioni, vedere le pagine man pkg(1) e pkg(5) che includono esempi sull'utilizzo del comando pkg verify.

Disattivazione dei servizi non necessari

Seguire questa procedura per disattivare i servizi non necessari al sistema.

Prima di cominciare

È necessario utilizzare il ruolo root.

1. Elencare i servizi online.

   # svcs | grep network
   online         Sep_07   svc:/network/loopback:default
   ...
   online         Sep_07   svc:/network/ssh:default

2. Disattivare i servizi non necessari al sistema.

   Ad esempio, se il sistema non è un server NFS o un server Web e i servizi sono online, disattivarli.

   # svcadm disable svc:/network/nfs/server:default
   # svcadm disable svc:/network/http:apache22

Vedere anche

Per ulteriori informazioni, vedere Capitolo 6, Managing Services (Overview) in Oracle Solaris Administration: Common Tasks e la pagina man svcs(1).

Disattivazione della gestione dell'alimentazione del sistema da parte degli utenti

Seguire questa procedura per impedire agli utenti del sistema di sospenderlo o spegnerlo.

Prima di cominciare

È necessario utilizzare il ruolo root.

1. Verificare i contenuti del profilo di diritti relativo all'utente della console (Console User).

   % getent prof_attr | grep Console
   Console User:RO::Manage System as the Console User:
   profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
   Brightness,CPU Power Management,Network Autoconf User;
   auths=solaris.system.shutdown;help=RtConsUser.html

2. Creare un profilo di diritti che includa, nel profilo utente della console (Console User), i diritti che si desidera attribuire all'utente.

   Per informazioni, vedere How to Create or Change a Rights Profile in Oracle Solaris Administration: Security Services .

3. Aggiungere un commento al profilo di diritti dell'utente della console (Console User) nel file /etc/security/policy.conf .

   #CONSOLE_USER=Console User

4. Assegnare agli utenti il profilo di diritti creato al Punto 2.

   # usermod -P +new-profile username

Vedere anche

Per ulteriori informazioni, vedere policy.conf File in Oracle Solaris Administration: Security Services e le pagine man policy.conf(4) e usermod(1M).

Inserire un messaggio di sicurezza nei file banner

Utilizzare questa procedura per creare messaggi di avvertenza che riflettano i criteri di sicurezza del sito. I contenuti di questi file vengono visualizzati al momento del login locale e remoto.

Prima di cominciare

È necessario utilizzare il ruolo root. È consigliabile contattare un consulente legale dell'azienda in merito al contenuto del messaggio di sicurezza.

1. Digitare un messaggio di sicurezza nel file /etc/issue .

   # vi /etc/issue
         ALERT   ALERT   ALERT   ALERT   ALERT
   
   This machine is available to authorized users only.
   
   If you are an authorized user, continue. 
   
   Your actions are monitored, and can be recorded.

   Per ulteriori informazioni, vedere la pagina man issue(4).

   Il programma telnet mostra i contenuti del file /etc/issue come il relativo messaggio di login. Per l'utilizzo di questo file da parte di altre applicazioni, vedere Visualizzare il messaggio di sicurezza per gli utenti ssh e ftp e Inserire un messaggio di sicurezza nella schermata di login del desktop.

2. Aggiungere un messaggio di sicurezza al file /etc/motd.

   # vi /etc/motd
   This system serves authorized users only. Activity is monitored and reported.

Inserire un messaggio di sicurezza nella schermata di login del desktop

Scegliere tra i diversi metodi per creare un messaggio di sicurezza che gli utenti possano visionare al login.

Per ulteriori informazioni, fare clic sul menu Sistema > Guida sul desktop per utilizzare il browser della guida di GNOME. È possibile utilizzare anche il comando yelp. Informazioni sugli script di login al desktop sono disponibili nella sezione GDM Login Scripts and Session Files della pagina man gdm(1M).

Prima di cominciare

È necessario utilizzare il ruolo root. È consigliabile contattare un consulente legale dell'azienda in merito al contenuto del messaggio di sicurezza.

• Inserire un messaggio di sicurezza nella schermata di login del desktop.

  Sono disponibili più opzioni. Le opzioni che costituiscono una finestra di dialogo possono utilizzare il file /etc/issue da Punto 1 di Inserire un messaggio di sicurezza nei file banner.

  • OPZIONE 1: Creare un file desktop che mostri il messaggio di sicurezza in una finestra di dialogo al login.

    # vi /usr/share/gdm/autostart/LoginWindow/banner.desktop
    [Desktop Entry]
    Type=Application
    Name=Banner Dialog
    Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
    --title="Security Message" \
    --filename=/etc/issue
    OnlyShowIn=GNOME;
    X-GNOME-Autostart-Phase=Application

    Dopo l'autenticazione nella finestra di login, l'utente deve chiudere la finestra di dialogo per raggiungere l'area di lavoro. Per le opzioni del comando zenity, consultare la pagina man zenity(1).

  • OPZIONE 2: Modificare uno script di inizializzazione GDM che mostri il messaggio di sicurezza in una finestra di dialogo.

    La directory /etc/gdm include tre script di inizializzazione che mostrano il messaggio di sicurezza prima, durante o subito dopo il login al desktop. Tali script sono inoltre disponibili nella release Oracle Solaris 10.

    • Visualizzare il messaggio di sicurezza prima che venga aperta la schermata di login.

      # vi /etc/gdm/Init/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • Visualizzare il messaggio di sicurezza nella schermata di login dopo l'autenticazione.

      Questo script viene eseguito prima di visualizzare l'area di lavoro dell'utente. Per creare questo script, modificare lo script Default.sample.

      # vi /etc/gdm/PostLogin/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • Visualizzare il messaggio di sicurezza nell'area di lavoro iniziale dell'utente dopo l'autenticazione.

      # vi /etc/gdm/PreSession/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

      ---

      Nota - La finestra di dialogo può essere nascosta da finestre nell'area di lavoro dell'utente.

      ---

  • OPZIONE 3: Modificare la finestra di login per visualizzare il messaggio di sicurezza sopra il campo di inserimento.

    La finestra di login viene ingrandita per adattarsi al messaggio. Questo metodo non punta al file /etc/issue. È necessario digitare il testo nell'interfaccia utente grafica.

    ---

    Nota - La finestra di login, gdm-greeter-login-window.ui, viene sovrascritta dai comandi pkg fix e pkg update. Per conservare le modifiche apportate, copiare il file in una directory di file di configurazione e integrare le modifiche con il nuovo file dopo l'aggiornamento del sistema. Per ulteriori informazioni, consultare la pagina man pkg(5).

    ---

    1. Modificare la directory nell'interfaccia utente della finestra di login.

       # cd /usr/share/gdm

    2. (Opzionale) Salvare una copia dell'interfaccia utente della finestra di login originale.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig

    3. Aggiungere un'etichetta alla finestra di login utilizzando il generatore di interfacce del GNOME Toolkit.

       Il programma glade-3 consente di aprire il generatore di interfacce GTK. Digitare il messaggio di sicurezza in un'etichetta che viene visualizzata sopra il campo di immissione dell'utente.

       # /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui

       Per visualizzare la guida al generatore di interfacce, fare clic su Sviluppo nel browser della guida GNOME. La pagina man glade-3(1) è indicata in Applicazioni nelle pagine del manuale.

    4. (Opzionale) Dopo aver modificato l'interfaccia utente grafica della finestra di login, salvare una copia.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site

Esempio 2-1 Creazione di un breve messaggio di avvertenza al login del desktop

In questo esempio, l'amministratore digita un breve messaggio come argomento nel comando zenity nel file desktop. L'amministratore utilizza inoltre l'opzione --warning, che mostra un'icona di avvertenza con il messaggio.

# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application