Ignora collegamenti di spostamento | |
Esci da visualizzazione stampa | |
Oracle Solaris 11 Security Guidelines Oracle Solaris 11 Information Library (Italiano) |
1. Panoramica della sicurezza di Oracle Solaris 11
2. Configurazione della sicurezza di Oracle Solaris 11
Installazione del SO Oracle Solaris
Disattivazione dei servizi non necessari
Disattivazione della gestione dell'alimentazione del sistema da parte degli utenti
Inserire un messaggio di sicurezza nei file banner
Inserire un messaggio di sicurezza nella schermata di login del desktop
Impostazione di password più complesse
Impostazione di un blocco dell'account per gli utenti regolari
Impostazione di un valore umask più restrittivo per gli utenti regolari.
Audit di eventi rilevanti oltre a Login/Logout
Monitoraggio degli eventi lo in tempo reale
Rimozione di privilegi di base non necessari all'utente
Visualizzare il messaggio di sicurezza per gli utenti ssh e ftp
Disattivazione del daemon di routing di rete.
Disattivazione dell'inoltro del pacchetto di broadcast
Disattivazione delle risposte a richieste di eco
Impostazione di un rigido multihoming
Impostazione del numero massimo di connessioni TCP incomplete
Impostazione del numero massimo di connessioni TCP in sospeso
Specificare un numero casuale intero per la connessione TCP iniziale
Ripristino dei parametri di rete su valori protetti
Protezione di file system e file
Protezione e modifica dei file
Sicurezza di applicazioni e servizi
Creazione di zone per contenere applicazioni critiche
Gestione delle risorse in zone
Aggiunta di SMF a un servizio legacy
Creazione di un'istantanea BART del sistema
Aggiunta di sicurezza multilivello (servizi con etichetta)
Configurazione di Trusted Extensions
Configurazione di IPsec con etichette
3. Monitoraggio e manutenzione della sicurezza di Oracle Solaris 11
A. Bibliografia per il documento sulla sicurezza in Oracle Solaris
È consigliabile eseguire le seguenti attività nell'ordine indicato. Al termine della procedura, il sistema operativo Oracle Solaris 11 è installato e solo l'utente iniziale che può assumere il ruolo root potrà accedervi.
|
Al completamento dell'installazione, convalidarla verificando i pacchetti.
Prima di cominciare
È necessario utilizzare il ruolo root.
Per conservare un record, inviare l'output del comando a un file.
# pkg verify > /var/pkgverifylog
Vedere anche
Per maggiori informazioni, vedere le pagine man pkg(1) e pkg(5) che includono esempi sull'utilizzo del comando pkg verify.
Seguire questa procedura per disattivare i servizi non necessari al sistema.
Prima di cominciare
È necessario utilizzare il ruolo root.
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
Ad esempio, se il sistema non è un server NFS o un server Web e i servizi sono online, disattivarli.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
Vedere anche
Per ulteriori informazioni, vedere Capitolo 6, Managing Services (Overview) in Oracle Solaris Administration: Common Tasks e la pagina man svcs(1).
Seguire questa procedura per impedire agli utenti del sistema di sospenderlo o spegnerlo.
Prima di cominciare
È necessario utilizzare il ruolo root.
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
Per informazioni, vedere How to Create or Change a Rights Profile in Oracle Solaris Administration: Security Services .
#CONSOLE_USER=Console User
# usermod -P +new-profile username
Vedere anche
Per ulteriori informazioni, vedere policy.conf File in Oracle Solaris Administration: Security Services e le pagine man policy.conf(4) e usermod(1M).
Utilizzare questa procedura per creare messaggi di avvertenza che riflettano i criteri di sicurezza del sito. I contenuti di questi file vengono visualizzati al momento del login locale e remoto.
Nota - I messaggi di esempio riportati nella descrizione della procedura non soddisfano i requisiti governativi degli Stati Uniti e potrebbero non soddisfare i criteri di sicurezza.
Prima di cominciare
È necessario utilizzare il ruolo root. È consigliabile contattare un consulente legale dell'azienda in merito al contenuto del messaggio di sicurezza.
# vi /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
Per ulteriori informazioni, vedere la pagina man issue(4).
Il programma telnet mostra i contenuti del file /etc/issue come il relativo messaggio di login. Per l'utilizzo di questo file da parte di altre applicazioni, vedere Visualizzare il messaggio di sicurezza per gli utenti ssh e ftp e Inserire un messaggio di sicurezza nella schermata di login del desktop.
# vi /etc/motd This system serves authorized users only. Activity is monitored and reported.
Scegliere tra i diversi metodi per creare un messaggio di sicurezza che gli utenti possano visionare al login.
Per ulteriori informazioni, fare clic sul menu Sistema > Guida sul desktop per utilizzare il browser della guida di GNOME. È possibile utilizzare anche il comando yelp. Informazioni sugli script di login al desktop sono disponibili nella sezione GDM Login Scripts and Session Files della pagina man gdm(1M).
Nota - I messaggi di esempio riportati nella descrizione della procedura non soddisfano i requisiti governativi degli Stati Uniti e potrebbero non soddisfare i criteri di sicurezza.
Prima di cominciare
È necessario utilizzare il ruolo root. È consigliabile contattare un consulente legale dell'azienda in merito al contenuto del messaggio di sicurezza.
Sono disponibili più opzioni. Le opzioni che costituiscono una finestra di dialogo possono utilizzare il file /etc/issue da Punto 1 di Inserire un messaggio di sicurezza nei file banner.
# vi /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
Dopo l'autenticazione nella finestra di login, l'utente deve chiudere la finestra di dialogo per raggiungere l'area di lavoro. Per le opzioni del comando zenity, consultare la pagina man zenity(1).
La directory /etc/gdm include tre script di inizializzazione che mostrano il messaggio di sicurezza prima, durante o subito dopo il login al desktop. Tali script sono inoltre disponibili nella release Oracle Solaris 10.
# vi /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
Questo script viene eseguito prima di visualizzare l'area di lavoro dell'utente. Per creare questo script, modificare lo script Default.sample.
# vi /etc/gdm/PostLogin/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
# vi /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
Nota - La finestra di dialogo può essere nascosta da finestre nell'area di lavoro dell'utente.
La finestra di login viene ingrandita per adattarsi al messaggio. Questo metodo non punta al file /etc/issue. È necessario digitare il testo nell'interfaccia utente grafica.
Nota - La finestra di login, gdm-greeter-login-window.ui, viene sovrascritta dai comandi pkg fix e pkg update. Per conservare le modifiche apportate, copiare il file in una directory di file di configurazione e integrare le modifiche con il nuovo file dopo l'aggiornamento del sistema. Per ulteriori informazioni, consultare la pagina man pkg(5).
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
Il programma glade-3 consente di aprire il generatore di interfacce GTK. Digitare il messaggio di sicurezza in un'etichetta che viene visualizzata sopra il campo di immissione dell'utente.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
Per visualizzare la guida al generatore di interfacce, fare clic su Sviluppo nel browser della guida GNOME. La pagina man glade-3(1) è indicata in Applicazioni nelle pagine del manuale.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
Esempio 2-1 Creazione di un breve messaggio di avvertenza al login del desktop
In questo esempio, l'amministratore digita un breve messaggio come argomento nel comando zenity nel file desktop. L'amministratore utilizza inoltre l'opzione --warning, che mostra un'icona di avvertenza con il messaggio.
# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application