Proteção do sistema

As tarefas a seguir têm melhores resultados quando executadas em ordem sequencial. Nesse ponto, o SO Oracle Solaris 11 já está instalado, e apenas o usuário inicial, que pode assumir a função root, tem acesso ao sistema.

Verificar os pacotes

Logo após a instalação, valide a instalação verificando os pacotes.

Antes de começar

É necessário estar na função root.

1. Execute o comando pkg verify.

   Para manter um registro, envie a saída do comando para um arquivo.

   # pkg verify > /var/pkgverifylog

2. Verifique se há erros no registro.
3. Se encontrar erros, reinstale a partir da mídia ou corrija-os.

Consulte também

Para obter mais informações, consulte as páginas man pkg(1) e pkg(5). As páginas man contêm exemplos de uso do comando pkg verify.

Desativar serviços desnecessários

Siga este procedimento para desativar serviços desnecessários, levando em conta a finalidade do sistema.

Antes de começar

É necessário estar na função root.

1. Liste os serviços on-line.

   # svcs | grep network
   online         Sep_07   svc:/network/loopback:default
   ...
   online         Sep_07   svc:/network/ssh:default

2. Desative os serviços que não são necessários ao sistema.

   Por exemplo, se o sistema não for um servidor NFS nem um servidor Web e os serviços estiverem on-line, desative-os.

   # svcadm disable svc:/network/nfs/server:default
   # svcadm disable svc:/network/http:apache22

Consulte também

Para obter mais informações, consulte o Capítulo 6, Managing Services (Overview), no Oracle Solaris Administration: Common Tasks e a página man svcs(1).

Remover a capacidade de gerenciamento de energia dos usuários

Siga este procedimento para impedir que os usuários desse sistema o suspendam ou desliguem.

Antes de começar

É necessário estar na função root.

1. Revise o conteúdo do perfil de direitos Usuário do console.

   % getent prof_attr | grep Console
   Console User:RO::Manage System as the Console User:
   profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
   Brightness,CPU Power Management,Network Autoconf User;
   auths=solaris.system.shutdown;help=RtConsUser.html

2. Crie um perfil de direitos que inclua todos os direitos contidos no perfil Usuário do console que os usuários deverão manter.

   Para obter instruções, consulte How to Create or Change a Rights Profile no Oracle Solaris Administration: Security Services.

3. Comente o perfil de direitos Usuário do console no arquivo /etc/security/policy.conf .

   #CONSOLE_USER=Console User

4. Atribua aos usuários o perfil de direitos criado na Etapa 2.

   # usermod -P +new-profile username

Consulte também

Para obter mais informações, consulte as páginas man policy.conf File no Oracle Solaris Administration: Security Services e policy.conf(4) e usermod(1M).

Colocar uma Mensagem de Segurança em Arquivos de Banner

Siga este procedimento para criar mensagens de aviso que reflitam a política de segurança da sua empresa. O conteúdo desses arquivos é exibido no login local e remoto.

Antes de começar

É necessário estar na função root. A prática recomendada é consultar o conselho jurídico da sua empresa sobre o conteúdo da mensagem de segurança.

1. Digite uma mensagem de segurança no arquivo /etc/issue .

   # vi /etc/issue
         ALERT   ALERT   ALERT   ALERT   ALERT
   
   This machine is available to authorized users only.
   
   If you are an authorized user, continue. 
   
   Your actions are monitored, and can be recorded.

   Para obter mais informações, consulte a página man issue(4).

   O programa telnet exibe o conteúdo do arquivo /etc/issue como sua mensagem de login. Para usar esse arquivo com outros aplicativos, consulte Exibir Mensagem de Segurança para Usuários ssh e ftp e Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho.

2. Adicione uma mensagem de segurança ao arquivo /etc/motd.

   # vi /etc/motd
   This system serves authorized users only. Activity is monitored and reported.

Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho

Escolha um método para criar uma mensagem de segurança a ser exibida aos usuários durante o login.

Para obter mais informações, clique em Sistema > menu Ajuda na área de trabalho para acessar o Navegador da Ajuda do GNOME. Você também pode usar o comando yelp. Os scripts de login da área de trabalho são discutidos na seção GDM Login Scripts and Session Files da página man gdm(1M).

Antes de começar

É necessário estar na função root. A prática recomendada é consultar o conselho jurídico da sua empresa sobre o conteúdo da mensagem de segurança.

• Coloque uma mensagem de segurança na tela de login da área de trabalho

  Você tem várias opções. As opções que criam uma caixa de diálogo podem usar o arquivo /etc/issue da Etapa 1 de Colocar uma Mensagem de Segurança em Arquivos de Banner.

  • OPÇÃO 1: Crie um arquivo de área de trabalho que exiba a mensagem de segurança em uma caixa de diálogo durante o login.

    # vi /usr/share/gdm/autostart/LoginWindow/banner.desktop
    [Desktop Entry]
    Type=Application
    Name=Banner Dialog
    Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
    --title="Security Message" \
    --filename=/etc/issue
    OnlyShowIn=GNOME;
    X-GNOME-Autostart-Phase=Application

    Depois de ser autenticado na janela de login, o usuário deverá fechar a caixa de diálogo para acessar o espaço de trabalho. Para obter opções para o comando zenity, consulte a página man zenity(1).

  • OPÇÃO 2: Modifique um script de inicialização GDM para exibir a mensagem de segurança em uma caixa de diálogo.

    O diretório /etc/gdm contém três scripts de inicialização que exibem a mensagem de segurança antes, durante ou imediatamente após o login na área de trabalho. Esses scripts também estão disponíveis na release Oracle Solaris 10.

    • Exiba a mensagem de segurança antes que a tela de login apareça.

      # vi /etc/gdm/Init/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • Exiba a mensagem de segurança na tela de login após a autenticação.

      Este script é executado antes da exibição do espaço de trabalho do usuário. Você modifica o script Default.sample para criar este script.

      # vi /etc/gdm/PostLogin/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • Exiba a mensagem de segurança no espaço de trabalho inicial do usuário após a autenticação.

      # vi /etc/gdm/PreSession/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

      ---

      Observação - A caixa de diálogo pode ser coberta por janelas no espaço de trabalho do usuário.

      ---

  • OPÇÃO 3: Modifique a janela de login para exibir a mensagem de segurança acima do campo de entrada.

    A janela de login expande para ajustar sua mensagem. Este método não aponta para o arquivo /etc/issue. Você deve digitar o texto na GUI.

    ---

    Observação - A janela de login, gdm-greeter-login-window.ui, é sobregravada pelos comandos pkg fix e pkg update. Para preservar suas alterações, copie o arquivo para um diretório de arquivos de configuração e mescle suas alterações com o novo arquivo após fazer upgrade do sistema. Para obter mais informações, consulte a página man pkg(5).

    ---

    1. Altere o diretório para a interface de usuário da janela de login.

       # cd /usr/share/gdm

    2. (Opcional) Salve uma cópia da Interface de Usuário da janela de login original.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig

    3. Adicione um rótulo à janela de login usando o designer de interface do GNOME Toolkit.

       O programa glade-3 abre o designer de interface do GTK+. Você digita a mensagem de segurança em um rótulo exibido acima do campo de entrada do usuário.

       # /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui

       Para verificar o guia do designer de interface, clique em Desenvolvimento no Navegador da Ajuda do GNOME. A página man glade-3(1) está listada em Aplicativos na Páginas Man.

    4. (Opcional) Após modificar a GUI da janela de login, salve uma cópia.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site

Exemplo 2-1 Criando uma Mensagem de Aviso Curta no Login da Área de Trabalho

Neste exemplo, o administrador digita uma mensagem curta como um argumento para o comando zenity no arquivo de área de trabalho. O administrador também usa a opção --warning, que exibe um ícone de aviso com a mensagem.

# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application