JavaScript is required to for searching.
Ignorar Links de Navegao
Sair do Modo de Exibio de Impresso
Diretrizes de segurança do Oracle Solaris 11     Oracle Solaris 11 Information Library (Portugu√™s (Brasil))
search filter icon
search icon

Informação sobre o documento

Prefácio

1.  Visão geral da segurança do Oracle Solaris 11

2.  Configuração da segurança do Oracle Solaris 11

Instalando o SO Oracle Solaris

Proteção do sistema

Verificar os pacotes

Desativar serviços desnecessários

Remover a capacidade de gerenciamento de energia dos usuários

Colocar uma Mensagem de Segurança em Arquivos de Banner

Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho

Proteção dos usuários

Definir restrições de senha mais fortes

Definir o bloqueio de contas para usuários regulares

Definir um valor umask mais restritivo para usuários regulares

Auditar eventos significativos além de login/logout

Monitorar os eventos lo em tempo real

Remover privilégios básicos desnecessários de usuários

Proteção do kernel

Configuração da rede

Exibir Mensagem de Segurança para Usuários ssh e ftp

Desativar o daemon de roteamento de rede

Desativar o encaminhamento de pacotes de difusão

Desativar respostas para solicitações de eco

Definir hospedagem múltipla estrita

Definir o número máximo de conexões TCP incompletas

Definir o número máximo de conexões TCP pendentes

Especificar um Número Aleatório Forte para a Conexão TCP Inicial

Redefinir os parâmetros de rede com valores seguros

Proteção dos sistemas de arquivos e arquivos

Proteção e modificação de arquivos

Proteção de aplicativos e serviços

Criação de zonas para conter aplicativos críticos

Gerenciamento de recursos em zonas

Configuração de IPsec e IKE

Configuração do recurso Filtro IP

Configuração do Kerberos

Inclusão de SMF em um serviço herdado

Criação de um instantâneo BART do sistema

Inclusão de segurança multinível (rotulada)

Configuração do Trusted Extensions

Configuração de IPsec rotulada

3.  Monitoramento e manutenção da segurança do Oracle Solaris 11

A.  Bibliografia de segurança do Oracle Solaris

Proteção do sistema

As tarefas a seguir têm melhores resultados quando executadas em ordem sequencial. Nesse ponto, o SO Oracle Solaris 11 já está instalado, e apenas o usuário inicial, que pode assumir a função root, tem acesso ao sistema.

Tarefa
Descrição
Instruções
1. Verificar os pacotes no sistema.
Verifica se os pacotes da mídia de instalação são idênticos aos pacotes instalados.
2. Proteger as configurações de hardware no sistema.
Protege o hardware exigindo uma senha para alterar as configurações de hardware.
3. Desativar os serviços desnecessários.
Impede a execução de processos que não fazem parte das funções necessárias do sistema.
4. Exigir alocação de dispositivos.
Impede o uso de mídia removível sem autorização explícita. Dispositivos incluem microfones, unidades USB e CDs.
5. Impedir que o proprietário da estação de trabalho desligue o sistema.
Impede que o usuário do console desligue ou suspenda o sistema.
6. Crie uma mensagem de aviso de login que reflita a política de segurança do seu site.
Notifica os usuários e possíveis invasores de que o sistema é monitorado.

Verificar os pacotes

Logo após a instalação, valide a instalação verificando os pacotes.

Antes de começar

É necessário estar na função root.

  1. Execute o comando pkg verify.

    Para manter um registro, envie a saída do comando para um arquivo.

    # pkg verify > /var/pkgverifylog
  2. Verifique se há erros no registro.
  3. Se encontrar erros, reinstale a partir da mídia ou corrija-os.

Consulte também

Para obter mais informações, consulte as páginas man pkg(1) e pkg(5). As páginas man contêm exemplos de uso do comando pkg verify.

Desativar serviços desnecessários

Siga este procedimento para desativar serviços desnecessários, levando em conta a finalidade do sistema.

Antes de começar

É necessário estar na função root.

  1. Liste os serviços on-line.
    # svcs | grep network
    online         Sep_07   svc:/network/loopback:default
    ...
    online         Sep_07   svc:/network/ssh:default
  2. Desative os serviços que não são necessários ao sistema.

    Por exemplo, se o sistema não for um servidor NFS nem um servidor Web e os serviços estiverem on-line, desative-os.

    # svcadm disable svc:/network/nfs/server:default
    # svcadm disable svc:/network/http:apache22

Consulte também

Para obter mais informações, consulte o Capítulo 6, Managing Services (Overview), no Oracle Solaris Administration: Common Tasks e a página man svcs(1).

Remover a capacidade de gerenciamento de energia dos usuários

Siga este procedimento para impedir que os usuários desse sistema o suspendam ou desliguem.

Antes de começar

É necessário estar na função root.

  1. Revise o conteúdo do perfil de direitos Usuário do console.
    % getent prof_attr | grep Console
    Console User:RO::Manage System as the Console User:
    profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
    Brightness,CPU Power Management,Network Autoconf User;
    auths=solaris.system.shutdown;help=RtConsUser.html
  2. Crie um perfil de direitos que inclua todos os direitos contidos no perfil Usuário do console que os usuários deverão manter.

    Para obter instruções, consulte How to Create or Change a Rights Profile no Oracle Solaris Administration: Security Services.

  3. Comente o perfil de direitos Usuário do console no arquivo /etc/security/policy.conf .
    #CONSOLE_USER=Console User
  4. Atribua aos usuários o perfil de direitos criado na Etapa 2.
    # usermod -P +new-profile username

Consulte também

Para obter mais informações, consulte as páginas man policy.conf File no Oracle Solaris Administration: Security Services e policy.conf(4) e usermod(1M).

Colocar uma Mensagem de Segurança em Arquivos de Banner

Siga este procedimento para criar mensagens de aviso que reflitam a política de segurança da sua empresa. O conteúdo desses arquivos é exibido no login local e remoto.


Observação - As mensagens de exemplo contidas neste procedimento não atendem aos requisitos do governo dos Estados Unidos e, provavelmente, não atenderão à sua política de segurança.


Antes de começar

É necessário estar na função root. A prática recomendada é consultar o conselho jurídico da sua empresa sobre o conteúdo da mensagem de segurança.

  1. Digite uma mensagem de segurança no arquivo /etc/issue .
    # vi /etc/issue
          ALERT   ALERT   ALERT   ALERT   ALERT
    
    This machine is available to authorized users only.
    
    If you are an authorized user, continue. 
    
    Your actions are monitored, and can be recorded.

    Para obter mais informações, consulte a página man issue(4).

    O programa telnet exibe o conteúdo do arquivo /etc/issue como sua mensagem de login. Para usar esse arquivo com outros aplicativos, consulte Exibir Mensagem de Segurança para Usuários ssh e ftp e Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho.

  2. Adicione uma mensagem de segurança ao arquivo /etc/motd.
    # vi /etc/motd
    This system serves authorized users only. Activity is monitored and reported.

Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho

Escolha um método para criar uma mensagem de segurança a ser exibida aos usuários durante o login.

Para obter mais informações, clique em Sistema > menu Ajuda na área de trabalho para acessar o Navegador da Ajuda do GNOME. Você também pode usar o comando yelp. Os scripts de login da área de trabalho são discutidos na seção GDM Login Scripts and Session Files da página man gdm(1M).


Observação - A mensagem de exemplo contida neste procedimento não atende aos requisitos do governo dos Estados Unidos e, provavelmente, não atenderá à sua política de segurança.


Antes de começar

É necessário estar na função root. A prática recomendada é consultar o conselho jurídico da sua empresa sobre o conteúdo da mensagem de segurança.

Exemplo 2-1 Criando uma Mensagem de Aviso Curta no Login da Área de Trabalho

Neste exemplo, o administrador digita uma mensagem curta como um argumento para o comando zenity no arquivo de área de trabalho. O administrador também usa a opção --warning, que exibe um ícone de aviso com a mensagem.

# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application