Ignorar Links de Navegao | |
Sair do Modo de Exibio de Impresso | |
Diretrizes de segurança do Oracle Solaris 11 Oracle Solaris 11 Information Library (Português (Brasil)) |
1. Visão geral da segurança do Oracle Solaris 11
2. Configuração da segurança do Oracle Solaris 11
Instalando o SO Oracle Solaris
Desativar serviços desnecessários
Remover a capacidade de gerenciamento de energia dos usuários
Colocar uma Mensagem de Segurança em Arquivos de Banner
Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho
Definir restrições de senha mais fortes
Definir o bloqueio de contas para usuários regulares
Definir um valor umask mais restritivo para usuários regulares
Auditar eventos significativos além de login/logout
Monitorar os eventos lo em tempo real
Remover privilégios básicos desnecessários de usuários
Exibir Mensagem de Segurança para Usuários ssh e ftp
Desativar o daemon de roteamento de rede
Desativar o encaminhamento de pacotes de difusão
Desativar respostas para solicitações de eco
Definir hospedagem múltipla estrita
Definir o número máximo de conexões TCP incompletas
Definir o número máximo de conexões TCP pendentes
Especificar um Número Aleatório Forte para a Conexão TCP Inicial
Proteção dos sistemas de arquivos e arquivos
Proteção e modificação de arquivos
Proteção de aplicativos e serviços
Criação de zonas para conter aplicativos críticos
Gerenciamento de recursos em zonas
Configuração do recurso Filtro IP
Inclusão de SMF em um serviço herdado
Criação de um instantâneo BART do sistema
Inclusão de segurança multinível (rotulada)
Configuração do Trusted Extensions
Configuração de IPsec rotulada
3. Monitoramento e manutenção da segurança do Oracle Solaris 11
Nesse ponto, talvez você já tenha criado usuários que possam assumir funções e criado as funções. Somente a função root pode modificar os arquivos do sistema.
Com base nas tarefas de rede a seguir, execute aquelas que fornecem segurança adicional de acordo com os requisitos da sua empresa. Essas tarefas de rede fortalecem os protocolos IP, ARP e TCP, e informam aos usuários conectados remotamente que o sistema está protegido.
|
Use este procedimento para exibir avisos no login remoto e na transferência de arquivos.
Antes de começar
É necessário estar na função root. Você criou o arquivo /etc/issue na Etapa 1de Colocar uma Mensagem de Segurança em Arquivos de Banner.
# vi /etc/ssh/sshd_config # Banner to be printed before authentication starts. Banner /etc/issue
# svcadm refresh ssh
Para obter mais informações, consulte as páginas man issue(4) e sshd_config(4).
# vi /etc/proftpd.conf # Banner to be printed before authentication starts. DisplayConnect /etc/issue
# svcadm restart ftp
Para obter informações, consulte o site ProFTPD.
Siga este procedimento para impedir o roteamento de rede após a instalação, especificando um roteador padrão. Caso contrário, siga este procedimento depois de confirmar o roteamento manualmente.
Observação - Muitos procedimentos de configuração de rede requerem que o daemon de roteamento seja desativado. Dessa forma, você pode ter desativado esse daemon como parte de um procedimento de configuração mais abrangente.
Antes de começar
É necessário ter o perfil de direitos Gerenciamento de rede.
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
Se o serviço não estiver em execução, você poderá parar aqui.
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
Consulte também
Página man routeadm(1M)
Por padrão, o Oracle Solaris encaminha pacotes de difusão. Se a política de segurança da sua empresa exigir a redução da possibilidade de inundação de difusão, altere o padrão com este procedimento.
Observação - Ao desativar a propriedade de rede _forward_directed_broadcasts, você também desativará os pings de difusão.
Antes de começar
É necessário ter o perfil de direitos Gerenciamento de rede.
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
Consulte também
Página man ipadm(1M)
Siga este procedimento para impedir a disseminação de informações sobre a topologia de rede.
Antes de começar
É necessário ter o perfil de direitos Gerenciamento de rede.
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
Consulte também
Para obter mais informações, consulte _respond_to_echo_broadcast and _respond_to_echo_multicast (ipv4 or ipv6) no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).
Para sistemas que são gateways de outros domínios, como um firewall ou um nó VPN, siga este procedimento para ativar a hospedagem múltipla estrita.
A versão do Oracle Solaris 11 introduz uma nova propriedade, hostmodel, para IPv4 e IPv6. Essa propriedade controla o comportamento de envio e de recebimento de pacotes IP em um sistema de hospedagem múltipla.
Antes de começar
É necessário ter o perfil de direitos Gerenciamento de rede.
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
Consulte também
Para obter mais informações, consultehostmodel (ipv4 or ipv6) no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).
Para obter mais informações sobre o uso de hospedagem múltipla estrita, consulte How to Protect a VPN With IPsec in Tunnel Mode no Oracle Solaris Administration: IP Services.
Siga este procedimento para impedir ataques de negação de serviço (DOS), controlando o número de conexões pendentes incompletas.
Antes de começar
É necessário ter o perfil de direitos Gerenciamento de rede.
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
Consulte também
Para obter mais informações, consulte _conn_req_max_q0 no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).
Siga este procedimento para evitar ataques de negação de serviço, controlando o número de conexões de entrada permitidas.
Antes de começar
É necessário ter o perfil de direitos Gerenciamento de rede.
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
Consulte também
Para obter mais informações, consulte _conn_req_max_q no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).
Este procedimento define o parâmetro de geração do número de sequência inicial TCP para que seja compatível com o RFC 1948.
Antes de começar
É necessário estar na função root para modificar um arquivo do sistema.
# vi /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
Muitos parâmetros de rede, que são protegidos por padrão, são ajustáveis e, portanto, podem ser alterados. Se as condições da empresa permitirem, redefina os parâmetros ajustáveis a seguir com seus valores padrão.
Antes de começar
É necessário ter o perfil de direitos Gerenciamento de rede. O valor atual do parâmetro é menos seguro que o valor padrão.
O valor padrão impede ataques de negação de serviço de pacotes falsificados.
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
Para obter mais informações, consulte forwarding (ipv4 or ipv6) no Oracle Solaris Tunable Parameters Reference Manual.
O valor padrão impede a disseminação de informações sobre a topologia de rede.
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
O valor padrão remove demandas adicionais de CPU em sistemas e impede a disseminação de informações sobre a rede.
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
O valor padrão remove demandas adicionais de CPU em sistemas e evita a disseminação de informações sobre a rede.
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
O valor padrão impede demandas adicionais de CPU em sistemas.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Se você precisar de roteamento de origem de IP para fins de diagnóstico, não desative esse parâmetro de rede.
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
Para obter mais informações, consulte _rev_src_routes no Oracle Solaris Tunable Parameters Reference Manual .
O valor padrão impede demandas adicionais de CPU em sistemas. Em geral, redirecionamentos não são necessários em uma rede bem projetada.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Consulte também
Página man ipadm(1M)