JavaScript is required to for searching.
Ignorar Links de Navegao
Sair do Modo de Exibio de Impresso
Diretrizes de segurança do Oracle Solaris 11     Oracle Solaris 11 Information Library (Português (Brasil))
search filter icon
search icon

Informação sobre o documento

Prefácio

1.  Visão geral da segurança do Oracle Solaris 11

2.  Configuração da segurança do Oracle Solaris 11

Instalando o SO Oracle Solaris

Proteção do sistema

Verificar os pacotes

Desativar serviços desnecessários

Remover a capacidade de gerenciamento de energia dos usuários

Colocar uma Mensagem de Segurança em Arquivos de Banner

Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho

Proteção dos usuários

Definir restrições de senha mais fortes

Definir o bloqueio de contas para usuários regulares

Definir um valor umask mais restritivo para usuários regulares

Auditar eventos significativos além de login/logout

Monitorar os eventos lo em tempo real

Remover privilégios básicos desnecessários de usuários

Proteção do kernel

Configuração da rede

Exibir Mensagem de Segurança para Usuários ssh e ftp

Desativar o daemon de roteamento de rede

Desativar o encaminhamento de pacotes de difusão

Desativar respostas para solicitações de eco

Definir hospedagem múltipla estrita

Definir o número máximo de conexões TCP incompletas

Definir o número máximo de conexões TCP pendentes

Especificar um Número Aleatório Forte para a Conexão TCP Inicial

Redefinir os parâmetros de rede com valores seguros

Proteção dos sistemas de arquivos e arquivos

Proteção e modificação de arquivos

Proteção de aplicativos e serviços

Criação de zonas para conter aplicativos críticos

Gerenciamento de recursos em zonas

Configuração de IPsec e IKE

Configuração do recurso Filtro IP

Configuração do Kerberos

Inclusão de SMF em um serviço herdado

Criação de um instantâneo BART do sistema

Inclusão de segurança multinível (rotulada)

Configuração do Trusted Extensions

Configuração de IPsec rotulada

3.  Monitoramento e manutenção da segurança do Oracle Solaris 11

A.  Bibliografia de segurança do Oracle Solaris

Configuração da rede

Nesse ponto, talvez você já tenha criado usuários que possam assumir funções e criado as funções. Somente a função root pode modificar os arquivos do sistema.

Com base nas tarefas de rede a seguir, execute aquelas que fornecem segurança adicional de acordo com os requisitos da sua empresa. Essas tarefas de rede fortalecem os protocolos IP, ARP e TCP, e informam aos usuários conectados remotamente que o sistema está protegido.

Tarefa
Descrição
Instruções
Exiba mensagens de aviso que reflitam a política de segurança da sua empresa.
Notifica os usuários e possíveis invasores de que o sistema é monitorado.
Desativar o daemon de roteamento de rede.
Limita o acesso de possíveis sniffers de rede aos sistemas.
Impedir a disseminação das informações sobre a topologia de rede.
Impede a difusão de pacotes.
Impede a geração de respostas para solicitações de eco resultantes de operações de difusão e multicast.
Para sistemas que são gateways de outros domínios, como um firewall ou um nó VPN, ative a hospedagem múltipla estrita para origem e destino.
Impede que os pacotes que não tenham o endereço do gateway no cabeçalho ultrapassem o gateway.
Impedir ataques de negação de serviço controlando o número de conexões de sistema incompletas.
Limita o número permitido de conexões TCP incompletas para um listener TCP.
Impedir ataques de negação de serviço controlando o número de conexões recebidas permitidas.
Especifica o número máximo padrão de conexões TCP pendentes para uma escuta TCP.
Gerar números aleatórios fortes para conexões TCP iniciais.
É compatível com o valor de geração de número de sequência especificado pelo RFC 1948.
Recuperar os valores padrão seguros dos parâmetros de rede.
Aumenta a segurança reduzida por ações administrativas.
Adicionar wrappers TCP aos serviços de rede para limitar os aplicativos a usuários legítimos.
Especifica sistemas que podem acessar serviços de rede, como FTP.

Por padrão, o aplicativo sendmail é protegido por wrappers TCP, como descrito em Support for TCP Wrappers From Version 8.12 of sendmail no Oracle Solaris Administration: Network Services.

Para ativar wrappers TCP para todos os serviços inetd, consulte How to Use TCP Wrappers to Control Access to TCP Services no Oracle Solaris Administration: IP Services.

Para obter um exemplo de wrappers TCP protegendo o serviço de rede FTP, consulte How to Start an FTP Server Using SMF no Oracle Solaris Administration: Network Services.

Exibir Mensagem de Segurança para Usuários ssh e ftp

Use este procedimento para exibir avisos no login remoto e na transferência de arquivos.

Antes de começar

É necessário estar na função root. Você criou o arquivo /etc/issue na Etapa 1de Colocar uma Mensagem de Segurança em Arquivos de Banner.

  1. Para exibir uma mensagem de segurança aos usuários que efetuaram login usando ssh, faça o seguinte:
    1. Remova o comentário da diretiva Banner no arquivo /etc/sshd_config.
      # vi /etc/ssh/sshd_config
      # Banner to be printed before authentication starts.
      Banner /etc/issue
    2. Atualize o serviço ssh.
      # svcadm refresh ssh
        

    Para obter mais informações, consulte as páginas man issue(4) e sshd_config(4).

  2. Para exibir uma mensagem de segurança aos usuários que efetuaram login usando ftp, faça o seguinte:
    1. Adicione a diretiva DisplayConnect ao arquivo proftpd.conf.
      # vi /etc/proftpd.conf
      # Banner to be printed before authentication starts.
      DisplayConnect /etc/issue
    2. Reinicie o serviço ftp.
      # svcadm restart ftp

      Para obter informações, consulte o site ProFTPD.

Desativar o daemon de roteamento de rede

Siga este procedimento para impedir o roteamento de rede após a instalação, especificando um roteador padrão. Caso contrário, siga este procedimento depois de confirmar o roteamento manualmente.


Observação - Muitos procedimentos de configuração de rede requerem que o daemon de roteamento seja desativado. Dessa forma, você pode ter desativado esse daemon como parte de um procedimento de configuração mais abrangente.


Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

  1. Verifique se o daemon de roteamento está sendo executado.
    # svcs -x svc:/network/routing/route:default
    svc:/network/routing/route:default (in.routed network routing daemon)
     State: online since April 10, 2011 05:15:35 AM PDT
       See: in.routed(1M)
       See: /var/svc/log/network-routing-route:default.log
    Impact: None.

    Se o serviço não estiver em execução, você poderá parar aqui.

  2. Desative o daemon de roteamento.
    # routeadm -d ipv4-forwarding -d ipv6-forwarding
    # routeadm -d ipv4-routing -d ipv6-routing
    # routeadm -u
  3. Verifique se o daemon de roteamento está desativado.
    # svcs -x routing/route:default
    svc:/network/routing/route:default (in.routed network routing daemon)
     State: disabled since April 11, 2011 10:10:10 AM PDT
    Reason: Disabled by an administrator.
       See: http://sun.com/msg/SMF-8000-05
       See: in.routed(1M)
    Impact: This service is not running.

Consulte também

Página man routeadm(1M)

Desativar o encaminhamento de pacotes de difusão

Por padrão, o Oracle Solaris encaminha pacotes de difusão. Se a política de segurança da sua empresa exigir a redução da possibilidade de inundação de difusão, altere o padrão com este procedimento.


Observação - Ao desativar a propriedade de rede _forward_directed_broadcasts, você também desativará os pings de difusão.


Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

  1. Defina a propriedade de encaminhamento de pacotes de difusão como 0 para pacotes IP.
    # ipadm set-prop -p _forward_directed_broadcasts=0 ip
  2. Verifique o valor atual.
    # ipadm show-prop -p _forward_directed_broadcasts ip
    PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _forward_directed_broadcasts  rw   0         --           0         0,1

Consulte também

Página man ipadm(1M)

Desativar respostas para solicitações de eco

Siga este procedimento para impedir a disseminação de informações sobre a topologia de rede.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

  1. Defina a propriedade de resposta para solicitações de eco de difusão como 0 para pacotes IP e, em seguida, confirme o valor atual.
    # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
    
    # ipadm show-prop -p _respond_to_echo_broadcast ip
    PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _respond_to_echo_broadcast rw   0         --           1         0,1
  2. Defina a propriedade de resposta para solicitações de eco multicast como 0 para pacotes IP e, em seguida, confirme o valor atual.
    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6
    
    # ipadm show-prop -p _respond_to_echo_multicast ipv4
    PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
    # ipadm show-prop -p _respond_to_echo_multicast ipv6
    PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

Consulte também

Para obter mais informações, consulte _respond_to_echo_broadcast and _respond_to_echo_multicast (ipv4 or ipv6) no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).

Definir hospedagem múltipla estrita

Para sistemas que são gateways de outros domínios, como um firewall ou um nó VPN, siga este procedimento para ativar a hospedagem múltipla estrita.

A versão do Oracle Solaris 11 introduz uma nova propriedade, hostmodel, para IPv4 e IPv6. Essa propriedade controla o comportamento de envio e de recebimento de pacotes IP em um sistema de hospedagem múltipla.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

  1. Defina a propriedade hostmodel como forte para pacotes IP.
    # ipadm set-prop -p hostmodel=strong ipv4
    # ipadm set-prop -p hostmodel=strong ipv6
  2. Verifique o valor atual e observe os valores possíveis.
    # ipadm show-prop -p hostmodel ip
    PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
    ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

Consulte também

Para obter mais informações, consultehostmodel (ipv4 or ipv6) no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).

Para obter mais informações sobre o uso de hospedagem múltipla estrita, consulte How to Protect a VPN With IPsec in Tunnel Mode no Oracle Solaris Administration: IP Services.

Definir o número máximo de conexões TCP incompletas

Siga este procedimento para impedir ataques de negação de serviço (DOS), controlando o número de conexões pendentes incompletas.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

  1. Defina o número máximo de conexões de entrada.
    # ipadm set-prop -p _conn_req_max_q0=4096 tcp
  2. Verifique o valor atual.
    # ipadm show-prop -p _conn_req_max_q0 tcp
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

Consulte também

Para obter mais informações, consulte _conn_req_max_q0 no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).

Definir o número máximo de conexões TCP pendentes

Siga este procedimento para evitar ataques de negação de serviço, controlando o número de conexões de entrada permitidas.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

  1. Defina o número máximo de conexões de entrada.
    # ipadm set-prop -p _conn_req_max_q=1024 tcp
  2. Verifique o valor atual.
    # ipadm show-prop -p _conn_req_max_q tcp
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

Consulte também

Para obter mais informações, consulte _conn_req_max_q no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).

Especificar um Número Aleatório Forte para a Conexão TCP Inicial

Este procedimento define o parâmetro de geração do número de sequência inicial TCP para que seja compatível com o RFC 1948.

Antes de começar

É necessário estar na função root para modificar um arquivo do sistema.

Redefinir os parâmetros de rede com valores seguros

Muitos parâmetros de rede, que são protegidos por padrão, são ajustáveis e, portanto, podem ser alterados. Se as condições da empresa permitirem, redefina os parâmetros ajustáveis a seguir com seus valores padrão.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede. O valor atual do parâmetro é menos seguro que o valor padrão.

  1. Defina a propriedade de encaminhamento de pacote de origem como 0 para pacotes IP e, em seguida, confirme o valor atual.

    O valor padrão impede ataques de negação de serviço de pacotes falsificados.

    # ipadm set-prop -p _forward_src_routed=0 ipv4
    # ipadm set-prop -p _forward_src_routed=0 ipv6
    # ipadm show-prop -p _forward_src_routed ipv4
    PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv4  _forward_src_routed   rw   0         --           0         0,1
    # ipadm show-prop -p _forward_src_routed ipv6
    PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6  _forward_src_routed   rw   0         --           0         0,1

    Para obter mais informações, consulte forwarding (ipv4 or ipv6) no Oracle Solaris Tunable Parameters Reference Manual.

  2. Defina a propriedade de resposta de máscara de rede como 0 para pacotes IP e, em seguida, verifique o valor atual.

    O valor padrão impede a disseminação de informações sobre a topologia de rede.

    # ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
    # ipadm show-prop -p _respond_to_address_mask_broadcast ip
    PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1
  3. Defina a propriedade de resposta de carimbo de data/hora como 0 para pacotes IP e, em seguida, verifique o valor atual.

    O valor padrão remove demandas adicionais de CPU em sistemas e impede a disseminação de informações sobre a rede.

    # ipadm set-prop -p _respond_to_timestamp=0 ip
    # ipadm show-prop -p _respond_to_timestamp ip
    PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _respond_to_timestamp            rw   0         --           0         0,1
  4. Defina a propriedade de resposta de carimbo de data/hora de difusão como 0 para pacotes IP e, em seguida, verifique o valor atual.

    O valor padrão remove demandas adicionais de CPU em sistemas e evita a disseminação de informações sobre a rede.

    # ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
    # ipadm show-prop -p _respond_to_timestamp_broadcast ip
    PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1
  5. Defina a propriedade ignorar redirecionamentos como 0 para pacotes IP e, em seguida, verifique o valor atual.

    O valor padrão impede demandas adicionais de CPU em sistemas.

    # ipadm set-prop -p _ignore_redirect=0 ipv4
    # ipadm set-prop -p _ignore_redirect=0 ipv6
    # ipadm show-prop -p _ignore_redirect ipv4
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv4  _ignore_redirect  rw   0         --           0         0,1
    # ipadm show-prop -p _ignore_redirect ipv6
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6  _ignore_redirect  rw   0         --           0         0,1
  6. Impeça o roteamento de origem de IP.

    Se você precisar de roteamento de origem de IP para fins de diagnóstico, não desative esse parâmetro de rede.

    # ipadm set-prop -p _rev_src_routes=0 tcp
    # ipadm show-prop -p _rev_src_routes tcp
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    tcp   _rev_src_routes   rw   0         --           0         0,1

    Para obter mais informações, consulte _rev_src_routes no Oracle Solaris Tunable Parameters Reference Manual .

  7. Defina a propriedade ignorar redirecionamentos como 0 para pacotes IP e, em seguida, verifique o valor atual.

    O valor padrão impede demandas adicionais de CPU em sistemas. Em geral, redirecionamentos não são necessários em uma rede bem projetada.

    # ipadm set-prop -p _ignore_redirect=0 ipv4
    # ipadm set-prop -p _ignore_redirect=0 ipv6
    # ipadm show-prop -p _ignore_redirect ipv4
    PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv4   _ignore_redirect   rw    0         --           0         0,1
    # ipadm show-prop -p _ignore_redirect ipv6
    PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6   _ignore_redirect   rw    0         --           0         0,1

Consulte também

Página man ipadm(1M)