JavaScript is required to for searching.
Ignorar Links de Navegao
Sair do Modo de Exibio de Impresso
Diretrizes de segurança do Oracle Solaris 11     Oracle Solaris 11 Information Library (Portugu√™s (Brasil))
search filter icon
search icon

Informação sobre o documento

Prefácio

1.  Visão geral da segurança do Oracle Solaris 11

2.  Configuração da segurança do Oracle Solaris 11

Instalando o SO Oracle Solaris

Proteção do sistema

Verificar os pacotes

Desativar serviços desnecessários

Remover a capacidade de gerenciamento de energia dos usuários

Colocar uma Mensagem de Segurança em Arquivos de Banner

Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho

Proteção dos usuários

Definir restrições de senha mais fortes

Definir o bloqueio de contas para usuários regulares

Definir um valor umask mais restritivo para usuários regulares

Auditar eventos significativos além de login/logout

Monitorar os eventos lo em tempo real

Remover privilégios básicos desnecessários de usuários

Proteção do kernel

Configuração da rede

Exibir Mensagem de Segurança para Usuários ssh e ftp

Desativar o daemon de roteamento de rede

Desativar o encaminhamento de pacotes de difusão

Desativar respostas para solicitações de eco

Definir hospedagem múltipla estrita

Definir o número máximo de conexões TCP incompletas

Definir o número máximo de conexões TCP pendentes

Especificar um Número Aleatório Forte para a Conexão TCP Inicial

Redefinir os parâmetros de rede com valores seguros

Proteção dos sistemas de arquivos e arquivos

Proteção e modificação de arquivos

Proteção de aplicativos e serviços

Criação de zonas para conter aplicativos críticos

Gerenciamento de recursos em zonas

Configuração de IPsec e IKE

Configuração do recurso Filtro IP

Configuração do Kerberos

Inclusão de SMF em um serviço herdado

Criação de um instantâneo BART do sistema

Inclusão de segurança multinível (rotulada)

Configuração do Trusted Extensions

Configuração de IPsec rotulada

3.  Monitoramento e manutenção da segurança do Oracle Solaris 11

A.  Bibliografia de segurança do Oracle Solaris

Proteção dos usuários

Nesse ponto, somente o usuário inicial, que pode assumir a função root, tem acesso ao sistema. Para que os usuários regulares possam fazer login, execute as tarefas a seguir em ordem sequencial.

Tarefa
Descrição
Instruções
Exigir senhas fortes e alterações frequentes da senha.
Reforça as restrições de senha padrão em cada sistema.
Configurar permissões de arquivo restritivas para usuários regulares.
Define um valor mais restritivo do que 022 para as permissões de arquivo de usuários regulares.
Definir o bloqueio de contas para usuários regulares.
Em sistemas não usados para administração, define o bloqueio de contas em todo o sistema e reduz o número de logins que ativam o bloqueio.
Pré-selecionar classes de auditoria adicionais.
Fornece melhores formas de monitoramento e registro de ameaças potenciais ao sistema.
Enviar resumos de texto dos eventos de auditoria ao utilitário syslog.
Fornece cobertura em tempo real de eventos de auditoria significativos, como logins e tentativas de login.
Criar funções.
Distribui tarefas administrativas distintas para alguns usuários confiáveis, de forma que ninguém possa danificar o sistema.
Mostrar os aplicativos permitidos apenas na área de trabalho de um usuário.
Impede que os usuários vejam ou usem aplicativos que eles não tenham autorização para usar.
Limitar os privilégios de um usuário.
Remove os privilégios básicos que não são necessários aos usuários.

Definir restrições de senha mais fortes

Siga este procedimento se os padrões não atenderem aos requisitos de segurança da sua empresa. As etapas seguem a lista de entradas no arquivo /etc/default/passwd .

Antes de começar

Antes de alterar os padrões, verifique se as alterações permitem que todos os usuários façam a autenticação em seus aplicativos e em outros sistemas na rede.

É necessário estar na função root.

Consulte também

Definir o bloqueio de contas para usuários regulares

Siga este procedimento para bloquear contas de usuários regulares após determinado número de tentativas de login malsucedidas.


Observação - Não defina o bloqueio de contas para usuários que possam assumir funções, pois isso bloqueará a função.


Antes de começar

É necessário estar na função root. Não defina essa proteção em todo o sistema usado para atividades administrativas.

  1. Defina o atributo de segurança LOCK_AFTER_RETRIES como YES.
    • Defina em todo o sistema.
      # vi /etc/security/policy.conf
      ...
      #LOCK_AFTER_RETRIES=NO
      LOCK_AFTER_RETRIES=YES
      ...
    • Defina por usuário.
      # usermod -K lock_after_retries=yes username
  2. Defina o atributo de segurança RETRIES como 3 .
    # vi /etc/default/login
    ...
    #RETRIES=5
    RETRIES=3
    ...

Consulte também

Definir um valor umask mais restritivo para usuários regulares

Se o valor umask padrão, 022, não for restritivo o suficiente, defina uma máscara mais restritiva seguindo este procedimento.

Antes de começar

É necessário estar na função root.

Consulte também

Para obter mais informações, consulte:

Auditar eventos significativos além de login/logout

Siga este procedimento para auditar comandos administrativos, tentativas de invadir o sistema e outros eventos significativos, conforme especificado pela política de segurança da sua empresa.


Observação - Os exemplos neste procedimento podem não ser suficientes para atender à sua política de segurança.


Antes de começar

É necessário estar na função root. Você está implementando a política de segurança da sua empresa em relação a auditoria.

  1. Audite todos os usos de comandos privilegiados por usuários e funções.

    Para todos os usuários e funções, adicione o evento de auditoria AUE_PFEXEC à sua máscara de pré-seleção.

    # usermod -K audit_flags=lo,ps:no username
    # rolemod -K audit_flags=lo,ps:no rolename
  2. Registre os argumentos para comandos auditados.
    # auditconfig -setpolicy +argv
  3. Registre o ambiente no qual os comandos auditados são executados.
    # auditconfig -setpolicy +arge

Consulte também

Monitorar os eventos lo em tempo real

Siga este procedimento para ativar o plugin audit_syslog em relação a eventos que deseja monitorar à medida que eles ocorrem.

Antes de começar

É necessário estar na função root para modificar o arquivo syslog.conf . Outras etapas requerem que seja atribuído a você o perfil de direitos Configuração de auditoria.

  1. Envie a classe lo para o plugin audit_syslog e ative o plugin.
    # auditconfig -setplugin audit_syslog active p_flags=lo
  2. Adicione uma entrada audit.notice ao arquivo syslog.conf.

    A entrada padrão inclui o local do arquivo de log.

    # cat /etc/syslog.conf
    …
    audit.notice       /var/adm/auditlog
  3. Crie o arquivo de log.
    # touch /var/adm/auditlog
  4. comando Atualize as informações do serviço syslog.
    # svcadm refresh system/system-log
  5. Atualize o serviço de auditoria.

    O serviço de auditoria lê as alterações feitas no plugin de auditoria na atualização.

    # audit -s

Consulte também

Remover privilégios básicos desnecessários de usuários

Em determinadas circunstâncias, um ou mais dos três privilégios básicos podem ser removidos do conjunto básico de um usuário regular.

Antes de começar

É necessário estar na função root.

  1. Impeça que um usuário se vincule a um arquivo que não lhe pertence.
    # usermod -K defaultpriv=basic,!file_link_any user
  2. Impeça que um usuário examine processos que não lhe pertencem.
    # usermod -K defaultpriv=basic,!proc_info user
  3. Impeça que um usuário inicie uma segunda sessão, como ssh, a partir da sessão atual do usuário.
    # usermod -K defaultpriv=basic,!proc_session user
  4. Remova os três privilégios do conjunto básico de um usuário.
    # usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user

Consulte também

Para obter mais informações, consulte o Capítulo 8, Using Roles and Privileges (Overview), no Oracle Solaris Administration: Security Services e a página man privileges(5).