Ignorar Links de Navegao | |
Sair do Modo de Exibio de Impresso | |
Diretrizes de segurança do Oracle Solaris 11 Oracle Solaris 11 Information Library (Português (Brasil)) |
1. Visão geral da segurança do Oracle Solaris 11
2. Configuração da segurança do Oracle Solaris 11
Instalando o SO Oracle Solaris
Desativar serviços desnecessários
Remover a capacidade de gerenciamento de energia dos usuários
Colocar uma Mensagem de Segurança em Arquivos de Banner
Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho
Definir restrições de senha mais fortes
Definir o bloqueio de contas para usuários regulares
Definir um valor umask mais restritivo para usuários regulares
Auditar eventos significativos além de login/logout
Exibir Mensagem de Segurança para Usuários ssh e ftp
Desativar o daemon de roteamento de rede
Desativar o encaminhamento de pacotes de difusão
Desativar respostas para solicitações de eco
Definir hospedagem múltipla estrita
Definir o número máximo de conexões TCP incompletas
Definir o número máximo de conexões TCP pendentes
Especificar um Número Aleatório Forte para a Conexão TCP Inicial
Redefinir os parâmetros de rede com valores seguros
Proteção dos sistemas de arquivos e arquivos
Proteção e modificação de arquivos
Proteção de aplicativos e serviços
Criação de zonas para conter aplicativos críticos
Gerenciamento de recursos em zonas
Configuração do recurso Filtro IP
Inclusão de SMF em um serviço herdado
Criação de um instantâneo BART do sistema
Inclusão de segurança multinível (rotulada)
Configuração do Trusted Extensions
Configuração de IPsec rotulada
3. Monitoramento e manutenção da segurança do Oracle Solaris 11
Nesse ponto, somente o usuário inicial, que pode assumir a função root, tem acesso ao sistema. Para que os usuários regulares possam fazer login, execute as tarefas a seguir em ordem sequencial.
|
Siga este procedimento se os padrões não atenderem aos requisitos de segurança da sua empresa. As etapas seguem a lista de entradas no arquivo /etc/default/passwd .
Antes de começar
Antes de alterar os padrões, verifique se as alterações permitem que todos os usuários façam a autenticação em seus aplicativos e em outros sistemas na rede.
É necessário estar na função root.
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
Consulte também
Para obter a lista de variáveis que restringem a criação de senhas, consulte o arquivo /etc/default/passwd. Os padrões são indicados no arquivo.
Para aplicar as restrições de senha após a instalação, consulte O acesso ao sistema é limitado e monitorado.
Página man passwd(1)
Siga este procedimento para bloquear contas de usuários regulares após determinado número de tentativas de login malsucedidas.
Observação - Não defina o bloqueio de contas para usuários que possam assumir funções, pois isso bloqueará a função.
Antes de começar
É necessário estar na função root. Não defina essa proteção em todo o sistema usado para atividades administrativas.
# vi /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# vi /etc/default/login ... #RETRIES=5 RETRIES=3 ...
Consulte também
Para ler uma discussão sobre atributos de segurança de usuário e função, consulte o Capítulo 10, Security Attributes in Oracle Solaris (Reference), no Oracle Solaris Administration: Security Services.
As páginas man selecionadas incluem policy.conf(4) e user_attr(4).
Se o valor umask padrão, 022, não for restritivo o suficiente, defina uma máscara mais restritiva seguindo este procedimento.
Antes de começar
É necessário estar na função root.
Oracle Solaris fornece diretórios para que os administradores personalizem padrões de shell do usuário. Esses diretórios esqueleto incluem arquivos, como .profile , .bashrc e .kshrc.
Escolha um dos seguintes valores:
umask 027 – fornece proteção de arquivos moderada
(740) – w para grupos, rwx para outros
umask 026 – fornece uma proteção de arquivos um pouco mais rígida
(741) – w para grupos, rw para outros
umask 077 – fornece uma proteção de arquivos mais completa
(700) – nenhum acesso para grupos e para outros
Consulte também
Para obter mais informações, consulte:
Setting Up User Accounts no Oracle Solaris Administration: Common Tasks
Default umask Value no Oracle Solaris Administration: Security Services
As páginas man selecionadas incluem usermod(1M) e umask(1).
Siga este procedimento para auditar comandos administrativos, tentativas de invadir o sistema e outros eventos significativos, conforme especificado pela política de segurança da sua empresa.
Observação - Os exemplos neste procedimento podem não ser suficientes para atender à sua política de segurança.
Antes de começar
É necessário estar na função root. Você está implementando a política de segurança da sua empresa em relação a auditoria.
Para todos os usuários e funções, adicione o evento de auditoria AUE_PFEXEC à sua máscara de pré-seleção.
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
Consulte também
Para obter informações sobre política de auditoria, consulte Audit Policy no Oracle Solaris Administration: Security Services.
Para obter exemplos de definição de sinalizadores de auditoria, consulte Configuring the Audit Service (Tasks) no Oracle Solaris Administration: Security Services e Troubleshooting the Audit Service (Tasks) no Oracle Solaris Administration: Security Services.
Para configurar a auditoria, consulte a página man auditconfig(1M).
Siga este procedimento para ativar o plugin audit_syslog em relação a eventos que deseja monitorar à medida que eles ocorrem.
Antes de começar
É necessário estar na função root para modificar o arquivo syslog.conf . Outras etapas requerem que seja atribuído a você o perfil de direitos Configuração de auditoria.
# auditconfig -setplugin audit_syslog active p_flags=lo
A entrada padrão inclui o local do arquivo de log.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system/system-log
O serviço de auditoria lê as alterações feitas no plugin de auditoria na atualização.
# audit -s
Consulte também
Para enviar os resumos de auditoria a outro sistema, consulte o exemplo após How to Configure syslog Audit Logs no Oracle Solaris Administration: Security Services.
O serviço de auditoria pode gerar uma saída extensiva. Para gerenciar os logs, consulte a página man logadm(1M).
Para monitorar a saída, consulte Monitoramento de resumos de auditoria audit_syslog.
Em determinadas circunstâncias, um ou mais dos três privilégios básicos podem ser removidos do conjunto básico de um usuário regular.
file_link_any – permite que um processo crie links físicos para arquivos pertencentes a um UID diferente do UID efetivo do processo.
proc_info – permite que um processo examine o status de processos que não sejam aqueles para os quais ele pode enviar sinais. Processos que não é possível examinar não podem ser vistos em /proc e parecem não existir.
proc_session – permite que um processo envie sinais ou rastreie processos fora de sua sessão.
Antes de começar
É necessário estar na função root.
# usermod -K defaultpriv=basic,!file_link_any user
# usermod -K defaultpriv=basic,!proc_info user
# usermod -K defaultpriv=basic,!proc_session user
# usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user
Consulte também
Para obter mais informações, consulte o Capítulo 8, Using Roles and Privileges (Overview), no Oracle Solaris Administration: Security Services e a página man privileges(5).