Proteção dos usuários

Nesse ponto, somente o usuário inicial, que pode assumir a função root, tem acesso ao sistema. Para que os usuários regulares possam fazer login, execute as tarefas a seguir em ordem sequencial.

Definir restrições de senha mais fortes

Siga este procedimento se os padrões não atenderem aos requisitos de segurança da sua empresa. As etapas seguem a lista de entradas no arquivo /etc/default/passwd .

Antes de começar

Antes de alterar os padrões, verifique se as alterações permitem que todos os usuários façam a autenticação em seus aplicativos e em outros sistemas na rede.

É necessário estar na função root.

• Edite o arquivo /etc/default/passwd.
  1. Exija que os usuários alterem as senhas todos os meses, mas não mais do que a cada três semanas.

     ## /etc/default/passwd
     ##
     MAXWEEKS=
     MINWEEKS=
     MAXWEEKS=4
     MINWEEKS=3

  2. Exija uma senha de, pelo menos, oito caracteres.

     #PASSLENGTH=6
     PASSLENGTH=8

  3. Mantenha um histórico de senhas.

     #HISTORY=0
     HISTORY=10

  4. Exija uma diferença mínima da última senha.

     #MINDIFF=3
     MINDIFF=4

  5. Exija, pelo menos, uma letra maiúscula.

     #MINUPPER=0
     MINUPPER=1

  6. Exija, pelo menos, um dígito.

     #MINDIGIT=0
     MINDIGIT=1

Consulte também

• Para obter a lista de variáveis que restringem a criação de senhas, consulte o arquivo /etc/default/passwd. Os padrões são indicados no arquivo.

• Para aplicar as restrições de senha após a instalação, consulte O acesso ao sistema é limitado e monitorado.

• Página man passwd(1)

Definir o bloqueio de contas para usuários regulares

Siga este procedimento para bloquear contas de usuários regulares após determinado número de tentativas de login malsucedidas.

Antes de começar

É necessário estar na função root. Não defina essa proteção em todo o sistema usado para atividades administrativas.

1. Defina o atributo de segurança LOCK_AFTER_RETRIES como YES.
   • Defina em todo o sistema.

     # vi /etc/security/policy.conf
     ...
     #LOCK_AFTER_RETRIES=NO
     LOCK_AFTER_RETRIES=YES
     ...

   • Defina por usuário.

     # usermod -K lock_after_retries=yes username

2. Defina o atributo de segurança RETRIES como 3 .

   # vi /etc/default/login
   ...
   #RETRIES=5
   RETRIES=3
   ...

Consulte também

• Para ler uma discussão sobre atributos de segurança de usuário e função, consulte o Capítulo 10, Security Attributes in Oracle Solaris (Reference), no Oracle Solaris Administration: Security Services.

• As páginas man selecionadas incluem policy.conf(4) e user_attr(4).

Definir um valor umask mais restritivo para usuários regulares

Se o valor umask padrão, 022, não for restritivo o suficiente, defina uma máscara mais restritiva seguindo este procedimento.

Antes de começar

É necessário estar na função root.

• Modifique o valor umask nos perfis de login dos diretórios esqueleto para os diferentes shells.

  Oracle Solaris fornece diretórios para que os administradores personalizem padrões de shell do usuário. Esses diretórios esqueleto incluem arquivos, como .profile , .bashrc e .kshrc.

  Escolha um dos seguintes valores:

  • umask 027 – fornece proteção de arquivos moderada

    (740) – w para grupos, rwx para outros

  • umask 026 – fornece uma proteção de arquivos um pouco mais rígida

    (741) – w para grupos, rw para outros

  • umask 077 – fornece uma proteção de arquivos mais completa

    (700) – nenhum acesso para grupos e para outros

Consulte também

Para obter mais informações, consulte:

• Setting Up User Accounts no Oracle Solaris Administration: Common Tasks

• Default umask Value no Oracle Solaris Administration: Security Services

• As páginas man selecionadas incluem usermod(1M) e umask(1).

Auditar eventos significativos além de login/logout

Siga este procedimento para auditar comandos administrativos, tentativas de invadir o sistema e outros eventos significativos, conforme especificado pela política de segurança da sua empresa.

Antes de começar

É necessário estar na função root. Você está implementando a política de segurança da sua empresa em relação a auditoria.

1. Audite todos os usos de comandos privilegiados por usuários e funções.

   Para todos os usuários e funções, adicione o evento de auditoria AUE_PFEXEC à sua máscara de pré-seleção.

   # usermod -K audit_flags=lo,ps:no username

   # rolemod -K audit_flags=lo,ps:no rolename

2. Registre os argumentos para comandos auditados.

   # auditconfig -setpolicy +argv

3. Registre o ambiente no qual os comandos auditados são executados.

   # auditconfig -setpolicy +arge

Consulte também

• Para obter informações sobre política de auditoria, consulte Audit Policy no Oracle Solaris Administration: Security Services.

• Para obter exemplos de definição de sinalizadores de auditoria, consulte Configuring the Audit Service (Tasks) no Oracle Solaris Administration: Security Services e Troubleshooting the Audit Service (Tasks) no Oracle Solaris Administration: Security Services.

• Para configurar a auditoria, consulte a página man auditconfig(1M).

Monitorar os eventos lo em tempo real

Siga este procedimento para ativar o plugin audit_syslog em relação a eventos que deseja monitorar à medida que eles ocorrem.

Antes de começar

É necessário estar na função root para modificar o arquivo syslog.conf . Outras etapas requerem que seja atribuído a você o perfil de direitos Configuração de auditoria.

1. Envie a classe lo para o plugin audit_syslog e ative o plugin.

   # auditconfig -setplugin audit_syslog active p_flags=lo

2. Adicione uma entrada audit.notice ao arquivo syslog.conf.

   A entrada padrão inclui o local do arquivo de log.

   # cat /etc/syslog.conf
   …
   audit.notice       /var/adm/auditlog

3. Crie o arquivo de log.

   # touch /var/adm/auditlog

4. comando Atualize as informações do serviço syslog.

   # svcadm refresh system/system-log

5. Atualize o serviço de auditoria.

   O serviço de auditoria lê as alterações feitas no plugin de auditoria na atualização.

   # audit -s

Consulte também

• Para enviar os resumos de auditoria a outro sistema, consulte o exemplo após How to Configure syslog Audit Logs no Oracle Solaris Administration: Security Services.

• O serviço de auditoria pode gerar uma saída extensiva. Para gerenciar os logs, consulte a página man logadm(1M).

• Para monitorar a saída, consulte Monitoramento de resumos de auditoria audit_syslog.

Remover privilégios básicos desnecessários de usuários

Em determinadas circunstâncias, um ou mais dos três privilégios básicos podem ser removidos do conjunto básico de um usuário regular.

• file_link_any – permite que um processo crie links físicos para arquivos pertencentes a um UID diferente do UID efetivo do processo.

• proc_info – permite que um processo examine o status de processos que não sejam aqueles para os quais ele pode enviar sinais. Processos que não é possível examinar não podem ser vistos em /proc e parecem não existir.

• proc_session – permite que um processo envie sinais ou rastreie processos fora de sua sessão.

Antes de começar

É necessário estar na função root.

1. Impeça que um usuário se vincule a um arquivo que não lhe pertence.

   # usermod -K defaultpriv=basic,!file_link_any user

2. Impeça que um usuário examine processos que não lhe pertencem.

   # usermod -K defaultpriv=basic,!proc_info user

3. Impeça que um usuário inicie uma segunda sessão, como ssh, a partir da sessão atual do usuário.

   # usermod -K defaultpriv=basic,!proc_session user

4. Remova os três privilégios do conjunto básico de um usuário.

   # usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user

Consulte também

Para obter mais informações, consulte o Capítulo 8, Using Roles and Privileges (Overview), no Oracle Solaris Administration: Security Services e a página man privileges(5).