JavaScript is required to for searching.
Ignorar Links de Navegao
Sair do Modo de Exibio de Impresso
Diretrizes de segurança do Oracle Solaris 11     Oracle Solaris 11 Information Library (Portugu√™s (Brasil))
search filter icon
search icon

Informação sobre o documento

Prefácio

1.  Visão geral da segurança do Oracle Solaris 11

Proteções de segurança do Oracle Solaris 11

Tecnologias de segurança do Oracle Solaris 11

Serviço de auditoria

BART (Basic Audit Reporting Tool)

Serviços criptográficos

Permissões de arquivos e entradas de controle de acesso

Filtragem de pacotes

Filtro de IP

Wrappers TCP

Senhas e restrições de senha

Módulo de autenticação conectável

Privilégios do Oracle Solaris

Acesso remoto

IPsec e IKE

Secure Shell

Serviço Kerberos

Controle de acesso baseado em função

SMF (Service Management Facility)

Sistema de arquivos ZFS do Oracle Solaris

Zonas do Oracle Solaris

Trusted Extensions

Padrões de segurança do Oracle Solaris 11

O acesso ao sistema é limitado e monitorado

Proteções ativadas para kernel, arquivos e área de trabalho

Recursos de segurança adicionais ativados

Prática e política de segurança da empresa

2.  Configuração da segurança do Oracle Solaris 11

3.  Monitoramento e manutenção da segurança do Oracle Solaris 11

A.  Bibliografia de segurança do Oracle Solaris

Padrões de segurança do Oracle Solaris 11

Após a instalação, o Oracle Solaris protege o sistema contra invasões e monitora tentativas de login, entre outros recursos de segurança.

O acesso ao sistema é limitado e monitorado

Contas de usuário inicial e da função root a conta de usuário final pode fazer login a partir do console. É atribuída a essa conta a função root. As senhas para as duas contas são inicialmente idênticas.

Requisitos de senha – as senhas dos usuários devem ter, pelo menos, seis caracteres e um caractere alfabético e um numérico. As senhas são hash, usando o algoritmo SHA256 . Ao alterarem a senha, todos os usuários, inclusive a função root, devem atender a esses requisitos.

Acesso de rede limitado – após a instalação, o sistema é protegido contra invasões pela rede. O login remoto feito pelo usuário inicial é permitido por uma conexão autenticada e criptografada com o protocolo ssh. Esse é o único protocolo de rede que aceita pacotes de entrada. A chave ssh é encapsulada pelo algoritmo AES128. Com a criptografia e autenticação ativadas, o usuário pode acessar o sistema sem intercepção, modificação nem falsificação.

Tentativas de login registradas – o serviço de auditoria é ativado para todos os eventos de login/logoff (login, logoff, troca de usuário, início e interrupção de uma sessão ssh e bloqueio de telas) e para todos os logins não atribuíveis (com falha). Como a função root não pode fazer login, o nome do usuário que está agindo como root pode ser rastreado na trilha de auditoria. O usuário inicial pode revisar os logs de auditoria por um direito concedido pelo perfil Administrador do sistema.

Proteções ativadas para kernel, arquivos e área de trabalho

Depois que o usuário inicial faz login, o kernel, os sistemas de arquivos e os aplicativos da área de trabalho são protegidos pelo privilégio mínimo, pelas permissões e pelo RBAC (controle de acesso baseado em função).

Proteções do kernel – muitos daemons e comandos administrativos recebem apenas os privilégios que lhes permitem operar com êxito. Muitos daemons são executados em contas administrativas especiais que não têm privilégios root (UID=0), portanto, eles não podem ser forçados a executar outras tarefas. Essas contas administrativas especiais não podem fazer login. Os dispositivos são protegidos por privilégios.

Sistemas de arquivos – por padrão, todos os sistemas de arquivos são ZFS. O umask do usuário é 022, dessa forma, quando um usuário cria um novo arquivo ou diretório, apenas o usuário pode modificá-lo. Os membros do grupo do usuário podem ler e pesquisar o diretório, bem como ler o arquivo. Os logins externos ao grupo do usuário podem listar o diretório e ler o arquivo. As permissões de diretório são drwxr-xr-x (755). As permissões de arquivo são -rw-r--r-- (644).

Miniaplicativos de área de trabalho – os miniaplicativos de área de trabalho são protegidos pelo RBAC. Por exemplo, apenas o usuário inicial ou a função root pode usar o miniaplicativo Package Manager para instalar novos pacotes. O Package Manager não é exibido para usuários regulares que não têm os direitos para usá-lo.

Recursos de segurança adicionais ativados

O Oracle Solaris 11 fornece recursos de segurança que podem ser usados para configurar seus sistemas e usuários para atender aos requisitos de segurança da empresa.