Navigationslinks überspringen | |
Druckansicht beenden | |
Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11.1 Information Library (Deutsch) |
1. Übersicht über die Oracle Solaris-Sicherheitsfunktionen
2. Konfigurieren der Oracle Solaris-Sicherheitsfunktionen
Installieren von Oracle Solaris
Nicht erforderliche Services deaktivieren
Energieverwaltungsfunktion für Benutzer entfernen
Sicherheitsmeldung zu allen Bannerdateien hinzufügen
Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen
Striktere Passwortbeschränkungen festlegen
Kontosperre für normale Benutzer festlegen
Festlegen eines restriktiveren umask-Werts für normale Benutzer.
Wichtige Ereignisse außer Anmelden/Abmelden prüfen
lo-Ereignisse in Echtzeit überwachen.
Nicht benötigter Basisberechtigungen von Benutzern entfernen
Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden.
Schutz von Anwendungen und Services
Erstellen von Zonen für die Aufnahme wichtiger Anwendungen
Konfigurieren von IPsec und IKE
Hinzufügen von SMF zu einem veralteten Service
Erstellen eines BART-Schnappschusses des Systems
Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit
Konfiguration von Trusted Extensions
Konfigurieren von Labeled IPsec
3. Überwachen und Verwalten der Oracle Solaris-Sicherheitsfunktionen
Das ZFS-Dateisystem ist nicht komplex und kann verschlüsselt, komprimiert sowie mit reserviertem Speicher und Festplattenspeicherbegrenzung konfiguriert werden.
Das tmpfs-Dateisystem kann ohne Grenzen anwachsen. Um DoS-Attacken (Denial of Service) abzuwenden, vervollständigenSie Die Größe des tmpfs-Dateisystems beschränken.
Die folgenden Aufgaben konfigurieren eine Größenbeschränkung für tmpfs und bieten einen Einblick in die verfügbaren Schutzfunktionen von ZFS, dem Standarddateisystem unter Oracle Solaris. Weitere Informationen finden Sie unter Setting ZFS Quotas and Reservations in Oracle Solaris 11.1 Administration: ZFS File Systems und auf der Manpage zfs(1M).
|
Die Größe des tmpfs-Dateisystems ist standardmäßig nicht beschränkt. Deshalb kann tmpfs anwachsen, um den verfügbaren Systemspeicher und Swap zu füllen. Da das /tmp-Verzeichnis von allen Anwendungen und Benutzern verwendet wird, ist es möglich, dass eine Anwendung den vollständigen Systemspeicher beansprucht. Gleichermaßen könnte ein nicht privilegierter Benutzer mit böswilliger Absicht zu einer Verringerung der Arbeitsgeschwindigkeit beitragen, indem er große Dateien im /tmp-Verzeichnis erstellt. Um Leistungseinbußen zu vermeiden, können Sie die Größe eines jeden tmpfs-Einhängevorgangs beschränken.
Probieren Sie mehrere verschiedene Werte aus, um die beste Systemleistung zu erreichen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
Hinweis - Das SPARC T3-System, das zur Veranschaulichung dieses Vorgangs (Beispiel) verwendet wird, verfügt über eine SSD-Festplatte (Solid State Disk) für schnellere E/A und hat acht Festplatten zu jeweils 279,40 MB. Das System verfügt über einen Speicher von 500 GB.
# prtconf | head System Configuration: Oracle Corporation sun4v Memory size: 523776 Megabytes System Peripherals (Software Nodes): ORCL,SPARC-T3-4 scsi_vhci, instance #0 disk, instance #4 disk, instance #5 disk, instance #6 disk, instance #8
In Abhängigkeit von der Größe des Systemspeichers können Sie eine Speicherbeschränkung von etwa 20 Prozent für große und etwa 30 Prozent für kleinere Systeme berechnen.
Für ein kleineres System verwenden Sie folglich .30 als Multiplikator.
10240M x .30 ≃ 340M
Für ein größeres System verwenden Sie .20 als Multiplikator.
523776M x .20 ≃ 10475M
# pfedit /etc/vfstab #device device mount FS fsck mount mount #to mount to fsck point type pass at boot options # /devices - /devices devfs - no - /proc - /proc proc - no - ctfs - /system/contract ctfs - no - objfs - /system/object objfs - no - sharefs - /etc/dfs/sharetab sharefs - no - fd - /dev/fd fd - no - swap - /tmp tmpfs - yes - swap - tmpfs - yes size=10400m /dev/zvol/dsk/rpool/swap - - swap - no -
# reboot
# mount -v swap on /system/volatile type tmpfs read/write/setuid/devices/rstchown/xattr/dev=89c0006 on Fri Sep 7 14:07:27 2012 swap on /tmp type tmpfs read/write/setuid/devices/rstchown/xattr/size=10400m/dev=89c0006 on Fri ...
Der df-Befehl ist einigermaßen hilfreich. Der swap-Befehl bietet die nützlichsten Statistiken.
# df -h /tmp Filesystem Size Used Available Capacity Mounted on swap 7. 4G 44M 7.4G 1% /tmp # swap -s total: 190248k bytes allocated + 30348k reserved = 220596k used, 7743780k available
Weitere Informationen finden Sie auf den Manpages tmpfs(7FS), mount_tmpfs(1M), df(1M), und swap(1M).