JavaScript is required to for searching.
Navigationslinks ├╝berspringen
Druckansicht beenden
Oracle Solaris 11 - Sicherheitsbestimmungen     Oracle Solaris 11.1 Information Library (Deutsch)
search filter icon
search icon

Dokumentinformationen

Vorwort

1.  Übersicht über die Oracle Solaris-Sicherheitsfunktionen

2.  Konfigurieren der Oracle Solaris-Sicherheitsfunktionen

Installieren von Oracle Solaris

Systemsicherung

Pakete überprüfen

Nicht erforderliche Services deaktivieren

Energieverwaltungsfunktion für Benutzer entfernen

Sicherheitsmeldung zu allen Bannerdateien hinzufügen

Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen

Schutz für Benutzer

Striktere Passwortbeschränkungen festlegen

Kontosperre für normale Benutzer festlegen

Festlegen eines restriktiveren umask-Werts für normale Benutzer.

Wichtige Ereignisse außer Anmelden/Abmelden prüfen

lo-Ereignisse in Echtzeit überwachen.

Nicht benötigter Basisberechtigungen von Benutzern entfernen

Kernel-Schutz

Konfigurieren des Netzwerks

Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden.

So verwenden Sie TCP-Wrapper

Schutz von Dateisystemen und Dateien

Die Größe des tmpfs-Dateisystems beschränken

Dateischutz und -änderungen

Schutz von Anwendungen und Services

Erstellen von Zonen für die Aufnahme wichtiger Anwendungen

Ressourcenverwaltung in Zonen

Konfigurieren von IPsec und IKE

Konfigurieren von IP Filter

Konfigurieren von Kerberos

Hinzufügen von SMF zu einem veralteten Service

Erstellen eines BART-Schnappschusses des Systems

Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit

Konfiguration von Trusted Extensions

Konfigurieren von Labeled IPsec

3.  Überwachen und Verwalten der Oracle Solaris-Sicherheitsfunktionen

A.  Literaturverzeichnis zur Oracle Solaris-Sicherheit

Schutz von Dateisystemen und Dateien

Das ZFS-Dateisystem ist nicht komplex und kann verschlüsselt, komprimiert sowie mit reserviertem Speicher und Festplattenspeicherbegrenzung konfiguriert werden.

Das tmpfs-Dateisystem kann ohne Grenzen anwachsen. Um DoS-Attacken (Denial of Service) abzuwenden, vervollständigenSie Die Größe des tmpfs-Dateisystems beschränken.

Die folgenden Aufgaben konfigurieren eine Größenbeschränkung für tmpfs und bieten einen Einblick in die verfügbaren Schutzfunktionen von ZFS, dem Standarddateisystem unter Oracle Solaris. Weitere Informationen finden Sie unter Setting ZFS Quotas and Reservations in Oracle Solaris 11.1 Administration: ZFS File Systems und auf der Manpage zfs(1M).

Aufgabe
Beschreibung
Anweisungen siehe
Wenden Sie DoS-Angriffe durch Verwalten und Reservieren des Speicherplatzes ab.
Gibt die Nutzung von Speicherplatz durch Dateisysteme, Benutzer oder Projekte an.
Garantieren Sie eine Mindestmenge an Speicherplatz für einen Datensatz und dessen untergeordnete Datensätze.
Gewährleistet Speicherplatz nach Dateisystemen, Benutzern, Gruppen oder Projekten.
Verschlüsseln Sie Daten in einem Dateisystem.
Bietet Schutz für einen Datensatz durch Verschlüsselung und Kennsatz, sodass auf den Datensatz bei seiner Erstellung zugegriffen werden kann.
Geben Sie ACLs an für einen Dateischutz auf einer feiner abgestimmten Ebene, als es mit UNIX-Dateiberechtigungen möglich ist.
Erweiterte Sicherheitsattribute können sich beim Schutz von Dateien als hilfreich erweisen.

Informationen zur Verwendung von ACLs siehe Hiding Within the Trees.

Beschränken Sie die Größe des tmpfs-Dateisystems.
Hält einen bösartigen Benutzer davon ab, große Dateien in /tmp zu erstellen und die Systemgeschwindigkeit zu verlangsamen.

Die Größe des tmpfs-Dateisystems beschränken

Die Größe des tmpfs-Dateisystems ist standardmäßig nicht beschränkt. Deshalb kann tmpfs anwachsen, um den verfügbaren Systemspeicher und Swap zu füllen. Da das /tmp-Verzeichnis von allen Anwendungen und Benutzern verwendet wird, ist es möglich, dass eine Anwendung den vollständigen Systemspeicher beansprucht. Gleichermaßen könnte ein nicht privilegierter Benutzer mit böswilliger Absicht zu einer Verringerung der Arbeitsgeschwindigkeit beitragen, indem er große Dateien im /tmp-Verzeichnis erstellt. Um Leistungseinbußen zu vermeiden, können Sie die Größe eines jeden tmpfs-Einhängevorgangs beschränken.

Probieren Sie mehrere verschiedene Werte aus, um die beste Systemleistung zu erreichen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

  1. Bestimmen Sie den Speicherplatz auf Ihrem System.

    Hinweis - Das SPARC T3-System, das zur Veranschaulichung dieses Vorgangs (Beispiel) verwendet wird, verfügt über eine SSD-Festplatte (Solid State Disk) für schnellere E/A und hat acht Festplatten zu jeweils 279,40 MB. Das System verfügt über einen Speicher von 500 GB.


    # prtconf | head
    System Configuration:  Oracle Corporation  sun4v
    Memory size: 523776 Megabytes
    System Peripherals (Software Nodes):
    
    ORCL,SPARC-T3-4
        scsi_vhci, instance #0
            disk, instance #4
            disk, instance #5
            disk, instance #6
            disk, instance #8
  2. Berechnen Sie eine Speicherbeschränkung für tmpfs.

    In Abhängigkeit von der Größe des Systemspeichers können Sie eine Speicherbeschränkung von etwa 20 Prozent für große und etwa 30 Prozent für kleinere Systeme berechnen.

    Für ein kleineres System verwenden Sie folglich .30 als Multiplikator.

    10240M x .30 ≃ 340M

    Für ein größeres System verwenden Sie .20 als Multiplikator.

    523776M x .20 ≃ 10475M
  3. Erweitern Sie den swap-Eintrag der /etc/vfstab -Datei um die Größenbeschränkung.
    # pfedit /etc/vfstab
    #device       device       mount           FS      fsck    mount mount
    #to mount     to fsck      point           type    pass    at boot options
    #
    /devices      -            /devices        devfs   -       no      -
    /proc         -            /proc           proc    -       no      -
    ctfs          -            /system/contract ctfs   -       no      -
    objfs         -            /system/object  objfs   -       no      -
    sharefs       -            /etc/dfs/sharetab  sharefs -    no      -
    fd            -            /dev/fd         fd      -       no      -
    swap          -            /tmp            tmpfs   -       yes     -
    swap          -            tmpfs           -       yes     size=10400m
    /dev/zvol/dsk/rpool/swap   -      -        swap    -       no      - 
  4. Starten Sie das System neu.
    # reboot
  5. Prüfen Sie, ob die Größenbeschränkung aktiviert ist.
    # mount -v
    swap on /system/volatile type tmpfs 
    read/write/setuid/devices/rstchown/xattr/dev=89c0006 on Fri Sep 7 14:07:27 2012
    swap on /tmp type tmpfs 
    read/write/setuid/devices/rstchown/xattr/size=10400m/dev=89c0006 on Fri ...
  6. Überwachen Sie die Speicherauslastung und passen Sie sie an die Anforderungen Ihrer Site an.

    Der df-Befehl ist einigermaßen hilfreich. Der swap-Befehl bietet die nützlichsten Statistiken.

    # df -h /tmp
    Filesystem Size Used Available Capacity Mounted on
    swap          7.  4G     44M    7.4G 1%       /tmp
    
    # swap -s
    total: 190248k bytes allocated + 30348k reserved = 220596k used,
    7743780k available 

    Weitere Informationen finden Sie auf den Manpages tmpfs(7FS), mount_tmpfs(1M), df(1M), und swap(1M).