JavaScript is required to for searching.
Navigationslinks ├╝berspringen
Druckansicht beenden
Oracle Solaris 11 - Sicherheitsbestimmungen     Oracle Solaris 11.1 Information Library (Deutsch)
search filter icon
search icon

Dokumentinformationen

Vorwort

1.  Übersicht über die Oracle Solaris-Sicherheitsfunktionen

2.  Konfigurieren der Oracle Solaris-Sicherheitsfunktionen

Installieren von Oracle Solaris

Systemsicherung

Pakete überprüfen

Nicht erforderliche Services deaktivieren

Energieverwaltungsfunktion für Benutzer entfernen

Sicherheitsmeldung zu allen Bannerdateien hinzufügen

Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen

Schutz für Benutzer

Striktere Passwortbeschränkungen festlegen

Kontosperre für normale Benutzer festlegen

Festlegen eines restriktiveren umask-Werts für normale Benutzer.

Wichtige Ereignisse außer Anmelden/Abmelden prüfen

lo-Ereignisse in Echtzeit überwachen.

Nicht benötigter Basisberechtigungen von Benutzern entfernen

Kernel-Schutz

Konfigurieren des Netzwerks

Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden.

So verwenden Sie TCP-Wrapper

Schutz von Dateisystemen und Dateien

Die Größe des tmpfs-Dateisystems beschränken

Dateischutz und -änderungen

Schutz von Anwendungen und Services

Erstellen von Zonen für die Aufnahme wichtiger Anwendungen

Ressourcenverwaltung in Zonen

Konfigurieren von IPsec und IKE

Konfigurieren von IP Filter

Konfigurieren von Kerberos

Hinzufügen von SMF zu einem veralteten Service

Erstellen eines BART-Schnappschusses des Systems

Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit

Konfiguration von Trusted Extensions

Konfigurieren von Labeled IPsec

3.  Überwachen und Verwalten der Oracle Solaris-Sicherheitsfunktionen

A.  Literaturverzeichnis zur Oracle Solaris-Sicherheit

Systemsicherung

Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen. Zu diesem Zeitpunkt ist das Oracle Solaris-Betriebssystem installiert und nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann auf das System zugreifen.

Aufgabe
Beschreibung
Anweisungen siehe
1. Überprüfen der Pakete im System
Dadurch wird überprüft, ob die Pakete auf dem Installationsdatenträger den installierten Paketen entsprechen.
2. Schutz der Hardwareeinstellungen des Systems
Die Hardware wird geschützt, indem ein Passwort für Änderungen der Hardwareeinstellungen verlangt wird.
3. Deaktivieren nicht erforderlicher Services
Prozesse, die für den Systemablauf nicht erforderlich sind, werden nicht ausgeführt.
5. Kein Ausschalten des Systems durch den Eigentümer der Workstation
Dadurch soll vermieden werden, dass der Konsolenbenutzer das System ausschaltet oder anhält.
6. Erstellen Sie eine Anmeldewarnmeldung gemäß Ihrer Standortsicherheitsrichtlinie.
Benutzer und potenzielle Angreifer werden benachrichtigt, dass das System überwacht wird.

Pakete überprüfen

Validieren Sie die Installation direkt nach dem Installationsvorgang, indem Sie die Pakete überprüfen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

  1. Führen Sie den Befehl pkg verify aus.

    Leiten Sie die Befehlsausgabe zur Dokumentation in eine Datei um.

    # pkg verify > /var/pkgverifylog
  2. Sehen Sie in der Protokolldatei nach, ob Fehler aufgetreten sind.
  3. Wenn Sie Fehler finden, führen Sie eine Neuinstallation vom Datenträger durch oder beheben Sie die Fehler.

Siehe auch

Weitere Informationen finden Sie auf den Manpages pkg(1) und pkg(5). Die Manpages enthalten Beispiele zur Verwendung des Befehls pkg verify.

Nicht erforderliche Services deaktivieren

Führen Sie diese Schritte durch, um je nach Verwendungszweck Ihres Systems nicht erforderliche Services zu deaktivieren.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

  1. Rufen Sie die Liste der Onlineservices auf.
    # svcs | grep network
    online         Sep_07   svc:/network/loopback:default
    ...
    online         Sep_07   svc:/network/ssh:default
  2. Deaktivieren Sie die für das System nicht erforderlichen Services.

    Beispiel: Wenn es sich beim System nicht um einen NFS-Server oder Webserver handelt und Services online sind, deaktivieren Sie sie.

    # svcadm disable svc:/network/nfs/server:default
    # svcadm disable svc:/network/http:apache22

Siehe auch

Weitere Informationen finden Sie in Kapitel 1, Managing Services (Overview) in Managing Services and Faults in Oracle Solaris 11.1 und auf der Manpage svcs(1).

Energieverwaltungsfunktion für Benutzer entfernen

Führen Sie diese Schritte durch, damit Benutzer das System weder anhalten noch abschalten können.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

  1. Überprüfen Sie den Inhalt des Rechteprofils "Console User".
    % getent prof_attr | grep Console
    Console User:RO::Manage System as the Console User:
    profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
    Brightness,CPU Power Management,Network Autoconf User;
    auths=solaris.system.shutdown;help=RtConsUser.html
  2. Erstellen Sie ein Rechteprofil, das Rechte im Profil "Console User" enthält, die der Benutzer behalten soll.

    Anweisungen dazu finden Sie unter How to Create a Rights Profile in Oracle Solaris 11.1 Administration: Security Services.

  3. Setzen Sie das Rechteprofil "Console User" in der Datei /etc/security/policy.conf in Kommentare.
    #CONSOLE_USER=Console User
  4. Weisen Sie einem Benutzer das Rechteprofil zu, das Sie unter Schritt 2 erstellt haben.
    # usermod -P +new-profile username

Siehe auch

Weitere Informationen finden Sie unter policy.conf File in Oracle Solaris 11.1 Administration: Security Services sowie auf den Manpages policy.conf(4) und usermod(1M).

Sicherheitsmeldung zu allen Bannerdateien hinzufügen

Führen Sie diese Schritte durch, um Sicherheitsmeldungen in zwei Bannerdateien zu erstellen, die Ihrer Standortsicherheitsrichtlinie entsprechen. Der Inhalt dieser Bannerdateien wird bei der lokalen und der Remote-Anmeldung angezeigt.


Hinweis - Die hier als Beispiele angeführten Meldungen entsprechen nicht den Anforderungen der US-Behörden und wahrscheinlich auch nicht Ihrer Sicherheitsrichtlinie. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.


Bevor Sie beginnen

Sie müssen Administrator mit dem zugewiesenen Rechteprofil "Administrator Message Edit" sein. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

  1. Fügen Sie der Datei /etc/issue eine Sicherheitsmeldung hinzu.
    $ pfedit /etc/issue
          ALERT   ALERT   ALERT   ALERT   ALERT
    
    This machine is available to authorized users only.
    
    If you are an authorized user, continue. 
    
    Your actions are monitored, and can be recorded.

    Der login-Befehl zeigt den Inhalt von /etc/issue vor der Authentifizierung an, so wie es auch die telnet- und FTP-Services tun. Weitere Informationen dazu, wie auch andere Anwendungen diese Datei nutzen können, finden Sie unter Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden. und Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen.

    Weitere Informationen finden Sie auf den Manpages issue(4) und pfedit(1M).

  2. Fügen Sie der Datei /etc/motd eine Sicherheitsmeldung hinzu.
    $ pfedit /etc/motd
    This system serves authorized users only. Activity is monitored and reported.

    In Oracle Solaris zeigt die ursprüngliche Shell des Benutzers den Inhalt der /etc/motd-Datei an.

Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen

Wählen Sie eine Methode zur Erstellung einer Sicherheitsmeldung, die Benutzern bei der Anmeldung angezeigt wird.

Weitere Informationen erhalten Sie durch den GNOME Help Browser (GNOME-Hilfebrowser). Klicken Sie dazu auf dem Desktop auf "System" und dann → "Hilfe". Sie können stattdessen auch den Befehl yelp verwenden. Desktop-Anmeldeskripte werden im Abschnitt GDM Login Scripts and Session Files der Manpage gdm(1M) behandelt.


Hinweis - Die hier als Beispiel angeführte Meldung entspricht nicht den Anforderungen der US-Behörden und wahrscheinlich auch nicht Ihrer Sicherheitsrichtlinie. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.


Bevor Sie beginnen

Zu Erstellung einer Datei müssen Sie die root-Rolle annehmen. Um bereits vorhandene Datei ändern zu können, müssen Sie ein Administrator mit zugewiesener solaris.admin.edit/path-to-existing-file-Autorisierung sein.

Beispiel 2-1 Erstellen einer kurzen Warnmeldung zur Anzeige bei der Desktop-Anmeldung

In diesem Beispiel gibt der Administrator einen kurzen Meldungstext als Argument für den Befehl zenity in die Desktop-Datei ein. Darüber hinaus verwendet der Administrator die Option --warning, durch die ein Warnsymbol zusammen mit dem Text angezeigt wird.

# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application