JavaScript is required to for searching.
Navigationslinks ├╝berspringen
Druckansicht beenden
Oracle Solaris 11 - Sicherheitsbestimmungen     Oracle Solaris 11.1 Information Library (Deutsch)
search filter icon
search icon

Dokumentinformationen

Vorwort

1.  Übersicht über die Oracle Solaris-Sicherheitsfunktionen

2.  Konfigurieren der Oracle Solaris-Sicherheitsfunktionen

Installieren von Oracle Solaris

Systemsicherung

Pakete überprüfen

Nicht erforderliche Services deaktivieren

Energieverwaltungsfunktion für Benutzer entfernen

Sicherheitsmeldung zu allen Bannerdateien hinzufügen

Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen

Schutz für Benutzer

Striktere Passwortbeschränkungen festlegen

Kontosperre für normale Benutzer festlegen

Festlegen eines restriktiveren umask-Werts für normale Benutzer.

Wichtige Ereignisse außer Anmelden/Abmelden prüfen

lo-Ereignisse in Echtzeit überwachen.

Nicht benötigter Basisberechtigungen von Benutzern entfernen

Kernel-Schutz

Konfigurieren des Netzwerks

Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden.

So verwenden Sie TCP-Wrapper

Schutz von Dateisystemen und Dateien

Die Größe des tmpfs-Dateisystems beschränken

Dateischutz und -änderungen

Schutz von Anwendungen und Services

Erstellen von Zonen für die Aufnahme wichtiger Anwendungen

Ressourcenverwaltung in Zonen

Konfigurieren von IPsec und IKE

Konfigurieren von IP Filter

Konfigurieren von Kerberos

Hinzufügen von SMF zu einem veralteten Service

Erstellen eines BART-Schnappschusses des Systems

Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit

Konfiguration von Trusted Extensions

Konfigurieren von Labeled IPsec

3.  Überwachen und Verwalten der Oracle Solaris-Sicherheitsfunktionen

A.  Literaturverzeichnis zur Oracle Solaris-Sicherheit

Konfigurieren des Netzwerks

Zu diesem Zeitpunkt haben Sie wahrscheinlich Benutzer, die Rollen übernehmen können, und Rollen erstellt. Systemdateien können nur in der root-Rolle geändert werden.

Führen Sie von den folgenden Schritten diejenigen durch, die zusätzliche Sicherheit gemäß den Anforderungen Ihres Standorts geben. Diese Netzwerkaufgaben benachrichtigen Benutzer, die sich über eine Remote-Verbindung beim geschützten System anmelden, und unterstützen die Protokolle IP, ARP und TCP.

Aufgabe
Beschreibung
Anweisungen siehe
Zeigen Sie Warnmeldungen an, die Ihren Standortsicherheitsrichtlinien entsprechen.
Benutzer und potenzielle Angreifer werden benachrichtigt, dass das System überwacht wird.
Deaktivieren Sie den Netzwerkrouting-Dämon.
Dadurch wird der Zugriff auf das System durch potenzielle Netzwerk-Snooper eingeschränkt.
Unterbinden Sie die Verteilung von Informationen zur Netzwerktopologie.
Der Broadcast von Paketen wird verhindert.
Es wird nicht auf Broadcast- und Multicast-Echoanforderungen reagiert.
Aktivieren Sie Strict Source und Destination Multihoming für Systeme, die als Gateway zu anderen Domains fungieren, zum Beispiel Firewalls oder VPN-Knoten.
Pakete ohne Gateway-Adresse im Header können das Gateway nicht passieren.
Verhindern Sie DoS-Angriffe (Denial of Service) durch Kontrolle der Anzahl an unvollständigen Systemverbindungen.
Schränkt die zulässige Anzahl unvollständiger TCP-Verbindungen für einen TCP-Listener ein.
Unterbinden Sie DoS-Angriffe durch Kontrolle der Anzahl an zulässigen eingehenden Verbindungen.
Gibt das standardmäßige Maximum an anstehenden TCP-Verbindungen für einen TCP-Listener an.
Erstellen Sie sichere Zufallszahlen für TCP-Erstverbindungen.
Entspricht dem durch RFC 6528 angegebenen Sequenznummergenerierungswert.
Setzen Sie die Netzwerkparameter auf ihre Standardeinstellungen zurück.
Dadurch wird die Sicherheit erhöht, die durch administrative Aktionen verringert wurde.
Fügen Sie Netzwerkdiensten TCP-Wrapper zur Beschränkung von Anwendungen auf legitime Benutzer hinzu.
Gibt Systeme an, die berechtigt sind, auf Netzwerkdienste wie FTP-Programme zuzugreifen.

Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden.

Führen Sie diese Schritte durch, um bei der Anmeldung mit dem ssh-Protokoll eine Warnung anzuzeigen.

Bevor Sie beginnen

Sie haben die Datei /etc/issue aus Schritt 1 von Sicherheitsmeldung zu allen Bannerdateien hinzufügen erstellt.

Sie müssen Administrator mit zugewiesener solaris.admin.edit/etc/ssh/sshd_config -Autorisierung sein und über eines der Netzwerkrechteprofile verfügen. Die root -Rolle verfügt über alle diese Rechte. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

So verwenden Sie TCP-Wrapper

Die folgenden Schritte zeigen drei Arten, auf die TCP-Wrapper in Oracle Solaris verwendet werden oder verwendet werden können.

Bevor Sie beginnen

Sie müssen Sie Rolle root annehmen, um ein Programm so zu ändern, dass TCP-Wrapper verwendet werden.

  1. Sie müssen die sendmail-Anwendung nicht mit TCP-Wrappern schützen.

    Sie wird standardmäßig durch TCP-Wrapper geschützt, wie unter Support for TCP Wrappers From Version 8.12 of sendmail in Managing sendmail Services in Oracle Solaris 11.1 beschrieben.

  2. Informationen zum Aktivieren von TCP-Wrappern für alle inetd-Services erhalten Sie unter How to Use TCP Wrappers to Control Access to TCP Services in Configuring and Administering Oracle Solaris 11.1 Networks.
  3. Schützen Sie den FTP-Netzwerkservice mit TCP-Wrappern.
    1. Befolgen Sie die Anweisungen im Modul /usr/share/doc/proftpd/modules/mod_wrap.html.

      Da dieses Modul dynamisch ist, müssen Sie es laden, um TCP-Wrapper mit FTP zu verwenden.

    2. Laden Sie das Modul, indem Sie die folgenden Anweisungen der Datei /etc/proftpd.conf hinzufügen:
      <IfModule mod_dso.c>
          LoadModule mod_wrap.c
      </IfModule>
    3. Starten Sie den FTP-Service neu.
      $ svcadm restart svc:/network/ftp