JavaScript is required to for searching.
Navigationslinks ├╝berspringen
Druckansicht beenden
Oracle Solaris 11 - Sicherheitsbestimmungen     Oracle Solaris 11.1 Information Library (Deutsch)
search filter icon
search icon

Dokumentinformationen

Vorwort

1.  Übersicht über die Oracle Solaris-Sicherheitsfunktionen

2.  Konfigurieren der Oracle Solaris-Sicherheitsfunktionen

Installieren von Oracle Solaris

Systemsicherung

Pakete überprüfen

Nicht erforderliche Services deaktivieren

Energieverwaltungsfunktion für Benutzer entfernen

Sicherheitsmeldung zu allen Bannerdateien hinzufügen

Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen

Schutz für Benutzer

Striktere Passwortbeschränkungen festlegen

Kontosperre für normale Benutzer festlegen

Festlegen eines restriktiveren umask-Werts für normale Benutzer.

Wichtige Ereignisse außer Anmelden/Abmelden prüfen

lo-Ereignisse in Echtzeit überwachen.

Nicht benötigter Basisberechtigungen von Benutzern entfernen

Kernel-Schutz

Konfigurieren des Netzwerks

Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden.

So verwenden Sie TCP-Wrapper

Schutz von Dateisystemen und Dateien

Die Größe des tmpfs-Dateisystems beschränken

Dateischutz und -änderungen

Schutz von Anwendungen und Services

Erstellen von Zonen für die Aufnahme wichtiger Anwendungen

Ressourcenverwaltung in Zonen

Konfigurieren von IPsec und IKE

Konfigurieren von IP Filter

Konfigurieren von Kerberos

Hinzufügen von SMF zu einem veralteten Service

Erstellen eines BART-Schnappschusses des Systems

Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit

Konfiguration von Trusted Extensions

Konfigurieren von Labeled IPsec

3.  Überwachen und Verwalten der Oracle Solaris-Sicherheitsfunktionen

A.  Literaturverzeichnis zur Oracle Solaris-Sicherheit

Schutz für Benutzer

Nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann zu diesem Zeitpunkt auf das System zugreifen. Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen, bevor sich normale Benutzer anmelden können.

Aufgabe
Beschreibung
Anweisungen siehe
Sichere Passwörter und häufige Passwortänderungen
Dadurch werden die standardmäßig auf jedem System vorhandenen Passwortbeschränkungen verstärkt.
Konfigurieren Sie restriktive Dateiberechtigungen für normale Benutzer.
Hierdurch wird ein restriktiverer Wert als 022 für Dateiberechtigungen der normalen Benutzer festgelegt.
Legen Sie die Kontosperre für normale Benutzer fest.
Legt bei Systemen, die nicht für die Administration verwendet werden, die Kontosperre systemweit fest und verringert die Anzahl der Anmeldeversuche bis zur Aktivierung der Sperre.
Treffen Sie eine Vorauswahl zusätzlicher Prüfklassen.
Auf diese Weise können Sie potenzielle Bedrohungen des Systems überwachen und aufzeichnen.
Senden Sie Zusammenfassungen von Prüfereignissen in Textform an das Dienstprogramm syslog.
Enthält in Echtzeit aufgezeichnete, wichtige Prüfereignisse wie Anmeldungen und Anmeldeversuche.
Erstellen Sie Rollen.
Dadurch werden einzelne administrative Aufgaben an mehrere vertrauenswürdige Benutzer verteilt, sodass das System nicht beschädigt werden kann.
Verringern Sie die Anzahl der sichtbaren GNOME-Desktopanwendungen.
Dadurch wird vermieden, dass Benutzer Desktopanwendungen benutzen, die die Sicherheit beeinträchtigen können.
Schränken Sie Benutzerrechte ein.
Dadurch werden die Basisberechtigungen entfernt, die Benutzer nicht benötigen.

Striktere Passwortbeschränkungen festlegen

Führen Sie diese Schritte durch, wenn die Standardwerte nicht den Sicherheitsbestimmungen Ihres Standorts entsprechen. Die Schritte richten sich nach der Liste der Einträge in der Datei /etc/default/passwd.

Bevor Sie beginnen

Vergewissern Sie sich vor Änderung der Standardwerte, dass sich dadurch alle Benutzer bei ihren Anwendungen und anderen Systemen im Netzwerk authentifizieren können.

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Siehe auch

Kontosperre für normale Benutzer festlegen

Führen Sie diese Schritte durch, um normale Benutzerkonten nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen zu sperren.


Hinweis - Legen Sie keine Kontosperre für Benutzer fest, die Rollen übernehmen können, da dadurch die Rolle gesperrt werden kann.


Bevor Sie beginnen

Legen Sie keinen systemweiten Schutz fest auf einem System, das Sie für administrative Aufgaben nutzen.

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

  1. Legen Sie das Sicherheitsattribut LOCK_AFTER_RETRIES auf YES fest.
    • Legen Sie das Attribut systemweit fest.
      # pfedit /etc/security/policy.conf
      ...
      #LOCK_AFTER_RETRIES=NO
      LOCK_AFTER_RETRIES=YES
      ...
    • Legen Sie das Attribut für jeden Benutzer fest.
      # usermod -K lock_after_retries=yes username
  2. Legen Sie das Sicherheitsattribut RETRIES auf 3 fest.
    # pfedit /etc/default/login
    ...
    #RETRIES=5
    RETRIES=3
    ...

Siehe auch

Festlegen eines restriktiveren umask-Werts für normale Benutzer.

Wenn der umask-Standardwert 022 nicht ausreichend ist, gehen Sie folgendermaßen vor, um einen restriktiveren Wert festzulegen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Siehe auch

Weitere Informationen finden Sie hier:

Wichtige Ereignisse außer Anmelden/Abmelden prüfen

Führen Sie diese Schritte durch, um administrative Befehle, Angriffsversuche auf das System und andere in Ihrer Standortsicherheitsrichtlinie angegebenen wichtige Ereignisse zu prüfen.


Hinweis - Die Beispiele in dieser Anweisung erfüllen möglicherweise nicht die Anforderungen Ihrer Sicherheitsrichtlinie.


Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

  1. Prüfen Sie alle Fälle, in denen privilegierte Befehle durch Benutzer und Rollen verwendet wurden.

    Fügen Sie den Vorauswahlmasken aller Benutzer und Rollen das Prüfereignis AUE_PFEXEC hinzu.

    # usermod -K audit_flags=lo,ps:no username
    # rolemod -K audit_flags=lo,ps:no rolename
  2. Zeichnen Sie die Argumente für Prüfbefehle auf.
    # auditconfig -setpolicy +argv
  3. Zeichnen Sie die Umgebung auf, in der Prüfbefehle ausgeführt werden.
    # auditconfig -setpolicy +arge

Siehe auch

lo-Ereignisse in Echtzeit überwachen.

Führen Sie diese Schritte zum Aktivieren des audit_syslog-Plug-ins durch, um Ereignisse in Echtzeit zu überwachen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen, um die Datei syslog.conf zu ändern. Für die weiteren Schritte muss Ihnen das Rechteprofil "Audit Configuration" zugewiesen sein. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

  1. Senden Sie die lo-Klasse an das audit_syslog-Plug-in, und aktivieren Sie das Plug-in.
    # auditconfig -setplugin audit_syslog active p_flags=lo
  2. Prüfen Sie, welche system-log-Serviceinstanz online ist.
    # svcs system-log
    STATE          STIME    FMRI
    disabled       13:11:55 svc:/system/system-log:rsyslog
    online         13:13:27 svc:/system/system-log:default

    Tipp - Wenn die rsyslog-Serviceinstanz online ist, ändern Sie die rsyslog.conf-Datei.


  3. Fügen Sie den Eintrag audit.notice zur Datei syslog.conf hinzu.

    Der Standardeintrag enthält den Speicherort der Protokolldatei.

    # cat /etc/syslog.conf
    …
    audit.notice       /var/adm/auditlog
  4. Erstellen Sie die Protokolldatei.
    # touch /var/adm/auditlog
  5. Aktualisieren Sie die Konfigurationsinformationen für den system-log-Service.
    # svcadm refresh system-log:default

    Hinweis - Aktualisieren Sie die system-log:rsyslog-Serviceinstanz, wenn der rsyslog-Service online ist.


  6. Aktualisieren Sie den Prüfservice.

    Bei Aktualisierung überträgt der Prüfservice die Änderungen an das Prüf-Plug-in.

    # audit -s

Siehe auch

Nicht benötigter Basisberechtigungen von Benutzern entfernen

Unter bestimmten Umständen können bis zu drei Basisberechtigungen aus einem Basissatz für normale Benutzer entfernt werden.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

  1. Benutzer sollen eine Datei, die sie nicht besitzen, nicht verlinken können.
    # usermod -K 'defaultpriv=basic,!file_link_any' user
  2. Benutzer sollen keine Prozesse untersuchen können, die sie nicht besitzen.
    # usermod -K 'defaultpriv=basic,!proc_info' user
  3. Benutzer sollen keine zweite Sitzung neben der aktuellen starten können, z. B. eine ssh-Sitzung.
    # usermod -K 'defaultpriv=basic,!proc_session' user
  4. Entfernen aller drei Basisberechtigungen aus einem Basissatz für normale Benutzer
    # usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user

Siehe auch

Weitere Informationen finden Sie in Kapitel 8, Using Roles and Privileges (Overview) in Oracle Solaris 11.1 Administration: Security Services und auf der Manpage privileges(5).