Navigationslinks überspringen | |
Druckansicht beenden | |
Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11.1 Information Library (Deutsch) |
1. Übersicht über die Oracle Solaris-Sicherheitsfunktionen
2. Konfigurieren der Oracle Solaris-Sicherheitsfunktionen
Installieren von Oracle Solaris
Nicht erforderliche Services deaktivieren
Energieverwaltungsfunktion für Benutzer entfernen
Sicherheitsmeldung zu allen Bannerdateien hinzufügen
Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen
Striktere Passwortbeschränkungen festlegen
Kontosperre für normale Benutzer festlegen
Festlegen eines restriktiveren umask-Werts für normale Benutzer.
Wichtige Ereignisse außer Anmelden/Abmelden prüfen
lo-Ereignisse in Echtzeit überwachen.
Nicht benötigter Basisberechtigungen von Benutzern entfernen
Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden.
Schutz von Dateisystemen und Dateien
Die Größe des tmpfs-Dateisystems beschränken
Schutz von Anwendungen und Services
Erstellen von Zonen für die Aufnahme wichtiger Anwendungen
Konfigurieren von IPsec und IKE
Hinzufügen von SMF zu einem veralteten Service
Erstellen eines BART-Schnappschusses des Systems
Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit
Konfiguration von Trusted Extensions
Konfigurieren von Labeled IPsec
3. Überwachen und Verwalten der Oracle Solaris-Sicherheitsfunktionen
Nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann zu diesem Zeitpunkt auf das System zugreifen. Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen, bevor sich normale Benutzer anmelden können.
|
Führen Sie diese Schritte durch, wenn die Standardwerte nicht den Sicherheitsbestimmungen Ihres Standorts entsprechen. Die Schritte richten sich nach der Liste der Einträge in der Datei /etc/default/passwd.
Bevor Sie beginnen
Vergewissern Sie sich vor Änderung der Standardwerte, dass sich dadurch alle Benutzer bei ihren Anwendungen und anderen Systemen im Netzwerk authentifizieren können.
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
Siehe auch
Eine Liste von Variablen zur Erstellung sicherer Passwörter finden Sie in der Datei /etc/default/passwd. Die Standardwerte sind in der Datei angegeben.
Informationen zu den nach der Installation wirksamen Passwortbeschränkungen finden Sie in Eingeschränkter und überwachter Systemzugriff.
Manpage passwd(1)
Führen Sie diese Schritte durch, um normale Benutzerkonten nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen zu sperren.
Hinweis - Legen Sie keine Kontosperre für Benutzer fest, die Rollen übernehmen können, da dadurch die Rolle gesperrt werden kann.
Bevor Sie beginnen
Legen Sie keinen systemweiten Schutz fest auf einem System, das Sie für administrative Aufgaben nutzen.
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
Siehe auch
Eine Beschreibung der Sicherheitsattribute für Benutzer und Rollen finden Sie in Kapitel 10, Security Attributes in Oracle Solaris (Reference) in Oracle Solaris 11.1 Administration: Security Services.
Manpages policy.conf(4) und user_attr(4)
Wenn der umask-Standardwert 022 nicht ausreichend ist, gehen Sie folgendermaßen vor, um einen restriktiveren Wert festzulegen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
Oracle Solaris bietet Administratoren Verzeichnisse zur benutzerdefinierten Anpassung der Shell-Standardwerte des Benutzers. In diesen Schemaverzeichnissen befinden sich u. a. die Dateien .profile , .bashrc und .kshrc.
Wählen Sie einen der folgenden Werte:
umask 026 – bietet maßvollen Dateischutz
(741) – r für Gruppe, x für andere
umask 027 – bietet hohen Dateischutz
(740) – r für Gruppe, kein Zugriff für andere Personen
umask 077 – bietet kompletten Dateischutz
(700) – kein Zugriff für Gruppen oder andere Personen
Siehe auch
Weitere Informationen finden Sie hier:
Default umask Value in Oracle Solaris 11.1 Administration: Security Services
Manpages usermod(1M) und umask(1)
Führen Sie diese Schritte durch, um administrative Befehle, Angriffsversuche auf das System und andere in Ihrer Standortsicherheitsrichtlinie angegebenen wichtige Ereignisse zu prüfen.
Hinweis - Die Beispiele in dieser Anweisung erfüllen möglicherweise nicht die Anforderungen Ihrer Sicherheitsrichtlinie.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
Fügen Sie den Vorauswahlmasken aller Benutzer und Rollen das Prüfereignis AUE_PFEXEC hinzu.
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
Siehe auch
Informationen zum Thema Prüfungsrichtlinien finden Sie unter Audit Policy in Oracle Solaris 11.1 Administration: Security Services.
Beispiele für das Festlegen von Prüf-Flags finden Sie unter Configuring the Audit Service (Tasks) in Oracle Solaris 11.1 Administration: Security Services und unter Troubleshooting the Audit Service (Tasks) in Oracle Solaris 11.1 Administration: Security Services.
Informationen zum Konfigurieren von Prüfungen erhalten Sie auf der Manpage auditconfig(1M).
Führen Sie diese Schritte zum Aktivieren des audit_syslog-Plug-ins durch, um Ereignisse in Echtzeit zu überwachen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen, um die Datei syslog.conf zu ändern. Für die weiteren Schritte muss Ihnen das Rechteprofil "Audit Configuration" zugewiesen sein. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
# auditconfig -setplugin audit_syslog active p_flags=lo
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
Tipp - Wenn die rsyslog-Serviceinstanz online ist, ändern Sie die rsyslog.conf-Datei.
Der Standardeintrag enthält den Speicherort der Protokolldatei.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system-log:default
Hinweis - Aktualisieren Sie die system-log:rsyslog-Serviceinstanz, wenn der rsyslog-Service online ist.
Bei Aktualisierung überträgt der Prüfservice die Änderungen an das Prüf-Plug-in.
# audit -s
Siehe auch
Ein Beispiel für das Senden von Prüfzusammenfassungen an ein anderes System finden Sie unter How to Configure syslog Audit Logs in Oracle Solaris 11.1 Administration: Security Services.
Die durch den Prüfservice generierte Ausgabe kann sehr umfangreich sein. Informationen zum Verwalten der Protokolle finden Sie auf der Manpage logadm(1M).
Informationen zum Überwachen der Ausgabe finden Sie in Überwachen von audit_syslog-Prüfzusammenfassungen.
Unter bestimmten Umständen können bis zu drei Basisberechtigungen aus einem Basissatz für normale Benutzer entfernt werden.
file_link_any – Ein Prozess kann dadurch Hard Links zu Dateien erstellen, deren Eigentümer eine UID ist, die sich von der tatsächlichen UID des Prozesses unterscheidet.
proc_info – Ein Prozess kann den Status anderer Prozesse untersuchen, an die er kein Signal sendet. Prozesse, die nicht untersucht werden können, werden in /proc nicht angezeigt und scheinen nicht vorhanden zu sein.
proc_session – Ein Prozess kann außerhalb seiner Sitzung Signale senden oder Prozesse verfolgen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Siehe auch
Weitere Informationen finden Sie in Kapitel 8, Using Roles and Privileges (Overview) in Oracle Solaris 11.1 Administration: Security Services und auf der Manpage privileges(5).