JavaScript is required to for searching.
Navigationslinks ├╝berspringen
Druckansicht beenden
Oracle Solaris 11 - Sicherheitsbestimmungen     Oracle Solaris 11.1 Information Library (Deutsch)
search filter icon
search icon

Dokumentinformationen

Vorwort

1.  Übersicht über die Oracle Solaris-Sicherheitsfunktionen

Oracle Solaris -Sicherheitsschutzmechanismen

Oracle Solaris-Sicherheitstechnologien

Zufällige Anordnung des Adressraumlayouts

Prüfservice

Überprüfung der BART-Datei

Kryptografische Services

Dateiberechtigungen und Zugriffskontrolleinträge

Paketfilterung

IP Filter

TCP-Wrapper

Passwörter und Passwortbeschränkungen

Pluggable Authentication Module

Berechtigungen in Oracle Solaris

Remote-Zugriff

IPsec und IKE

Secure Shell

Kerberos-Service

Role-Based Access Control

Service Management Facility

ZFS-Dateisystem von Oracle Solaris

Oracle Solaris Zones

Trusted Extensions

Oracle Solaris 11-Standardsicherheitseinstellungen

Eingeschränkter und überwachter Systemzugriff

Kernel-, Datei- und Desktopschutz

Zusätzliche Sicherheitsfunktionen

Oracle Solaris 11 Sicherheitsevaluierung

Standortsicherheitsrichtlinien und deren Umsetzung

2.  Konfigurieren der Oracle Solaris-Sicherheitsfunktionen

3.  Überwachen und Verwalten der Oracle Solaris-Sicherheitsfunktionen

A.  Literaturverzeichnis zur Oracle Solaris-Sicherheit

Oracle Solaris 11-Standardsicherheitseinstellungen

Nach der Installation schützt Oracle Solaris u. a. das System vor Angriffen und überwacht Anmeldeversuche.

Eingeschränkter und überwachter Systemzugriff

Der erste Benutzer und die root -Rolle – Eine Anmeldung ist mit dem Konto des ersten Benutzers über die Konsole möglich. Die root-Rolle wird diesem Konto zugewiesen. Die Passwörter für beide Konten sind zunächst identisch.

Passwortanforderungen – Benutzerpasswörter müssen mindestens sechs Zeichen umfassen und mindestens zwei Buchstaben und ein nicht alphabetisches Zeichen enthalten. Bei Passwörtern wird der Hash-Algorithmus SHA256 angewendet. Bei Passwortänderungen müssen alle Benutzer, auch Benutzer mit der root-Rolle, diese Anforderungen einhalten.

Eingeschränkter Zugriff auf das Netzwerk – Nach der Installation ist das System vor Angriffen über das Netzwerk geschützt. Die Remote-Anmeldung des ersten Benutzers wird über eine authentifizierte, verschlüsselte Verbindung mithilfe des ssh-Protokolls zugelassen. Nur dieses Netzwerkprotokoll akzeptiert eingehende Pakete. Der ssh-Schlüssel wird vom Algorithmus AES128 umgeben. Durch den verschlüsselten, authentifizierten Zugriff auf das System sind Benutzer vor Abfang- und Spoofing-Angriffen geschützt und müssen keine Änderungen vornehmen.

Protokollierte Anmeldeversuche – Der Prüfservice wird für alle login/logout-Ereignisse (Anmeldung, Abmeldung, Benutzerwechsel, Starten und Beenden einer ssh-Sitzung, Bildschirmsperre) und für alle nicht zuweisbaren (fehlgeschlagenen) Anmeldeversuche aktiviert. Da mit der root-Rolle keine Anmeldung möglich ist, kann der Name des Benutzers, der die root-Rolle übernommen hat, im Prüfpfad festgestellt werden. Der erste Benutzer kann die Prüfprotokolle aufgrund eines Rechts einsehen, das durch das Rechteprofil "System Administrator" gewährt wird.

Kernel-, Datei- und Desktopschutz

Nachdem der erste Benutzer angemeldet ist, sind Kernel, Dateisysteme und Desktopanwendungen durch geringste Berechtigungen, Zugriffsrechte und RBAC geschützt.

Kernel-Schutz – Viele Dämonen und administrative Befehle werden nur die für die erfolgreiche Ausführung erforderlichen Berechtigungen zugewiesen. Viele Dämonen werden über spezielle Verwaltungskonten ausgeführt, die nicht über root (UID=0)-Berechtigungen verfügen, damit sie nicht aufgrund eines Hijacking-Angriffs andere Aufgaben ausführen. Eine Anmeldung mit diesen speziellen Verwaltungskonten ist nicht möglich. Geräte sind durch Berechtigungen geschützt.

Dateisysteme – Alle Dateisysteme sind standardmäßig ZFS-Dateisysteme. Da der umask-Wert des Benutzers 022 beträgt, kann eine Datei oder ein Verzeichnis, die der Benutzer erstellt hat, nur durch ihn selbst geändert werden. Mitglieder der Gruppe des Benutzers sind berechtigt, das Verzeichnis zu lesen und zu durchsuchen sowie die Datei zu lesen. Angemeldete Benutzer, die nicht zur Gruppe des Benutzers gehören, können das Verzeichnis auflisten und die Datei lesen. Die Verzeichnisberechtigungen sind drwxr-xr-x (755). Die Dateiberechtigungen sind -rw-r--r-- (644).

Desktopapplets – Desktopapplets werden durch RBAC geschützt. Beispiel: Nur der erste Benutzer oder der Benutzer mit der root-Rolle können mithilfe des Package Manager-Applets neue Pakete installieren. Der Package Manager wird normalen Benutzern nicht angezeigt, die nicht zur Nutzung des Applets berechtigt sind.

Zusätzliche Sicherheitsfunktionen

Oracle Solaris 11 bietet Sicherheitsfunktionen, die für die Konfiguration Ihrer Systeme verwendet werden können und die Ihren Standortsicherheitsanforderungen entsprechen.