Ignora collegamenti di spostamento | |
Esci da visualizzazione stampa | |
Linee guida per la sicurezza di Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Italiano) |
1. Panoramica della sicurezza di Oracle Solaris
2. Configurazione della sicurezza di Oracle Solaris
Installazione del SO Oracle Solaris
Come disattivare i servizi non necessari
Come disattivare la gestione dell'alimentazione del sistema da parte degli utenti
Come inserire un messaggio di sicurezza nei file banner
Come inserire un messaggio di sicurezza nella schermata di login del desktop
Come impostare password più complesse
Come impostare un blocco dell'account per gli utenti regolari
Come impostare un valore umask più restrittivo per gli utenti regolari
Come eseguire l'audit di eventi rilevanti oltre a Login/Logout
Come consentire la visualizzazione di un messaggio di sicurezza a utenti ssh
Protezione di file system e file
Come limitare le dimensioni del file system tmpfs
Protezione e modifica dei file
Sicurezza di applicazioni e servizi
Creazione di zone per contenere applicazioni critiche
Gestione delle risorse in zone
Aggiunta di SMF a un servizio legacy
Creazione di un'istantanea BART del sistema
Aggiunta di sicurezza multilivello (servizi con etichetta)
Configurazione di Trusted Extensions
Configurazione di IPsec con etichette
3. Monitoraggio e manutenzione della sicurezza di Oracle Solaris
A. Bibliografia per il documento sulla sicurezza in Oracle Solaris
Al termine della procedura, solo l'utente iniziale che può assumere il ruolo root ha la possibilità di accedere al sistema. È consigliabile eseguire le seguenti attività nell'ordine indicato, prima che gli utenti con ruoli regolari possano eseguire il login.
|
Utilizzare questa procedura se le impostazioni predefinite non soddisfano i requisiti di sicurezza del sito. I passaggi seguono l'elenco di voci nel file /etc/deault/passwd .
Prima di cominciare
Prima di modificare le impostazioni predefinite, verificare che tali modifiche consentano a tutti gli utenti di autenticarsi nelle rispettive applicazioni e negli altri sistemi presenti in rete.
È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
Vedere anche
Per l'elenco di variabili che costituiscono i limiti di creazione della password, vedere il file /etc/default/passwd. Nello stesso file sono indicate anche le impostazioni predefinite.
Per i criteri della password in uso dopo l'installazione, vedere Accesso al sistema limitato e monitorato.
Pagina man passwd(1)
Utilizzare questa procedura per bloccare gli account degli utenti regolari dopo un certo numero di tentativi di login non riusciti.
Nota - Non impostare blocchi dell'account per gli utenti che possono assumere determinati ruoli al fine di non bloccare il ruolo stesso.
Prima di cominciare
Non impostare questa protezione a livello di sistema se quest'ultimo viene utilizzato per attività amministrative.
È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
Vedere anche
Per informazioni sugli attributi di sicurezza di utente e ruolo, vedere Capitolo 10, Security Attributes in Oracle Solaris (Reference) in Oracle Solaris 11.1 Administration: Security Services.
Le pagine man selezionate includono policy.conf(4) e user_attr(4).
Se il valore predefinito umask, 022, non è sufficientemente restrittivo, impostare una maschera più restrittiva come descritto di seguito.
Prima di cominciare
È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
Oracle Solaris fornisce directory che gli amministratori possono utilizzare per personalizzare le impostazioni predefinite della shell utente. Tali directoy skeleton includono file quali .profile , .bashrc e .kshrc.
Scegliere uno dei valori seguenti:
umask 026: fornisce una protezione moderata del file
(741) – r per i gruppi, x per altri
umask 027 – Fornisce una protezione rigida
(740) – r per i gruppi, nessun accesso per altri
umask 077: fornisce una protezione completa del file
(700): nessun accesso per gruppo o altri
Vedere anche
Per maggiori informazioni, vedere:
Default umask Value in Oracle Solaris 11.1 Administration: Security Services
Le pagine man selezionate includono usermod(1M) e umask(1).
Utilizzare questa procedura per l'audit dei comandi amministrativi, per i tentativi di intrusione nel sistema e per altri eventi rilevanti come specificato dai criteri di sicurezza del sito.
Nota - Gli esempi riportati nella procedura potrebbero non essere sufficienti a soddisfare i criteri di sicurezza.
Prima di cominciare
È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
Per tutti gli utenti e i ruoli, aggiungere l'evento di audit AUE_PFEXEC nella relativa maschera di preselezione.
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
Vedere anche
Per informazioni sul criterio di audit, vedere Audit Policy in Oracle Solaris 11.1 Administration: Security Services .
Per esempi sull'impostazione di flag dell'audit, vedere Configuring the Audit Service (Tasks) in Oracle Solaris 11.1 Administration: Security Services e Troubleshooting the Audit Service (Tasks) in Oracle Solaris 11.1 Administration: Security Services .
Per configurare l'auditing, vedere la pagina man auditconfig(1M).
Utilizzare questa procedura per attivare il plugin audit__syslog per eventi che si desidera monitorare sin dalla loro comparsa.
Prima di cominciare
È necessario utilizzare il ruolo root per modificare il file syslog.conf. Per eseguire ulteriori passaggi è necessario disporre del profilo di diritti di configurazione audit (Audit Configuration). Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
# auditconfig -setplugin audit_syslog active p_flags=lo
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
Suggerimento - Se l'istanza del servizio rsyslog è online, modificare il file rsyslog.conf.
La voce predefinita include la posizione del file di log.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system-log:default
Nota - Aggiornare l'istanza del servizio system-log:rsyslog se il servizio rsyslog è online.
Il servizio di audit legge le modifiche del plugin di audit dopo l'aggiornamento.
# audit -s
Vedere anche
Per inviare riepiloghi di audit a un altro sistema, vedere ad esempio How to Configure syslog Audit Logs in Oracle Solaris 11.1 Administration: Security Services .
Il servizio di audit può generare output di grandi dimensioni. Per gestire i log, vedere la pagina man logadm(1M).
Per controllare l'output, vedere Monitoraggio dei riepiloghi di audit audit__syslog.
In alcuni casi, almeno uno dei tre privilegi di base può essere rimosso da un set di base di un utente regolare.
file_link_any: consente di eseguire un processo per creare collegamenti hard a file il cui proprietario ha un UID diverso dall'UID effettivo del processo.
proc_fork: consente a un processo di esaminare lo stato di altri processi ai quali non invia segnali. I processi che non possono essere esaminati non vengono visualizzati in /proc e risultano inesistenti.
proc_session: consente a un processo di inviare segnali o processi di tracing al di fuori della propria sessione.
Prima di cominciare
È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Vedere anche
Per maggiori informazioni, vedere Capitolo 8, Using Roles and Privileges (Overview) in Oracle Solaris 11.1 Administration: Security Services e la pagina man privileges(5).