Ignorar Links de Navegao | |
Sair do Modo de Exibio de Impresso | |
Diretrizes de Segurança do Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Português (Brasil)) |
1. Visão geral da segurança do Oracle Solaris
2. Configuração da segurança do Oracle Solaris
Instalando o SO Oracle Solaris
Como desativar serviços desnecessários
Como remover a capacidade de gerenciamento de energia dos usuários
Como colocar uma mensagem de segurança em arquivos de banner
Como colocar uma mensagem de segurança na tela de login da área de trabalho
Como definir restrições de senha mais fortes
Como definir o bloqueio de contas para usuários regulares
Como definir um valor umask mais restritivo para usuários regulares
Como auditar eventos significativos além de login/logout
Como monitorar os eventos lo em tempo real
Como remover privilégios básicos desnecessários de usuários
Como exibir uma mensagem de segurança para usuários ssh
Proteção dos sistemas de arquivos e arquivos
Como limitar o tamanho do sistema de arquivos tmpfs
Proteção e modificação de arquivos
Proteção de aplicativos e serviços
Criação de zonas para conter aplicativos críticos
Gerenciamento de recursos em zonas
Configuração do recurso Filtro IP
Inclusão de SMF em um serviço herdado
Criação de um instantâneo BART do sistema
Inclusão de segurança multinível (rotulada)
Configuração do Trusted Extensions
Configuração de IPsec rotulada
3. Monitoramento e manutenção da segurança do Oracle Solaris
As tarefas a seguir têm melhores resultados quando executadas em ordem sequencial. Nesse ponto, o SO do Oracle Solaris já está instalado e apenas o usuário inicial, que pode assumir a função root, possui acesso ao sistema.
|
Logo após a instalação, valide a instalação verificando os pacotes.
Antes de começar
Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
Para manter um registro, envie a saída do comando para um arquivo.
# pkg verify > /var/pkgverifylog
Consulte também
Para obter mais informações, consulte as páginas man pkg(1) e pkg(5). As páginas man contêm exemplos de uso do comando pkg verify.
Siga este procedimento para desativar serviços desnecessários, levando em conta a finalidade do sistema.
Antes de começar
Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
Por exemplo, se o sistema não for um servidor NFS nem um servidor Web e os serviços estiverem on-line, desative-os.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
Consulte também
Para obter mais informações, consulte Capítulo 1, Managing Services (Overview), no Managing Services and Faults in Oracle Solaris 11.1 e a página man svcs(1).
Siga este procedimento para impedir que os usuários desse sistema o suspendam ou desliguem.
Antes de começar
Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
Para obter instruções, consulte How to Create a Rights Profile no Oracle Solaris 11.1 Administration: Security Services.
#CONSOLE_USER=Console User
# usermod -P +new-profile username
Consulte também
Para obter mais informações, consulte policy.conf File no Oracle Solaris 11.1 Administration: Security Services e as páginas man policy.conf(4) e usermod(1M).
Siga esse procedimento para criar mensagens de segurança em dois arquivos de banner que reflitam a política de segurança do seu site. O conteúdo desses arquivos de banner é exibido no login local e remoto.
Observação - As mensagens de exemplo contidas neste procedimento não atendem aos requisitos do governo dos Estados Unidos e, provavelmente, não atenderão à sua política de segurança. A prática recomendada é consultar o conselho jurídico da sua empresa sobre o conteúdo da mensagem de segurança.
Antes de começar
Você deverá se tornar um administrador com o perfil de direitos para Editar mensagens do administrador. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
$ pfedit /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
O comando login exibe o conteúdo de /etc/issue antes da autenticação, da mesma forma que os serviços telnet e FTP. Para permitir que outros aplicativos usem esse arquivo, consulte Como exibir uma mensagem de segurança para usuários ssh e Como colocar uma mensagem de segurança na tela de login da área de trabalho.
Para obter mais informações, consulte as páginas man issue(4) e pfedit(1M).
$ pfedit /etc/motd This system serves authorized users only. Activity is monitored and reported.
No Oracle Solaris, o shell inicial do usuário exibe o conteúdo do arquivo /etc/motd.
Escolha um método para criar uma mensagem de segurança a ser exibida aos usuários durante o login.
Para obter mais informações, clique em Sistema → menu Ajuda na área de trabalho para acessar o Navegador da Ajuda do GNOME. Você também pode usar o comando yelp. Os scripts de login da área de trabalho são discutidos na seção GDM Login Scripts and Session Files da página man gdm(1M).
Observação - A mensagem de exemplo contida neste procedimento não atende aos requisitos do governo dos Estados Unidos e, provavelmente, não atenderá à sua política de segurança. A prática recomendada é consultar o conselho jurídico da sua empresa sobre o conteúdo da mensagem de segurança.
Antes de começar
Para criar um arquivo, você deverá assumir a função root. Para modificar um arquivo existente, você deverá se tornar um administrador com a autorização solaris.admin.edit/path-to-existing-file.
As opções que criam uma caixa de diálogo podem usar a mensagem de segurança no arquivo /etc/issue da Etapa 1 de Como colocar uma mensagem de segurança em arquivos de banner.
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
Depois de ser autenticado na janela de login, o usuário deverá fechar a caixa de diálogo para acessar o espaço de trabalho. Para obter opções para o comando zenity, consulte a página man zenity(1).
O diretório /etc/gdm contém três scripts de inicialização que exibem a mensagem de segurança antes, durante ou imediatamente após o login na área de trabalho. Esses scripts também estão disponíveis na release Oracle Solaris 10.
$ pfedit /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Para obter informações sobre a edição de arquivos do sistema como um usuário não root, consulte a página man pfedit(1M).
$ pfedit /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Observação - A caixa de diálogo pode ser coberta por janelas no espaço de trabalho do usuário.
A janela de login expande para ajustar sua mensagem. Este método não aponta para o arquivo /etc/issue. Você deve digitar o texto na GUI.
Observação - A janela de login, gdm-greeter-login-window.ui, é sobregravada pelos comandos pkg fix e pkg update. Para preservar suas alterações, copie o arquivo para um diretório de arquivos de configuração e mescle suas alterações com o novo arquivo após fazer upgrade do sistema. Para obter mais informações, consulte a página man pkg(5).
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
O programa glade-3 abre o designer de interface do GTK+. Você digita a mensagem de segurança em um rótulo exibido acima do campo de entrada do usuário.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
Para verificar o guia do designer de interface, clique em Desenvolvimento no Navegador da Ajuda do GNOME. A página man glade-3(1) está listada em Aplicativos na Páginas Man.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
Exemplo 2-1 Criando uma Mensagem de Aviso Curta no Login da Área de Trabalho
Neste exemplo, o administrador digita uma mensagem curta como um argumento para o comando zenity no arquivo de área de trabalho. O administrador também usa a opção --warning, que exibe um ícone de aviso com a mensagem.
# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application