Proteção do sistema

As tarefas a seguir têm melhores resultados quando executadas em ordem sequencial. Nesse ponto, o SO do Oracle Solaris já está instalado e apenas o usuário inicial, que pode assumir a função root, possui acesso ao sistema.

Como verificar pacotes

Logo após a instalação, valide a instalação verificando os pacotes.

Antes de começar

Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

1. Execute o comando pkg verify.

   Para manter um registro, envie a saída do comando para um arquivo.

   # pkg verify > /var/pkgverifylog

2. Verifique se há erros no registro.
3. Se encontrar erros, reinstale a partir da mídia ou corrija-os.

Consulte também

Para obter mais informações, consulte as páginas man pkg(1) e pkg(5). As páginas man contêm exemplos de uso do comando pkg verify.

Como desativar serviços desnecessários

Siga este procedimento para desativar serviços desnecessários, levando em conta a finalidade do sistema.

Antes de começar

Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

1. Liste os serviços on-line.

   # svcs | grep network
   online         Sep_07   svc:/network/loopback:default
   ...
   online         Sep_07   svc:/network/ssh:default

2. Desative os serviços que não são necessários ao sistema.

   Por exemplo, se o sistema não for um servidor NFS nem um servidor Web e os serviços estiverem on-line, desative-os.

   # svcadm disable svc:/network/nfs/server:default
   # svcadm disable svc:/network/http:apache22

Consulte também

Para obter mais informações, consulte Capítulo 1, Managing Services (Overview), no Managing Services and Faults in Oracle Solaris 11.1 e a página man svcs(1).

Como remover a capacidade de gerenciamento de energia dos usuários

Siga este procedimento para impedir que os usuários desse sistema o suspendam ou desliguem.

Antes de começar

Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

1. Revise o conteúdo do perfil de direitos Usuário do console.

   % getent prof_attr | grep Console
   Console User:RO::Manage System as the Console User:
   profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
   Brightness,CPU Power Management,Network Autoconf User;
   auths=solaris.system.shutdown;help=RtConsUser.html

2. Crie um perfil de direitos que inclua todos os direitos contidos no perfil Usuário do console que os usuários deverão manter.

   Para obter instruções, consulte How to Create a Rights Profile no Oracle Solaris 11.1 Administration: Security Services.

3. Comente o perfil de direitos Usuário do console no arquivo /etc/security/policy.conf .

   #CONSOLE_USER=Console User

4. Atribua aos usuários o perfil de direitos criado na Etapa 2.

   # usermod -P +new-profile username

Consulte também

Para obter mais informações, consulte policy.conf File no Oracle Solaris 11.1 Administration: Security Services e as páginas man policy.conf(4) e usermod(1M).

Como colocar uma mensagem de segurança em arquivos de banner

Siga esse procedimento para criar mensagens de segurança em dois arquivos de banner que reflitam a política de segurança do seu site. O conteúdo desses arquivos de banner é exibido no login local e remoto.

Antes de começar

Você deverá se tornar um administrador com o perfil de direitos para Editar mensagens do administrador. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

1. Adicione uma mensagem de segurança ao arquivo /etc/issue.

   $ pfedit /etc/issue
         ALERT   ALERT   ALERT   ALERT   ALERT
   
   This machine is available to authorized users only.
   
   If you are an authorized user, continue. 
   
   Your actions are monitored, and can be recorded.

   O comando login exibe o conteúdo de /etc/issue antes da autenticação, da mesma forma que os serviços telnet e FTP. Para permitir que outros aplicativos usem esse arquivo, consulte Como exibir uma mensagem de segurança para usuários ssh e Como colocar uma mensagem de segurança na tela de login da área de trabalho.

   Para obter mais informações, consulte as páginas man issue(4) e pfedit(1M).

2. Adicione uma mensagem de segurança ao arquivo /etc/motd.

   $ pfedit /etc/motd
   This system serves authorized users only. Activity is monitored and reported.

   No Oracle Solaris, o shell inicial do usuário exibe o conteúdo do arquivo /etc/motd.

Como colocar uma mensagem de segurança na tela de login da área de trabalho

Escolha um método para criar uma mensagem de segurança a ser exibida aos usuários durante o login.

Para obter mais informações, clique em Sistema → menu Ajuda na área de trabalho para acessar o Navegador da Ajuda do GNOME. Você também pode usar o comando yelp. Os scripts de login da área de trabalho são discutidos na seção GDM Login Scripts and Session Files da página man gdm(1M).

Antes de começar

Para criar um arquivo, você deverá assumir a função root. Para modificar um arquivo existente, você deverá se tornar um administrador com a autorização solaris.admin.edit/path-to-existing-file.

• Coloque uma mensagem de segurança na tela de login da área de trabalho usando uma destas três opções:

  As opções que criam uma caixa de diálogo podem usar a mensagem de segurança no arquivo /etc/issue da Etapa 1 de Como colocar uma mensagem de segurança em arquivos de banner.

  • OPÇÃO 1: Crie um arquivo de área de trabalho que exiba a mensagem de segurança em uma caixa de diálogo durante o login.

    # pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop
    [Desktop Entry]
    Type=Application
    Name=Banner Dialog
    Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
    --title="Security Message" \
    --filename=/etc/issue
    OnlyShowIn=GNOME;
    X-GNOME-Autostart-Phase=Application

    Depois de ser autenticado na janela de login, o usuário deverá fechar a caixa de diálogo para acessar o espaço de trabalho. Para obter opções para o comando zenity, consulte a página man zenity(1).

  • OPÇÃO 2: Modifique um script de inicialização GDM para exibir a mensagem de segurança em uma caixa de diálogo.

    O diretório /etc/gdm contém três scripts de inicialização que exibem a mensagem de segurança antes, durante ou imediatamente após o login na área de trabalho. Esses scripts também estão disponíveis na release Oracle Solaris 10.

    • Exiba a mensagem de segurança antes que a tela de login apareça.

      $ pfedit /etc/gdm/Init/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message"  --filename=/etc/issue

      Para obter informações sobre a edição de arquivos do sistema como um usuário não root, consulte a página man pfedit(1M).

    • Exiba a mensagem de segurança no espaço de trabalho inicial do usuário após a autenticação.

      $ pfedit /etc/gdm/PreSession/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message"  --filename=/etc/issue

      ---

      Observação - A caixa de diálogo pode ser coberta por janelas no espaço de trabalho do usuário.

      ---

  • OPÇÃO 3: Modifique a janela de login para exibir a mensagem de segurança acima do campo de entrada.

    A janela de login expande para ajustar sua mensagem. Este método não aponta para o arquivo /etc/issue. Você deve digitar o texto na GUI.

    ---

    Observação - A janela de login, gdm-greeter-login-window.ui, é sobregravada pelos comandos pkg fix e pkg update. Para preservar suas alterações, copie o arquivo para um diretório de arquivos de configuração e mescle suas alterações com o novo arquivo após fazer upgrade do sistema. Para obter mais informações, consulte a página man pkg(5).

    ---

    1. Altere o diretório para a interface de usuário da janela de login.

       # cd /usr/share/gdm

    2. (Opcional) Salve uma cópia da Interface de Usuário da janela de login original.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig

    3. Adicione um rótulo à janela de login usando o designer de interface do GNOME Toolkit.

       O programa glade-3 abre o designer de interface do GTK+. Você digita a mensagem de segurança em um rótulo exibido acima do campo de entrada do usuário.

       # /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui

       Para verificar o guia do designer de interface, clique em Desenvolvimento no Navegador da Ajuda do GNOME. A página man glade-3(1) está listada em Aplicativos na Páginas Man.

    4. (Opcional) Salve uma cópia da Interface de Usuário da janela de login modificada.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site

Exemplo 2-1 Criando uma Mensagem de Aviso Curta no Login da Área de Trabalho

Neste exemplo, o administrador digita uma mensagem curta como um argumento para o comando zenity no arquivo de área de trabalho. O administrador também usa a opção --warning, que exibe um ícone de aviso com a mensagem.

# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application