| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
Verbesserungen der Rechnersicherheit in der Solaris 10-Version
Steuern des Zugriffs auf ein Computersystem
Gewährleisten physischer Sicherheit
Verwalten von Passwortinformationen
Steuern des Zugriffs auf Dateien
Steuern des Zugriffs auf Rechnerressourcen
Beschränken und Überwachen von Superuser-Zugriffen
Konfigurieren von rollenbasierter Zugriffssteuerung zum Ersetzen des Superusers
Verhindern von unbeabsichtigten Verwendungsfehlern bei Rechnerressourcen
Zuweisen einer eingeschränkten Shell zu Benutzern
Beschränken des Zugriffs auf Daten in Dateien
Beschränken von ausführbaren setuid-Dateien
Verwenden des Automated Security Enhancement Tool
Verwenden des Oracle Solaris Security Toolkit
Verwenden der Konfiguration "Secure by Default"
Verwenden von Ressourcenverwaltungsfunktionen
Verwenden von Oracle Solaris-Zonen
Überwachen der Verwendung von Rechnerressourcen
Überwachen von Dateiintegrität
Steuern von Zugriff auf Dateien
Schützen von Dateien durch Verschlüsselung
Verwenden von Zugriffssteuerungslisten
Gemeinsames Nutzen von Dateien auf Rechnern
Beschränken des root-Zugriffs auf gemeinsam genutzte Dateien
Netzwerksicherheitsmechanismen
Authentifizierung und Autorisierung für Remote-Zugriff
Verschlüsselung und Firewall-Systeme
Melden von Sicherheitsproblemen
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Oracle Solaris ist eine Mehrbenutzerumgebung. In einer Mehrbenutzerumgebung können alle beim System angemeldeten Benutzer die Dateien von anderen Benutzern lesen. Mit den entsprechenden Dateiberechtigungen können Benutzer auch die Dateien anderer Benutzer verwenden. Weitere Informationen finden Sie in Kapitel 6Steuern des Zugriffs auf Dateien (Aufgaben). Eine schrittweise Anleitung zum Einstellen geeigneter Dateiberechtigungen finden Sie unter Schützen von Dateien (Übersicht der Schritte).
Sie können eine Datei schützen, indem Sie festlegen, dass sie für andere Benutzer nicht verfügbar ist. Eine Datei mit der Berechtigung 600 kann nur von dem Eigentümer und dem Superuser gelesen werden. Ein Verzeichnis mit der Berechtigung 700 ist auf ähnliche Art nicht verfügbar. Personen, die Ihr Passwort oder das root-Passwort herausfinden, können auf diese Datei zugreifen. Bei jedem Backup der Systemdateien auf einem Offline-Datenträger wird die ansonsten unzugängliche Datei auf einem Sicherungsband gespeichert.
Das kryptografische Framework bietet die Befehle digest, mac und encrypt zum Schützen von Dateien. Weitere Informationen finden Sie in Kapitel 13Oracle Solaris Cryptographic Framework (Übersicht).
ACLs (Access Control Lists, Zugriffssteuerungslisten) bieten größere Kontrolle über Dateiberechtigungen. Sie fügen ACLs hinzu, wenn der traditionelle UNIX-Dateischutz nicht ausreicht. Traditioneller UNIX-Dateischutz bietet Lese-, Schreib- und Ausführungsberechtigungen für drei Benutzerklassen: Dateieigentümer, Dateigruppe und andere Benutzer. Mit ACLs kann die Dateisicherheit genauer bestimmt werden.
ACLs ermöglichen die Definition der folgenden Dateiberechtigungen:
Dateiberechtigungen für den Eigentümer
Dateiberechtigungen für die Gruppe des Eigentümers
Dateiberechtigungen für andere Benutzer, die sich nicht in der Gruppe des Eigentümers befinden
Dateiberechtigungen für bestimmte Benutzer
Dateiberechtigungen für bestimmte Gruppen
Standardberechtigungen für jede der oben stehenden Kategorien
Weitere Informationen zur Verwendung von ACLs finden Sie unter Schützen von UFS-Dateien mithilfe von Zugriffssteuerungslisten.
Ein Netzwerkdateiserver kann steuern, welche Dateien gemeinsam genutzt werden können. Außerdem kann er steuern, welche Clients Zugriff auf die Dateien haben und welche Art von Zugriff diesen Clients gewährt wird. Im Allgemeinen kann der Dateiserver Lese- und Schreibzugriff oder nur Lesezugriff auf einen oder alle Clients oder bestimmte Clients gewähren. Die Zugriffssteuerung wird angegeben, wenn Ressourcen mit dem Befehl share zur Verfügung gestellt werden.
In der Datei /etc/dfs/dfstab auf dem Dateiserver werden die Dateisysteme aufgelistet, die der Server Clients auf dem Netzwerk zur Verfügung stellt. Weitere Informationen zur gemeinsamen Nutzung von Dateisystemen finden Sie unter Automatische Freigabe von Dateisystemen in Systemverwaltungshandbuch: Netzwerkdienste.
Wenn Sie eine NFS-Freigabe auf einem ZFS-Dateisystem erstellen, wird das Dateisystem dauerhaft zur gemeinsamen Nutzung freigegeben, bis Sie dies aufheben. SMF implementiert die gemeinsame Nutzung automatisch, wenn das System neu gestartet wird. Weitere Informationen finden Sie in Kapitel 3, Unterschiede zwischen Oracle Solaris ZFS und herkömmlichen Dateisystemen in Oracle Solaris ZFS-Administrationshandbuch.
Im Allgemeinen hat ein Superuser keinen root-Zugriff auf gemeinsam genutzte Dateisysteme in einem Netzwerk. Das NFS-System verhindert root-Zugriff auf eingehängte Dateisysteme, indem der Anforderer in den Benutzer nobody mit der Benutzer-ID 60001 umgewandelt wird. Der Benutzer nobody hat die gleichen Zugriffsrechte wie die Öffentlichkeit. Der Benutzer nobody hat die Zugriffsrechte eines Benutzers ohne Berechtigungsnachweise. Wenn die Öffentlichkeit beispielsweise nur über eine Ausführungsberechtigung für eine Datei verfügt, kann der Benutzer nobody diese Datei nur ausführen.
Ein NFS-Server kann Superuser-Fähigkeiten für ein gemeinsam genutztes Dateisystem pro Host ermöglichen. Um diese Berechtigungen zu gewähren, verwenden Sie root=hostname als Option des Befehls share. Verwenden Sie diese Option nur nach sorgfältigen Überlegungen. Eine Beschreibung der Sicherheitsoptionen für NFS finden Sie in Kapitel 6, Zugreifen auf Netzwerkdateisysteme (Referenz) in Systemverwaltungshandbuch: Netzwerkdienste.
|