Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
Vorteile der Verwendung von PAM
Änderungen am PAM in der Version Solaris 10
Planen Ihrer PAM-Implementierung
So fügen Sie ein PAM-Modul hinzu
So verhindern Sie mit PAM den Zugriff von Remote-Systemen im Rhost-Stil
Funktionsweise von PAM-Stacking
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
In diesem Abschnitt werden einige Aufgaben beschrieben, die erforderlich sein können, um die Verwendung einer bestimmten Sicherheitsrichtlinie durch das PAM-Framework zu veranlassen. Beachten Sie die Sicherheitsprobleme, die mit der PAM-Konfigurationsdatei in Verbindung stehen. Weitere Informationen zu Sicherheitsproblemen finden Sie unter Planen Ihrer PAM-Implementierung.
|
Im Lieferzustand implementiert die Konfigurationsdatei pam.conf die Standardsicherheitsrichtlinie. Diese Richtlinie ist normalerweise für viele verschiedene Situationen geeignet. Wenn Sie eine andere Sicherheitsrichtlinie implementieren möchten, sollten Sie folgende Punkte besonders beachten:
Legen Sie fest, welche Anforderungen Sie haben, insbesondere, welche PAM-Servicemodule Sie wählen sollten.
Identifizieren Sie die Services, die spezielle Konfigurationsoptionen erfordern. Verwenden Sie gegebenenfalls other.
Bestimmen Sie die Reihenfolge, in der die Module ausgeführt werden sollten.
Wählen Sie das Steuer-Flag für jedes Modul. Weitere Informationen zu allen Steuer-Flags finden Sie unter Funktionsweise von PAM-Stacking.
Wählen Sie alle erforderlichen Optionen für jedes Modul. Auf der Manpage für jedes Modul sollten alle speziellen Optionen aufgeführt werden.
Im Folgenden werden einige Vorschläge gemacht, die Sie vor dem Ändern der PAM-Konfigurationsdatei beachten sollten:
Verwenden Sie other-Einträge für jeden Modultyp, sodass nicht jede Anwendung in /etc/pam.conf erfasst werden muss.
Berücksichtigen Sie die Sicherheitsimplikationen der Steuer-Flags binding, sufficient und optional.
Sehen Sie sich die Manpages zu den Modulen an. Auf diesen Manpages wird erläutert, wie die einzelnen Module funktionieren, welche Optionen verfügbar sind sowie welche Interaktionen zwischen gestapelten Modulen stattfinden.
![]() | Achtung - Wenn die PAM-Konfigurationsdatei falsch konfiguriert oder fehlerhaft ist, kann sich möglicherweise kein Benutzer mehr anmelden. Da der Befehl sulogin PAM nicht verwendet, ist dann das Root-Passwort erforderlich, um den Rechner im Einzelbenutzermodus zu starten und das Problem zu beheben. |
Überprüfen Sie die Datei /etc/pam.conf nach dem Ändern so umfassend wie möglich, solange Sie noch Zugriff auf das System haben und Probleme beheben können. Testen Sie alle Befehle, die von Ihren Änderungen betroffen sein können. Ein Beispiel ist das Hinzufügen eines neuen Moduls zum Service telnet. In diesem Beispiel geben Sie den Befehl telnet ein und überprüfen, ob Ihre Änderungen zu dem gewünschten Verhalten des Service führen.
Dieses Verfahren zeigt, wie Sie ein neues PAM-Modul hinzufügen. Neue Module können erstellt werden, um standortspezifische Sicherheitsrichtlinien abzudecken oder Anwendungen Dritter zu unterstützen.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte).
Informationen zu Steuer-Flags erhalten Sie unter Funktionsweise von PAM-Stacking.
Testen Sie dies für den Fall, dass die Konfigurationsdatei falsch konfiguriert ist, vor dem Neustart des Systems. Melden Sie sich mithilfe eines direkten Service wie ssh an und führen Sie vor dem Neustart des Systems den Befehl su aus. Der Service ist möglicherweise ein Dämon, der nur einmal beim Systemstart ausgeführt wird. Sie müssen das System dann neu starten, bevor Sie überprüfen können, ob das Modul hinzugefügt wurde.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte).
Dieser Schritt verhindert, dass die ~/.rhosts-Dateien während einer rlogin-Sitzung gelesen werden. So wird nicht authentifizierter Zugriff von Remote-Systemen auf das lokale System verhindert. Jeglicher rlogin-Zugriff erfordert unabhängig von Vorhandensein und Inhalt von ~/.rhosts- oder /etc/hosts.equiv -Dateien ein Passwort.
Um weiteren nicht authentifizierten Zugriff auf die ~/.rhosts-Dateien zu verhindern, deaktivieren Sie den Service rsh.
# svcadm disable network/shell
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte).
Weitere Informationen zu Protokollierungsstufen finden Sie unter syslog.conf(4).
# svcadm refresh system/system-log