Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
Schützen von Dateien mithilfe von UNIX-Berechtigungen
Befehle zum Anzeigen und Schützen von Dateien
Datei- und Verzeichniseigentümerschaft
Besondere Dateiberechtigungen (setuid, setgid und Sticky Bit)
Schützen von UFS-Dateien mithilfe von Zugriffssteuerungslisten
ACL-Einträge für UFS-Verzeichnisse
Befehle zum Verwalten von UFS-ACLs
Vermeiden von Sicherheitsrisiken in Verbindung mit ausführbaren Dateien
Schützen von Dateien (Übersicht der Schritte)
Schützen von Dateien mithilfe von UNIX-Berechtigungen (Übersicht der Schritte)
So zeigen Sie Dateiinformationen an
So ändern Sie den Eigentümer einer lokalen Datei
So ändern Sie die Gruppeneigentümerschaft einer Datei
So ändern Sie die Dateiberechtigungen im symbolischen Modus
So ändern Sie Dateiberechtigungen im absoluten Modus
So ändern Sie besondere Dateiberechtigungen im absoluten Modus
Schützen von UFS-Dateien mit ACLs (Übersicht der Schritte)
So stellen Sie fest, ob eine Datei über eine ACL verfügt
So fügen Sie einer Datei ACL-Einträge hinzu
So ändern Sie die ACL-Einträge für eine Datei
So löschen Sie ACL-Einträge aus einer Datei
So zeigen Sie ACL-Einträge für eine Datei an
Schützen vor Programmen mit Sicherheitsrisiko (Übersicht der Schritte)
So suchen Sie Dateien mit besonderen Dateiberechtigungen
So hindern Sie Programme an der Verwendung ausführbarer Stacks
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Die folgende Übersicht der Schritte verweist auf Verfahren, mit denen gefährliche ausführbare Dateien im System gesucht werden können und die Programme daran hindern, einen ausführbaren Stack zu nutzen.
|
Überwachen Sie Ihr System auf nicht autorisierte Verwendung von setuid- und setgid-Berechtigungen für Programme. Mit setuid- und setgid-Berechtigungen können normale Benutzer Superuser-Rechte erhalten. Eine verdächtige ausführbare Datei weist einem Benutzer statt root oder bin die Eigentümerschaft zu.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
# find directory -user root -perm -4000 -exec ls -ldb {} \; >/tmp/filename
Überprüft alle eingehängten Pfade, beginnend mit dem für directory angegebenen Verzeichnis; diese Pfade können root (/), sys, bin oder mail entsprechen
Zeigt nur die Dateien an, die Eigentum von root sind
Zeigt nur Dateien an, deren Berechtigungen auf 4000 eingestellt sind
Zeigt die Ausgabe des Befehls find im Format ls -ldb an
Datei, die das Ergebnis des Befehls find enthält
# more /tmp/filename
Hintergrundinformationen zu setuid-Berechtigungen finden Sie unter setuid-Berechtigung.
Beispiel 6-12 Suchen von Dateien mit setuid-Berechtigungen
Die Ausgabe des folgenden Beispiels zeigt, dass ein Benutzer der Gruppe rar eine persönliche Kopie von /usr/bin/sh erstellt und die Berechtigungen für setuid auf root eingestellt hat. Daher wird das Programm /usr/rar/bin/sh mit root-Berechtigungen ausgeführt.
Diese Ausgabe wurde für eine zukünftige Referenz gespeichert, indem das Verzeichnis /var/tmp/chkprm in das Verzeichnis /export/sysreports/ckprm verschoben wurde.
# find / -user root -perm -4000 -exec ls -ldb {} \; > /var/tmp/ckprm # cat /var/tmp/ckprm -r-sr-xr-x 1 root bin 38836 Aug 10 16:16 /usr/bin/at -r-sr-xr-x 1 root bin 19812 Aug 10 16:16 /usr/bin/crontab ---s--x--x 1 root sys 46040 Aug 10 15:18 /usr/bin/ct -r-sr-xr-x 1 root sys 12092 Aug 11 01:29 /usr/lib/mv_dir -r-sr-sr-x 1 root bin 33208 Aug 10 15:55 /usr/lib/lpadmin -r-sr-sr-x 1 root bin 38696 Aug 10 15:55 /usr/lib/lpsched ---s--x--- 1 root rar 45376 Aug 18 15:11 /usr/rar/bin/sh -r-sr-xr-x 1 root bin 12524 Aug 11 01:27 /usr/bin/df -rwsr-xr-x 1 root sys 21780 Aug 11 01:27 /usr/bin/newgrp -r-sr-sr-x 1 root sys 23000 Aug 11 01:27 /usr/bin/passwd -r-sr-xr-x 1 root sys 23824 Aug 11 01:27 /usr/bin/su # mv /var/tmp/ckprm /export/sysreports/ckprm
Eine Beschreibung der Sicherheitsrisiken ausführbarer Stacks finden Sie unter Vermeiden von Sicherheitsrisiken in Verbindung mit ausführbaren Dateien.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
set noexec_user_stack=1
# init 6
Beispiel 6-13 Deaktivieren der Protokollierung ausführbarer Stack-Meldungen
In diesem Beispiel wird die Protokollierung ausführbarer Stack-Meldungen deaktiviert und das System neu gestartet.
# cat /etc/system set noexec_user_stack=1 set noexec_user_stack_log=0 # init 6