| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
Steuern von Systemzugriff (Übersicht der Schritte)
Schützen von Anmeldungen und Passwörtern (Übersicht der Schritte)
Schützen von Anmeldungen und Passwörtern
So zeigen Sie den Anmeldestatus eines Benutzers an
So zeigen Sie Benutzer ohne Passwort an
So deaktivieren Sie Benutzeranmeldungen vorübergehend
So überwachen Sie fehlgeschlagene Anmeldeversuche
So überwachen Sie alle fehlgeschlagenen Anmeldeversuche
Ändern des Passwortalgorithmus (Übersicht der Schritte)
Ändern des Standardalgorithmus zur Passwortverschlüsselung
So geben Sie einen Algorithmus zur Passwortverschlüsselung an
So geben Sie einen neuen Passwortalgorithmus für eine NIS-Domain an
So geben Sie einen neuen Passwortalgorithmus für eine NIS+-Domain an
So geben Sie einen neuen Passwortalgorithmus für eine LDAP-Domain an
So installieren Sie ein Passwortverschlüsselungsmodul eines anderen Anbieters
Überwachen und Beschränken des Superusers (Übersicht der Schritte)
Überwachen und Beschränken des Superusers
So überwachen Sie, wer den Befehl su ausführt
So beschränken und überwachen Sie Superuser-Anmeldungen
SPARC: Steuern von Zugriff auf Systemhardware (Übersicht der Schritte)
Steuern des Zugriffs auf Systemhardware
So legen Sie fest, dass ein Passwort für Hardwarezugriff erforderlich ist
So deaktivieren Sie die Abbruch-Sequenz eines Systems
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Sie können Remote-Anmeldungen einschränken und festlegen, dass Benutzer Passwörter benötigen. Sie können außerdem fehlgeschlagene Zugriffsversuche überwachen und Anmeldungen vorübergehend deaktivieren.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
# logins -x -l username
Zeigt einen erweiterten Satz von Anmeldestatusinformationen an
Zeigt den Anmeldestatus des angegebenen Benutzers an. Die Variable username entspricht dem Anmeldenamen eines Benutzers. Mehrere Anmeldedaten müssen in einer durch Komma getrennten Liste angegeben werden.
Der Befehl logins ruft den Anmeldestatus des Benutzers aus der entsprechenden Passwortdatenbank ab. Bei der Datenbank kann es sich um die lokale Datei /etc/passwd oder eine Passwortdatenbank des Naming Service handeln. Weitere Informationen finden Sie auf der Manpage logins(1M).
Beispiel 3-1 Anzeigen des Anmeldestatus eines Benutzers
In dem folgenden Beispiel wird der Anmeldestatus des Benutzers rimmer angezeigt.
# logins -x -l rimmer
rimmer 500 staff 10 Annalee J. Rimmer
/export/home/rimmer
/bin/sh
PS 010103 10 7 -1Entspricht dem Anmeldenamen des Benutzers
Entspricht der Benutzer-ID (UID, User ID)
Entspricht der primären Gruppe des Benutzers
Entspricht der Gruppen-ID (GID)
Entspricht dem Kommentar
Entspricht dem Home-Verzeichnis des Benutzers
Entspricht der Anmelde-Shell
Gibt die Passwort-Datierungsinformationen an:
Datum der letzten Passwortänderung
Anzahl der Tage, die zwischen Änderungen erforderlich sind
Anzahl der Tage, bevor eine Änderung erforderlich ist
Warnungszeitraum
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
# logins -p
Mit der Option -p zeigen Sie eine Liste von Benutzern ohne Passwort an. Der Befehl logins greift auf die Passwortdatenbank des lokalen Systems zu, wenn kein Naming Service aktiviert ist.
Beispiel 3-2 Anzeigen von Benutzern ohne Passwort
In dem folgenden Beispiel verfügt der Benutzer pmorph über kein Passwort.
# logins -p pmorph 501 other 1 Polly Morph #
Deaktivieren Sie Benutzeranmeldungen vorübergehend während einer Systemabschaltung oder Routinewartung. Superuser-Anmeldungen sind nicht betroffen. Weitere Informationen finden Sie auf der Manpage nologin(4).
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
# vi /etc/nologin
Beispiel 3-3 Deaktivieren von Benutzeranmeldungen
In diesem Beispiel werden Benutzer darüber informiert, dass das System nicht verfügbar ist.
# vi /etc/nologin (Add system message here) # cat /etc/nologin ***No logins permitted.*** ***The system will be unavailable until 12 noon.***
Sie können das System auch auf Runlevel 0, Einzelbenutzermodus, herunterschalten, um Anmeldungen zu deaktivieren. Weitere Informationen zum Herunterschalten des Systems in den Einzelbenutzermodus finden Sie in Kapitel 10, Shutting Down a System (Tasks) in System Administration Guide: Basic Administration.
Mit diesem Verfahren können Sie fehlgeschlagene Anmeldeversuche von Terminalfenstern überwachen. Anmeldeversuche oder fehlgeschlagene Anmeldeversuche von einer CDE können nicht verfolgt werden.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
# touch /var/adm/loginlog
# chmod 600 /var/adm/loginlog
# chgrp sys /var/adm/loginlog
Melden Sie sich beispielsweise fünfmal mit dem falschen Passwort an. Zeigen Sie dann die Datei /var/adm/loginlog an.
# more /var/adm/loginlog jdoe:/dev/pts/2:Tue Nov 4 10:21:10 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:21 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:30 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:40 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:49 2010 #
Die Datei loginlog enthält für jeden fehlgeschlagenen Versuch einen Eintrag. Jeder Eintrag enthält den Anmeldenamen des Benutzers, TTY-Gerät und die Uhrzeit des fehlgeschlagenen Versuchs. Bei weniger als fünf fehlgeschlagenen Versuchen werden keine Einträge in das Protokoll aufgenommen.
Wenn sich die Datei loginlog vergrößert, kann dies auf einen Einbruchsversuch in das Computersystem deuten. Überprüfen und löschen Sie deshalb regelmäßig den Inhalt der Datei. Weitere Informationen finden Sie auf der Manpage loginlog(4).
Mit diesem Verfahren werden alle fehlgeschlagenen Anmeldeversuche im syslog aufgezeichnet.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Bearbeiten Sie die Datei /etc/default/login, um den Eintrag zu ändern. Stellen Sie sicher, dass SYSLOG=YES nicht auskommentiert ist.
# grep SYSLOG /etc/default/login # SYSLOG determines whether the syslog(3) LOG_AUTH facility # should be used SYSLOG=YES … SYSLOG_FAILED_LOGINS=0 #
# touch /var/adm/authlog
# chmod 600 /var/adm/authlog
# chgrp sys /var/adm/authlog
Die Fehlschläge sollten in die Datei authlog geschrieben werden.
Melden Sie sich beispielsweise als normaler Benutzer mit einem falschen Passwort beim System an. Zeigen Sie dann mit der Rolle "Primary Administrator" oder als Superuser die Datei /var/adm/authlog an.
# more /var/adm/authlog Nov 4 14:46:11 example1 login: [ID 143248 auth.notice] Login failure on /dev/pts/8 from example2, stacey #
Beispiel 3-4 Protokollieren von Anmeldeversuchen nach drei fehlgeschlagenen Anmeldungen
Führen Sie das oben stehende Verfahren aus mit dem Unterschied, dass Sie SYSLOG_FAILED_LOGINS in der Datei /etc/default/login auf 3 einstellen.
Beispiel 3-5 Trennen der Verbindung nach drei fehlgeschlagenen Anmeldungen
Entfernen Sie die Auskommentierung von RETRIES in der Datei /etc/default/login und stellen Sie den Wert von RETRIES auf 3 ein. Ihre Änderungen sind sofort wirksam. Nach drei Anmeldeversuchen in einer Sitzung wird die Verbindung des Systems getrennt.
 | Achtung - Achten Sie bei der ersten Einrichtung eines Einwahl-Passworts darauf, bei mindestens einem Port angemeldet zu bleiben. Testen Sie das Passwort auf einem anderen Port. Wenn Sie sich abmelden, um das neue Passwort zu testen, können Sie sich möglicherweise nicht mehr anmelden. Wenn Sie weiterhin bei einem anderen Port angemeldet sind, können Sie zurückkehren und den Fehler korrigieren. |
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Schließen Sie alle Ports ein, die durch Einwahl-Passwörter geschützt werden. Die Datei /etc/dialups sollte etwa folgendermaßen aussehen:
/dev/term/a /dev/term/b /dev/term/c
Schließen Sie die Shell-Programme ein, die ein Benutzer bei der Anmeldung ausführen kann, beispielsweise uucico, sh, ksh und csh. Die Datei /etc/d_passwd sollte etwa folgendermaßen aussehen:
/usr/lib/uucp/uucico:encrypted-password: /usr/bin/csh:encrypted-password: /usr/bin/ksh:encrypted-password: /usr/bin/sh:encrypted-password: /usr/bin/bash:encrypted-password:
Zu einem späteren Zeitpunkt fügen Sie in diesem Verfahren das verschlüsselte Passwort für die einzelnen Anmeldeprogramme hinzu.
# chown root /etc/dialups /etc/d_passwd
# chgrp root /etc/dialups /etc/d_passwd
# chmod 600 /etc/dialups /etc/d_passwd
# useradd username
# passwd username New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for username
# grep username /etc/shadow > username.temp
Löschen Sie alle Felder außer dem verschlüsselten Passwort. Das zweite Feld enthält das verschlüsselte Passwort.
Beispielsweise enthält die folgende Zeile das verschlüsselte Passwort U9gp9SyA/JlSk.
temp:U9gp9SyA/JlSk:7967:::::7988:
# userdel username
Sie können ein anderes Passwort für jede Anmelde-Shell erstellen. Sie können auch für jede Anmelde-Shell das gleiche Passwort verwenden.
Achten Sie darauf, dass dies auf sicherem Wege geschieht.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
/usr/bin/sh:*:
|