| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
Steuern von Systemzugriff (Übersicht der Schritte)
Schützen von Anmeldungen und Passwörtern (Übersicht der Schritte)
Schützen von Anmeldungen und Passwörtern
So zeigen Sie den Anmeldestatus eines Benutzers an
So zeigen Sie Benutzer ohne Passwort an
So deaktivieren Sie Benutzeranmeldungen vorübergehend
So überwachen Sie fehlgeschlagene Anmeldeversuche
So überwachen Sie alle fehlgeschlagenen Anmeldeversuche
So erstellen Sie ein Einwahl-Passwort
So deaktivieren Sie Einwahl-Anmeldungen vorübergehend
Ändern des Passwortalgorithmus (Übersicht der Schritte)
Ändern des Standardalgorithmus zur Passwortverschlüsselung
So geben Sie einen Algorithmus zur Passwortverschlüsselung an
So geben Sie einen neuen Passwortalgorithmus für eine NIS-Domain an
So geben Sie einen neuen Passwortalgorithmus für eine NIS+-Domain an
So geben Sie einen neuen Passwortalgorithmus für eine LDAP-Domain an
So installieren Sie ein Passwortverschlüsselungsmodul eines anderen Anbieters
Überwachen und Beschränken des Superusers (Übersicht der Schritte)
Überwachen und Beschränken des Superusers
So überwachen Sie, wer den Befehl su ausführt
So beschränken und überwachen Sie Superuser-Anmeldungen
SPARC: Steuern von Zugriff auf Systemhardware (Übersicht der Schritte)
Steuern des Zugriffs auf Systemhardware
So legen Sie fest, dass ein Passwort für Hardwarezugriff erforderlich ist
So deaktivieren Sie die Abbruch-Sequenz eines Systems
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Standardmäßig werden Benutzerpasswörter mit crypt_unix-Algorithmen verschlüsselt. Sie können statt des Standard-Verschlüsselungsalgorithmus auch einen stärkeren Algorithmus wie MD5 oder Blowfish verwenden.
In diesem Verfahren ist die BSD-Linux-Version des MD5-Algorithmus der Standard-Verschlüsselungsalgorithmus, der verwendet wird, wenn Benutzer ihr Passwort ändern. Dieser Algorithmus ist für ein Netzwerk mit Rechnern geeignet, auf denen die Oracle Solaris-, BSD- und Linux-Versionen von UNIX ausgeführt werden. Eine Liste von Passwortverschlüsselungsalgorithmen und Algorithmuskennungen finden Sie in Tabelle 2-1.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Geben Sie die Kennung als Wert der Variablen CRYPT_DEFAULT in der Datei /etc/security/policy.conf ein.
Sie sollten einen Kommentar in die Datei einfügen, um Ihre Wahl zu erläutern.
# cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 # # Use the version of MD5 that works with Linux and BSD systems. # Passwords previously encrypted with __unix__ will be encrypted with MD5 # when users change their passwords. # # CRYPT_DEFAULT=__unix__ CRYPT_DEFAULT=1
In diesem Beispiel stellt die Algorithmuskonfiguration sicher, dass der schwächste Algorithmus, crypt_unix, nicht zum Verschlüsseln von Passwörtern verwendet wird. Benutzer, deren Passwörter mit dem Modul crypt_unix verschlüsselt wurden, erhalten ein mit crypt_bsdmd5 verschlüsseltes Passwort, wenn sie ihr Passwort ändern.
Weitere Informationen zur Konfiguration von Algorithmusoptionen finden Sie auf der Manpage policy.conf(4).
Beispiel 3-6 Verwenden des Blowfish-Algorithmus zur Passwortverschlüsselung
In diesem Beispiel ist die Kennung für den Blowfish-Algorithmus, 2a, als Wert der Variablen CRYPT_DEFAULT in der Datei policy.conf angegeben:
CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 #CRYPT_ALGORITHMS_DEPRECATE=__unix__ CRYPT_DEFAULT=2a
Diese Konfiguration ist mit BSD-Systemen kompatibel, die den Blowfish-Algorithmus verwenden.
Wenn ein Benutzer in einer NIS-Domain sein Passwort ändert, ruft der NIS-Client die lokale Algorithmuskonfiguration in der Datei /etc/security/policy.conf ab. Der NIS-Clientrechner verschlüsselt das Passwort.
Wenn ein Benutzer in einer NIS+-Domain sein Passwort ändert, ruft der NIS+ Naming Service die Algorithmuskonfiguration in der Datei /etc/security/policy.conf auf dem NIS+-Master ab. Der NIS+-Master, der den Dämon rpc.nispasswd ausführt, erstellt das verschlüsselte Passwort.
Wenn der LDAP-Client richtig konfiguriert ist, kann er die neuen Passwortalgorithmen verwenden. Der LDAP-Client verhält sich wie ein NIS-Client.
Stellen Sie sicher, dass ein Kommentarzeichen (#) allen Einträgen vorangestellt ist, die pam_ldap.so.1 enthalten. Verwenden Sie die neue Option server_policy nicht in Verbindung mit dem Modul pam_authtok_store.so.1.
Die PAM-Einträge in der Datei pam.conf des Clients ermöglichen, dass das Passwort entsprechend der lokalen Algorithmuskonfiguration verschlüsselt wird. Die PAM-Einträge ermöglichen außerdem die Authentifizierung des Passworts.
Wenn ein Benutzer in einer LDAP-Domain sein Passwort ändert, ruft der LDAP-Client die lokale Algorithmuskonfiguration in der Datei /etc/security/policy.conf ab. Der LDAP-Clientrechner verschlüsselt das Passwort. Dann sendet der Client das verschlüsselte Passwort mit einem {crypt}-Tag an den Server. Durch das Tag wird dem Server mitgeteilt, dass das Passwort bereits verschlüsselt ist. Das Passwort wird dann ohne nochmalige Verschlüsselung auf dem Server gespeichert. Zur Authentifizierung ruft der Client das gespeicherte Passwort auf dem Server ab. Der Client vergleicht dann das gespeicherte Passwort mit der verschlüsselten Version, die der Client zuvor aus dem vom Benutzer eingegebenen Passwort generiert hat.
Hinweis - Um die Passwort-Richtliniensteuerung auf dem LDAP-Server zu nutzen, verwenden Sie die Option server_policy in Verbindung mit den pam_authtok_store-Einträgen in der Datei pam.conf. Die Passwörter werden auf dem Server mithilfe des kryptografischen Mechanismus von Sun Java System Directory Server verschlüsselt. Das Verfahren wird in Kapitel 11, Einrichten von Sun Java System Directory Server mit LDAP-Clients (Aufgaben) in Systemverwaltungshandbuch: Naming Services und Directory Services (DNS, NIS und LDAP) beschrieben.
Ein Passwortverschlüsselungsalgorithmus eines anderen Anbieters wird typischerweise als Modul in einem Softwarepaket bereitgestellt. Wenn Sie den Befehl pkgadd ausführen, wird die Datei /etc/security/crypt.conf von Skripten des Anbieters geändert. Fügen Sie anschließend der Datei /etc/security/policy.conf das neue Modul und dessen Kennung hinzu.
Ausführliche Anweisungen zum Hinzufügen von Software finden Sie unter Adding or Removing a Software Package (pkgadd) in System Administration Guide: Basic Administration.
Lesen Sie die Liste der Verschlüsselungsalgorithmen in der Datei /etc/security/crypt.conf.
Die folgenden Zeilen zeigen beispielsweise, dass ein Modul zur Implementierung des Algorithmus crypt_rot13 installiert wurde.
# crypt.conf # md5 /usr/lib/security/$ISA/crypt_md5.so rot13 /usr/lib/security/$ISA/crypt_rot13.so # For *BSD - Linux compatibility # 1 is MD5, 2a is Blowfish 1 /usr/lib/security/$ISA/crypt_bsdmd5.so 2a /usr/lib/security/$ISA/crypt_bsdbf.so
Die folgenden Zeilen zeigen Auszüge der Datei policy.conf, die geändert werden müssen, um die Kennung rot13 hinzuzufügen.
# Copyright 1999-2002 Sun Microsystems, Inc. All rights reserved. # ... #ident "@(#)policy.conf 1.12 08/05/14 SMI" # ... # crypt(3c) Algorithms Configuration CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6,,rot13 #CRYPT_ALGORITHMS_DEPRECATE=__unix__ CRYPT_DEFAULT=md5
In diesem Beispiel wird der Algorithmus rot13 verwendet, wenn das aktuelle Passwort mit dem Algorithmus crypt_rot13 verschlüsselt wurde. Die Passwörter neuer Benutzer werden mit dem Algorithmus crypt_sunmd5 verschlüsselt. Diese Algorithmuskonfiguration funktioniert bei reinen Solaris-Netzwerken.
|