| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
Steuern von Systemzugriff (Übersicht der Schritte)
Schützen von Anmeldungen und Passwörtern (Übersicht der Schritte)
Schützen von Anmeldungen und Passwörtern
So zeigen Sie den Anmeldestatus eines Benutzers an
So zeigen Sie Benutzer ohne Passwort an
So deaktivieren Sie Benutzeranmeldungen vorübergehend
So überwachen Sie fehlgeschlagene Anmeldeversuche
So überwachen Sie alle fehlgeschlagenen Anmeldeversuche
So erstellen Sie ein Einwahl-Passwort
So deaktivieren Sie Einwahl-Anmeldungen vorübergehend
Ändern des Passwortalgorithmus (Übersicht der Schritte)
Ändern des Standardalgorithmus zur Passwortverschlüsselung
So geben Sie einen Algorithmus zur Passwortverschlüsselung an
So geben Sie einen neuen Passwortalgorithmus für eine NIS-Domain an
So geben Sie einen neuen Passwortalgorithmus für eine NIS+-Domain an
So geben Sie einen neuen Passwortalgorithmus für eine LDAP-Domain an
So installieren Sie ein Passwortverschlüsselungsmodul eines anderen Anbieters
Überwachen und Beschränken des Superusers (Übersicht der Schritte)
SPARC: Steuern von Zugriff auf Systemhardware (Übersicht der Schritte)
Steuern des Zugriffs auf Systemhardware
So legen Sie fest, dass ein Passwort für Hardwarezugriff erforderlich ist
So deaktivieren Sie die Abbruch-Sequenz eines Systems
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Eine Alternative zur Verwendung des Superuser-Kontos ist die Einrichtung einer rollenbasierten Zugriffssteuerung. Die rollenbasierte Zugriffssteuerung wird auch als RBAC (Role Based Access Control) bezeichnet. Eine Übersicht über RBAC finden Sie unter Rollenbasierte Zugriffssteuerung (Übersicht). Informationen zur Einrichtung von RBAC finden Sie unter Kapitel 9Rollenbasierte Zugriffssteuerung (Aufgaben).
In der Datei sulog wird jede Verwendung des Befehls su aufgezeichnet, nicht nur die Versuche, um mit dem Befehl su vom normalen zum Superuser zu wechseln.
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 pmorph-root SU 01/12 14:57 + pts/0 pmorph-root
Die Einträge enthalten folgende Informationen:
Datum und Uhrzeit der Befehlseingabe
Erfolg des Versuchs. Ein Pluszeichen (+) gibt an, dass der Versuch erfolgreich war. Ein Minuszeichen (-) kennzeichnet einen fehlgeschlagenen Versuch.
Der Port, über den der Befehl eingegeben wurde
Der Name des Benutzers und der Name der gewechselten Identität
Die su-Protokollierung in dieser Datei wird standardmäßig durch folgenden Eintrag in der Datei /etc/default/su aktiviert:
SULOG=/var/adm/sulog
Allgemeine Fehler
Wenn die Einträge ??? enthalten, weist das darauf hin, dass das Steuerungsterminal für den Befehl su nicht identifiziert werden kann. Üblicherweise enthalten Systemaufrufe des Befehls su vor der Desktopanzeige die Zeichen ???, beispielsweise SU 10/10 08:08 + ??? root-root. Nachdem der Benutzer eine Desktopsitzung gestartet hat, gibt der Befehl ttynam den Wert des Steuerungsterminals an die Datei sulog zurück: SU 10/10 10:10 + pts/3 jdoe-root.
Einträge ähnlich dem folgenden können darauf hinweisen, dass der Befehl su nicht über die Befehlszeile aufgerufen wurde: SU 10/10 10:20 + ??? root-oracle. Der Benutzer kann mithilfe einer GUI zu einer oracle-Rolle gewechselt sein.
Diese Methode erkennt automatisch alle Superuser-Zugriffsversuche auf das lokale System.
CONSOLE=/dev/console
Standardmäßig ist für das Konsolengerät /dev/console eingestellt. Mit dieser Einstellung kann sich der root-Benutzer bei der Konsole anmelden. Der root-Benutzer kann keine Remote-Anmeldung durchführen.
Versuchen Sie, sich über ein Remote-System als Superuser anzumelden.
mach2 % rlogin -l root mach1 Password: <Type root password of mach1> Not on system console Connection closed.
Standardmäßig werden Anmeldeversuche eines Superusers auf der Konsole vom Dienstprogramm SYSLOG ausgegeben.
% su - Password: <Type root password> #
Auf der Terminalkonsole wird eine Meldung ausgegeben.
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
Beispiel 3-7 Aufzeichnen von Superuser-Zugriffsversuchen
In diesem Beispiel werden Superuser-Anmeldeversuche nicht von SYSLOG aufgezeichnet. Daher sorgt der Administrator für die Aufzeichnung dieser Versuche, indem er das Kommentarzeichen vor dem Eintrag #CONSOLE=/dev/console in der Datei /etc/default/su entfernt.
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
Wenn ein Benutzer versucht, sich als Superuser anzumelden, wird der Versuch auf der Terminalkonsole ausgegeben.
SU 09/07 16:38 + pts/8 jdoe-root
Allgemeine Fehler
Um von einem Remote-System aus Superuser-Rechte zu erhalten, wenn die Datei /etc/default/login den standardmäßigen CONSOLE-Eintrag enthält, müssen sich Benutzer zuerst mit ihrem Namen anmelden. Danach können sie mit dem Befehl su zum Superuser wechseln.
Wenn die Konsole Mar 16 16:20:36 mach1 login: ROOT LOGIN /dev/pts/14 FROM mach2.Example.COM oder einen ähnlichen Eintrag anzeigt, lässt das System root-Anmeldungen über ein Remote-System zu. Um Superuser-Zugriff über ein Remote-System zu verhindern, ändern Sie in der Datei /etc/default/login den Eintrag #CONSOLE=/dev/console in CONSOLE=/dev/console.
|