Navigationslinks überspringen | |
Druckansicht beenden | |
Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11 Information Library (Deutsch) |
1. Übersicht über die Oracle Solaris 11-Sicherheitsfunktionen
2. Konfigurieren der Oracle Solaris 11-Sicherheitsfunktionen
Installieren von Oracle Solaris
Deaktivieren nicht erforderlicher Services
Entfernen der Energieverwaltungsfunktion für Benutzer
Hinzufügen einer Sicherheitsmeldung zu allen Bannerdateien
Einfügen einer Sicherheitsmeldung in den Desktop-Anmeldebildschirm
Festlegen strikterer Passwortbeschränkungen
Festlegen der Kontosperre für normale Benutzer
Festlegen eines restriktiveren umask-Werts für normale Benutzer
Prüfen wichtiger Ereignisse außer Anmelden/Abmelden
Überwachen von lo-Ereignissen in Echtzeit
Entfernen nicht benötigter Basisberechtigungen von Benutzern
Sicherheitsmeldung für ssh und ftp Nutzer anzeigen
Deaktivieren des Netzwerkrouting-Dämons
Deaktivieren von Broadcast-Paketweiterleitung
Deaktivieren von Antworten auf Echoanforderungen
Festlegen von Strict Multihoming
Festlegen einer Maximalanzahl unvollständiger TCP-Verbindungen
Festlegen einer maximalen Anzahl an ausstehenden TCP-Verbindungen
Geben Sie eine sichere Zufallszahl für die TCP-Erstverbindung an
Zurücksetzen von Netzwerkparametern auf sichere Werte
Schutz von Dateisystemen und Dateien
Schutz von Anwendungen und Services
Erstellen von Zonen für die Aufnahme wichtiger Anwendungen
Konfigurieren von IPsec und IKE
Hinzufügen von SMF zu einem veralteten Service
Erstellen eines BART-Schnappschusses des Systems
Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit
Konfiguration von Trusted Extensions
Konfigurieren von Labeled IPsec
3. Überwachen und Verwalten der Oracle Solaris 11-Sicherheitsfunktionen
Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen. Zu diesem Zeitpunkt ist das Oracle Solaris 11-Betriebssystem installiert und nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann auf das System zugreifen.
|
Validieren Sie die Installation direkt nach dem Installationsvorgang, indem Sie die Pakete überprüfen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen.
Leiten Sie die Befehlsausgabe zur Dokumentation in eine Datei um.
# pkg verify > /var/pkgverifylog
Siehe auch
Weitere Informationen finden Sie auf den Manpages pkg(1) und pkg(5). Die Manpages enthalten Beispiele zur Verwendung des Befehls pkg verify.
Führen Sie diese Schritte durch, um je nach Verwendungszweck Ihres Systems nicht erforderliche Services zu deaktivieren.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen.
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
Beispiel: Wenn es sich beim System nicht um einen NFS-Server oder Webserver handelt und Services online sind, deaktivieren Sie sie.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
Siehe auch
Weitere Informationen finden Sie in Kapitel 6, Managing Services (Overview) in Oracle Solaris Administration: Common Tasks und auf der Manpage svcs(1).
Führen Sie diese Schritte durch, damit Benutzer das System weder anhalten noch abschalten können.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen.
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
Anweisungen dazu finden Sie unter How to Create or Change a Rights Profile in Oracle Solaris Administration: Security Services.
#CONSOLE_USER=Console User
# usermod -P +new-profile username
Siehe auch
Weitere Informationen finden Sie unter policy.conf File in Oracle Solaris Administration: Security Services sowie auf den Manpages policy.conf(4) und usermod(1M).
Führen Sie diese Schritte durch, um Warnmeldungen zu erstellen, die Ihrer Standortsicherheitsrichtlinie entsprechen. Der Inhalt dieser Dateien wird bei der lokalen und der Remote-Anmeldung angezeigt.
Hinweis - Die hier als Beispiele angeführten Meldungen entsprechen nicht den Anforderungen der US-Behörden und wahrscheinlich auch nicht Ihrer Sicherheitsrichtlinie.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.
# vi /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
Weitere Informationen finden Sie auf der Manpage issue(4).
Das Programm telnet zeigt den Inhalt der Datei /etc/issue als Anmeldenachricht an. Informationen zur Nutzung dieser Datei durch andere Anwendungen erhalten Sie unter Sicherheitsmeldung für ssh und ftp Nutzer anzeigen und Einfügen einer Sicherheitsmeldung in den Desktop-Anmeldebildschirm.
# vi /etc/motd This system serves authorized users only. Activity is monitored and reported.
Wählen Sie eine Methode zur Erstellung einer Sicherheitsmeldung, die Benutzern bei der Anmeldung angezeigt wird.
Weitere Informationen erhalten Sie durch den GNOME Help Browser (GNOME-Hilfebrowser). Klicken Sie dazu auf dem Desktop auf "System" und dann "Hilfe". Sie können stattdessen auch den Befehl yelp verwenden. Desktop-Anmeldeskripte werden im Abschnitt GDM Login Scripts and Session Files der Manpage gdm(1M) behandelt.
Hinweis - Die hier als Beispiel angeführte Meldung entspricht nicht den Anforderungen der US-Behörden und wahrscheinlich auch nicht Ihrer Sicherheitsrichtlinie.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.
Ihnen stehen mehrere Optionen zur Verfügung. Die Optionen, mit denen ein Dialogfeld erstellt wird, verwenden möglicherweise die Datei /etc/issue aus Schritt 1 von Hinzufügen einer Sicherheitsmeldung zu allen Bannerdateien.
# vi /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
Nach der Authentifizierung im Anmeldebildschirm muss der Benutzer das Dialogfeld schließen, um zum Arbeitsbereich zu gelangen. Optionen des Befehls zenity finden Sie auf der Manpage zenity(1).
Das Verzeichnis /etc/gdm enthält drei Initialisierungsskripte, die die Sicherheitsmeldung vor, während oder direkt nach der Desktop-Anmeldung anzeigen. Diese Skripte sind in der Oracle Solaris 10-Version ebenfalls verfügbar.
# vi /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
Dieses Skript wird ausgeführt, bevor der Arbeitsbereich des Benutzers angezeigt wird. Ändern Sie zur Erstellung dieses Skripts das Skript Default.sample.
# vi /etc/gdm/PostLogin/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
# vi /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
Hinweis - Das Dialogfeld kann durch Fenster im Arbeitsbereich des Benutzers verdeckt werden.
Die Größe des Anmeldefensters wird angepasst, sodass Ihre Meldung sichtbar ist. Diese Methode enthält keinen Verweis auf die Datei /etc/issue. Sie müssen den Text in die grafische Benutzeroberfläche eingeben.
Hinweis - Der Anmeldebildschirm gdm-greeter-login-window.ui wird durch die Befehle pkg fix und pkg update überschrieben. Damit Ihre Änderungen beibehalten werden, kopieren Sie die Datei in ein Konfigurationsdateienverzeichnis, und führen Sie die Änderungen darin nach dem Systemupgrade mit der neuen Datei zusammen. Weitere Informationen erhalten Sie auf der Manpage pkg(5).
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
Der Benutzeroberflächendesigner GTK+ wird durch das Programm glade-3 geöffnet. Sie geben die Sicherheitsmeldung in eine Beschriftung ein, die über dem Eingabefeld angezeigt wird.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
Das Handbuch zum Benutzeroberflächendesigner finden Sie im GNOME Help Browser (GNOME-Hilfebrowser) unter "Development" (Entwicklung). Die Manpage glade-3(1) ist im Handbuch unter "Applications" (Anwendungen) aufgeführt.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
Beispiel 2-1 Erstellen einer kurzen Warnmeldung zur Anzeige bei der Desktop-Anmeldung
In diesem Beispiel gibt der Administrator einen kurzen Meldungstext als Argument für den Befehl zenity in die Desktop-Datei ein. Darüber hinaus verwendet der Administrator die Option --warning, durch die ein Warnsymbol zusammen mit dem Text angezeigt wird.
# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application