Systemsicherung

Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen. Zu diesem Zeitpunkt ist das Oracle Solaris 11-Betriebssystem installiert und nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann auf das System zugreifen.

Überprüfen der Pakete

Validieren Sie die Installation direkt nach dem Installationsvorgang, indem Sie die Pakete überprüfen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen.

1. Führen Sie den Befehl pkg verify aus.

   Leiten Sie die Befehlsausgabe zur Dokumentation in eine Datei um.

   # pkg verify > /var/pkgverifylog

2. Sehen Sie in der Protokolldatei nach, ob Fehler aufgetreten sind.
3. Wenn Sie Fehler finden, führen Sie eine Neuinstallation vom Datenträger durch oder beheben Sie die Fehler.

Siehe auch

Weitere Informationen finden Sie auf den Manpages pkg(1) und pkg(5). Die Manpages enthalten Beispiele zur Verwendung des Befehls pkg verify.

Deaktivieren nicht erforderlicher Services

Führen Sie diese Schritte durch, um je nach Verwendungszweck Ihres Systems nicht erforderliche Services zu deaktivieren.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen.

1. Rufen Sie die Liste der Onlineservices auf.

   # svcs | grep network
   online         Sep_07   svc:/network/loopback:default
   ...
   online         Sep_07   svc:/network/ssh:default

2. Deaktivieren Sie die für das System nicht erforderlichen Services.

   Beispiel: Wenn es sich beim System nicht um einen NFS-Server oder Webserver handelt und Services online sind, deaktivieren Sie sie.

   # svcadm disable svc:/network/nfs/server:default
   # svcadm disable svc:/network/http:apache22

Siehe auch

Weitere Informationen finden Sie in Kapitel 6, Managing Services (Overview) in Oracle Solaris Administration: Common Tasks und auf der Manpage svcs(1).

Entfernen der Energieverwaltungsfunktion für Benutzer

Führen Sie diese Schritte durch, damit Benutzer das System weder anhalten noch abschalten können.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen.

1. Überprüfen Sie den Inhalt des Rechteprofils "Console User".

   % getent prof_attr | grep Console
   Console User:RO::Manage System as the Console User:
   profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
   Brightness,CPU Power Management,Network Autoconf User;
   auths=solaris.system.shutdown;help=RtConsUser.html

2. Erstellen Sie ein Rechteprofil, das Rechte im Profil "Console User" enthält, die der Benutzer behalten soll.

   Anweisungen dazu finden Sie unter How to Create or Change a Rights Profile in Oracle Solaris Administration: Security Services.

3. Setzen Sie das Rechteprofil "Console User" in der Datei /etc/security/policy.conf in Kommentare.

   #CONSOLE_USER=Console User

4. Weisen Sie einem Benutzer das Rechteprofil zu, das Sie unter Schritt 2 erstellt haben.

   # usermod -P +new-profile username

Siehe auch

Weitere Informationen finden Sie unter policy.conf File in Oracle Solaris Administration: Security Services sowie auf den Manpages policy.conf(4) und usermod(1M).

Hinzufügen einer Sicherheitsmeldung zu allen Bannerdateien

Führen Sie diese Schritte durch, um Warnmeldungen zu erstellen, die Ihrer Standortsicherheitsrichtlinie entsprechen. Der Inhalt dieser Dateien wird bei der lokalen und der Remote-Anmeldung angezeigt.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.

1. Geben sie eine Sicherheitsmeldung in die Datei /etc/issue ein.

   # vi /etc/issue
         ALERT   ALERT   ALERT   ALERT   ALERT
   
   This machine is available to authorized users only.
   
   If you are an authorized user, continue. 
   
   Your actions are monitored, and can be recorded.

   Weitere Informationen finden Sie auf der Manpage issue(4).

   Das Programm telnet zeigt den Inhalt der Datei /etc/issue als Anmeldenachricht an. Informationen zur Nutzung dieser Datei durch andere Anwendungen erhalten Sie unter Sicherheitsmeldung für ssh und ftp Nutzer anzeigen und Einfügen einer Sicherheitsmeldung in den Desktop-Anmeldebildschirm.

2. Fügen Sie der Datei /etc/motd eine Sicherheitsmeldung hinzu.

   # vi /etc/motd
   This system serves authorized users only. Activity is monitored and reported.

Einfügen einer Sicherheitsmeldung in den Desktop-Anmeldebildschirm

Wählen Sie eine Methode zur Erstellung einer Sicherheitsmeldung, die Benutzern bei der Anmeldung angezeigt wird.

Weitere Informationen erhalten Sie durch den GNOME Help Browser (GNOME-Hilfebrowser). Klicken Sie dazu auf dem Desktop auf "System" und dann "Hilfe". Sie können stattdessen auch den Befehl yelp verwenden. Desktop-Anmeldeskripte werden im Abschnitt GDM Login Scripts and Session Files der Manpage gdm(1M) behandelt.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.

• Einfügen einer Sicherheitsmeldung in den Desktop-Anmeldebildschirm

  Ihnen stehen mehrere Optionen zur Verfügung. Die Optionen, mit denen ein Dialogfeld erstellt wird, verwenden möglicherweise die Datei /etc/issue aus Schritt 1 von Hinzufügen einer Sicherheitsmeldung zu allen Bannerdateien.

  • Option 1: Erstellen Sie eine Desktop-Datei, durch die bei der Anmeldung eine Sicherheitsmeldung in einem Dialogfeld angezeigt wird.

    # vi /usr/share/gdm/autostart/LoginWindow/banner.desktop
    [Desktop Entry]
    Type=Application
    Name=Banner Dialog
    Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
    --title="Security Message" \
    --filename=/etc/issue
    OnlyShowIn=GNOME;
    X-GNOME-Autostart-Phase=Application

    Nach der Authentifizierung im Anmeldebildschirm muss der Benutzer das Dialogfeld schließen, um zum Arbeitsbereich zu gelangen. Optionen des Befehls zenity finden Sie auf der Manpage zenity(1).

  • Option 2: Passen Sie ein GDM-Initialisierungsskript so an, dass die Sicherheitsmeldung in einem Dialogfeld angezeigt wird.

    Das Verzeichnis /etc/gdm enthält drei Initialisierungsskripte, die die Sicherheitsmeldung vor, während oder direkt nach der Desktop-Anmeldung anzeigen. Diese Skripte sind in der Oracle Solaris 10-Version ebenfalls verfügbar.

    • Zeigen Sie die Sicherheitsmeldung vor dem Anmeldebildschirm an.

      # vi /etc/gdm/Init/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • Zeigen Sie die Sicherheitsmeldung nach der Authentifizierung auf dem Anmeldebildschirm an.

      Dieses Skript wird ausgeführt, bevor der Arbeitsbereich des Benutzers angezeigt wird. Ändern Sie zur Erstellung dieses Skripts das Skript Default.sample.

      # vi /etc/gdm/PostLogin/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • Zeigen Sie die Sicherheitsmeldung nach der Authentifizierung ganz am Anfang des Arbeitsbereichs des Benutzers an.

      # vi /etc/gdm/PreSession/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

      ---

      Hinweis - Das Dialogfeld kann durch Fenster im Arbeitsbereich des Benutzers verdeckt werden.

      ---

  • Option 3: Ändern Sie den Anmeldebildschirm, sodass die Sicherheitsmeldung über dem Eingabefeld angezeigt wird.

    Die Größe des Anmeldefensters wird angepasst, sodass Ihre Meldung sichtbar ist. Diese Methode enthält keinen Verweis auf die Datei /etc/issue. Sie müssen den Text in die grafische Benutzeroberfläche eingeben.

    ---

    Hinweis - Der Anmeldebildschirm gdm-greeter-login-window.ui wird durch die Befehle pkg fix und pkg update überschrieben. Damit Ihre Änderungen beibehalten werden, kopieren Sie die Datei in ein Konfigurationsdateienverzeichnis, und führen Sie die Änderungen darin nach dem Systemupgrade mit der neuen Datei zusammen. Weitere Informationen erhalten Sie auf der Manpage pkg(5).

    ---

    1. Wechseln Sie das Verzeichnis und gehen Sie zur Benutzeroberfläche des Anmeldefensters.

       # cd /usr/share/gdm

    2. (Optional) Speichern Sie eine Kopie der ursprünglichen Benutzeroberfläche des Anmeldebildschirms.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig

    3. Fügen Sie dem Anmeldefenster mithilfe des GNOME Toolkit interface designer (GNOME-Toolkit-Benutzeroberflächendesigner) eine Beschriftung hinzu.

       Der Benutzeroberflächendesigner GTK+ wird durch das Programm glade-3 geöffnet. Sie geben die Sicherheitsmeldung in eine Beschriftung ein, die über dem Eingabefeld angezeigt wird.

       # /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui

       Das Handbuch zum Benutzeroberflächendesigner finden Sie im GNOME Help Browser (GNOME-Hilfebrowser) unter "Development" (Entwicklung). Die Manpage glade-3(1) ist im Handbuch unter "Applications" (Anwendungen) aufgeführt.

    4. (Optional) Nehmen Sie die Änderungen an der Benutzeroberfläche des Anmeldefensters vor und speichern Sie eine Kopie.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site

Beispiel 2-1 Erstellen einer kurzen Warnmeldung zur Anzeige bei der Desktop-Anmeldung

In diesem Beispiel gibt der Administrator einen kurzen Meldungstext als Argument für den Befehl zenity in die Desktop-Datei ein. Darüber hinaus verwendet der Administrator die Option --warning, durch die ein Warnsymbol zusammen mit dem Text angezeigt wird.

# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application