Navigationslinks überspringen | |
Druckansicht beenden | |
Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11 Information Library (Deutsch) |
1. Übersicht über die Oracle Solaris 11-Sicherheitsfunktionen
2. Konfigurieren der Oracle Solaris 11-Sicherheitsfunktionen
Installieren von Oracle Solaris
Deaktivieren nicht erforderlicher Services
Entfernen der Energieverwaltungsfunktion für Benutzer
Hinzufügen einer Sicherheitsmeldung zu allen Bannerdateien
Einfügen einer Sicherheitsmeldung in den Desktop-Anmeldebildschirm
Festlegen strikterer Passwortbeschränkungen
Festlegen der Kontosperre für normale Benutzer
Festlegen eines restriktiveren umask-Werts für normale Benutzer
Prüfen wichtiger Ereignisse außer Anmelden/Abmelden
Überwachen von lo-Ereignissen in Echtzeit
Entfernen nicht benötigter Basisberechtigungen von Benutzern
Sicherheitsmeldung für ssh und ftp Nutzer anzeigen
Deaktivieren des Netzwerkrouting-Dämons
Deaktivieren von Broadcast-Paketweiterleitung
Deaktivieren von Antworten auf Echoanforderungen
Festlegen von Strict Multihoming
Festlegen einer Maximalanzahl unvollständiger TCP-Verbindungen
Festlegen einer maximalen Anzahl an ausstehenden TCP-Verbindungen
Geben Sie eine sichere Zufallszahl für die TCP-Erstverbindung an
Schutz von Dateisystemen und Dateien
Schutz von Anwendungen und Services
Erstellen von Zonen für die Aufnahme wichtiger Anwendungen
Konfigurieren von IPsec und IKE
Hinzufügen von SMF zu einem veralteten Service
Erstellen eines BART-Schnappschusses des Systems
Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit
Konfiguration von Trusted Extensions
Konfigurieren von Labeled IPsec
3. Überwachen und Verwalten der Oracle Solaris 11-Sicherheitsfunktionen
Zu diesem Zeitpunkt haben Sie wahrscheinlich Benutzer, die Rollen übernehmen können, und Rollen erstellt. Systemdateien können nur in der root-Rolle geändert werden.
Führen Sie von den folgenden Schritten diejenigen durch, die zusätzliche Sicherheit gemäß den Anforderungen Ihres Standorts geben. Diese Netzwerkaufgaben benachrichtigen Benutzer, die sich über eine Remote-Verbindung beim geschützten System anmelden, und unterstützen die Protokolle IP, ARP und TCP.
|
Führen Sie diese Schritte durch, um bei Remote-Anmeldungen und Dateiübertragungen eine Warnung anzuzeigen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Sie haben die Datei /etc/issue aus Schritt 1 von Hinzufügen einer Sicherheitsmeldung zu allen Bannerdateien erstellt.
# vi /etc/ssh/sshd_config # Banner to be printed before authentication starts. Banner /etc/issue
# svcadm refresh ssh
Weitere Informationen finden Sie auf den Manpages issue(4) und sshd_config(4).
# vi /etc/proftpd.conf # Banner to be printed before authentication starts. DisplayConnect /etc/issue
# svcadm restart ftp
Weitere Informationen erhalten Sie auf der Website ProFTPD.
Führen Sie diese Schritte durch, um Netzwerkrouting nach der Installation zu unterbinden, indem Sie einen Standard-Router angeben. Führen Sie ansonsten diese Schritte nach der manuellen Routingkonfiguration durch.
Hinweis - Bei vielen Netzwerken ist es erforderlich, dass während der Konfiguration der Routing-Dämon deaktiviert wird. Daher ist es möglich, dass Sie diesen Dämon im Rahmen einer umfangreichen Konfiguration deaktiviert haben.
Bevor Sie beginnen
Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
Wenn der Service nicht ausgeführt wird, entfallen weitere Schritte.
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
Siehe auch
Manpage routeadm(1M)
Oracle Solaris leitet Broadcast-Pakete standardmäßig weiter. Wenn Sie aufgrund Ihrer Sicherheitsrichtlinie die Bedrohung durch Broadcast-Flooding einschränken müssen, ändern Sie mithilfe dieser Schritte den Standardwert.
Hinweis - Durch das Deaktivieren der Netzwerkeigenschaft _forward_directed_broadcasts deaktivieren Sie auch Broadcast-Pings.
Bevor Sie beginnen
Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
Siehe auch
Manpage ipadm(1M)
Führen Sie diese Schritte durch, um die Verteilung von Informationen zur Netzwerktopologie zu verhindern.
Bevor Sie beginnen
Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
Siehe auch
Weitere Informationen finden Sie unter _respond_to_echo_broadcast and _respond_to_echo_multicast (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual und auf der Manpage ipadm(1M).
Führen Sie die folgenden Schritte durch, um für Systeme, die als Gateway zu anderen Domains fungieren (beispielsweise Firewalls oder VPN-Knoten), Strict Multihoming zu aktivieren.
In der Oracle Solaris 11-Version kommt eine neue Eigenschaft hinzu: hostmodel für IPv4 und IPv6. Diese Eigenschaft steuert das Verhalten beim Senden und Empfangen von IP-Paketen in einem Multihoming-System.
Bevor Sie beginnen
Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
Siehe auch
Weitere Informationen erhalten Sie unter hostmodel (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual und auf der Manpage ipadm(1M).
Weitere Informationen über die Verwendung von Strict Multihoming finden Sie unter How to Protect a VPN With IPsec in Tunnel Mode in Oracle Solaris Administration: IP Services.
Wenden Sie DoS-Angriffe (Denial of Service) ab, indem Sie mithilfe dieser Schritte die Anzahl an ausstehenden, unvollständigen Verbindungen begrenzen.
Bevor Sie beginnen
Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
Siehe auch
Weitere Informationen erhalten Sie unter _conn_req_max_q0 in Oracle Solaris Tunable Parameters Reference Manual und auf der Manpage ipadm(1M).
Wenden Sie DoS-Angriffe ab, indem Sie mithilfe dieser Schritte die Anzahl der zulässigen eingehenden Verbindungen begrenzen.
Bevor Sie beginnen
Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
Siehe auch
Weitere Informationen finden Sie unter _conn_req_max_q in Oracle Solaris Tunable Parameters Reference Manual und auf der Manpage ipadm(1M).
Durch diesen Vorgang wird der Parameter für die TCP-Anfangssequenznummergenerierung so festgelegt, dass er RFC 1948 entspricht.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen, um eine Systemdatei zu ändern.
# vi /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
Viele Netzwerkparameter, die standardmäßig ausreichenden Schutz bieten, können geändert werden. Setzen Sie diese Parameter auf ihre Standardwerte zurück, sofern dadurch nicht gegen die Sicherheitsrichtlinien verstoßen wird.
Bevor Sie beginnen
Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein. Der abgeänderte Wert des Parameters bietet weniger Schutz als der Standardwert.
Der Standardwert verhindert DoS-Angriffe von nachgeahmten Paketen.
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
Weitere Informationen finden Sie unter forwarding (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual .
Durch den Standardwert wird die Verteilung von Informationen zur Netzwerktopologie verhindert.
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
Durch den Standardwert wird zusätzlicher CPU-Bedarf in Systemen sowie die Verteilung von Netzwerkinformationen unterbunden.
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
Durch den Standardwert wird zusätzlicher CPU-Bedarf in Systemen sowie die Verteilung von Netzwerkinformationen unterbunden.
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
Durch den Standardwert wird zusätzlicher CPU-Bedarf in Systemen unterbunden.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Wenn Sie zu Diagnosezwecken IP-Quellrouting durchführen müssen, deaktivieren Sie diesen Netzwerkparameter nicht.
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
Weitere Informationen erhalten Sie unter _rev_src_routes in Oracle Solaris Tunable Parameters Reference Manual.
Durch den Standardwert wird zusätzlicher CPU-Bedarf in Systemen unterbunden. Bei einer guten Netzwerkplanung sind Umleitungen normalerweise nicht nötig.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Siehe auch
Manpage ipadm(1M)