Schutz für Benutzer

Nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann zu diesem Zeitpunkt auf das System zugreifen. Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen, bevor sich normale Benutzer anmelden können.

Festlegen strikterer Passwortbeschränkungen

Führen Sie diese Schritte durch, wenn die Standardwerte nicht den Sicherheitsbestimmungen Ihres Standorts entsprechen. Die Schritte richten sich nach der Liste der Einträge in der Datei /etc/default/passwd.

Bevor Sie beginnen

Vergewissern Sie sich vor Änderung der Standardwerte, dass sich dadurch alle Benutzer bei ihren Anwendungen und anderen Systemen im Netzwerk authentifizieren können.

Sie müssen die root-Rolle übernehmen.

• Bearbeiten Sie die Datei /etc/default/passwd und legen Sie Folgendes fest:
  1. Passwortänderung durch den Benutzer frühestens alle drei Wochen, spätestens jeden Monat

     ## /etc/default/passwd
     ##
     MAXWEEKS=
     MINWEEKS=
     MAXWEEKS=4
     MINWEEKS=3

  2. Passwortmindestlänge von 8 Zeichen

     #PASSLENGTH=6
     PASSLENGTH=8

  3. Passwortabfolge

     #HISTORY=0
     HISTORY=10

  4. Mindestabweichung vom letzten Passwort

     #MINDIFF=3
     MINDIFF=4

  5. Obligatorische Verwendung eines Großbuchstabens

     #MINUPPER=0
     MINUPPER=1

  6. Obligatorische Verwendung einer Zahl

     #MINDIGIT=0
     MINDIGIT=1

Siehe auch

• Eine Liste von Variablen zur Erstellung sicherer Passwörter finden Sie in der Datei /etc/default/passwd. Die Standardwerte sind in der Datei angegeben.

• Informationen zu den nach der Installation wirksamen Passwortbeschränkungen finden Sie in Eingeschränkter und überwachter Systemzugriff.

• Manpage passwd(1)

Festlegen der Kontosperre für normale Benutzer

Führen Sie diese Schritte durch, um normale Benutzerkonten nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen zu sperren.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Legen Sie keinen systemweiten Schutz fest auf einem System, das Sie für administrative Aufgaben nutzen.

1. Legen Sie das Sicherheitsattribut LOCK_AFTER_RETRIES auf YES fest.
   • Legen Sie das Attribut systemweit fest.

     # vi /etc/security/policy.conf
     ...
     #LOCK_AFTER_RETRIES=NO
     LOCK_AFTER_RETRIES=YES
     ...

   • Legen Sie das Attribut für jeden Benutzer fest.

     # usermod -K lock_after_retries=yes username

2. Legen Sie das Sicherheitsattribut RETRIES auf 3 fest.

   # vi /etc/default/login
   ...
   #RETRIES=5
   RETRIES=3
   ...

Siehe auch

• Eine Beschreibung der Sicherheitsattribute für Benutzer und Rollen finden Sie in Kapitel 10, Security Attributes in Oracle Solaris (Reference) in Oracle Solaris Administration: Security Services.

• Manpages policy.conf(4) und user_attr(4)

Festlegen eines restriktiveren umask-Werts für normale Benutzer

Wenn der umask-Standardwert 022 nicht ausreichend ist, gehen Sie folgendermaßen vor, um einen restriktiveren Wert festzulegen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen.

• Ändern Sie den unmask-Wert in den Anmeldeprofilen in den Schemaverzeichnissen für die Shells.

  Oracle Solaris bietet Administratoren Verzeichnisse zur benutzerdefinierten Anpassung der Shell-Standardwerte des Benutzers. In diesen Schemaverzeichnissen befinden sich u. a. die Dateien .profile , .bashrc und .kshrc.

  Wählen Sie einen der folgenden Werte:

  • umask 027 – bietet maßvollen Dateischutz

    (740) – w für Gruppe, rwx für andere

  • umask 026 – bietet leicht erhöhten Dateischutz

    (741) – w für Gruppe, rw für andere

  • umask 077 – bietet kompletten Dateischutz

    (700) – kein Zugriff für Gruppen oder andere Personen

Siehe auch

Weitere Informationen finden Sie hier:

• Setting Up User Accounts in Oracle Solaris Administration: Common Tasks

• Default umask Value in Oracle Solaris Administration: Security Services

• Manpages usermod(1M) und umask(1)

Prüfen wichtiger Ereignisse außer Anmelden/Abmelden

Führen Sie diese Schritte durch, um administrative Befehle, Angriffsversuche auf das System und andere in Ihrer Standortsicherheitsrichtlinie angegebenen wichtige Ereignisse zu prüfen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Sie implementieren Ihre Standortsicherheitsrichtlinie im Hinblick auf Prüfungen.

1. Prüfen Sie alle Fälle, in denen privilegierte Befehle durch Benutzer und Rollen verwendet wurden.

   Fügen Sie den Vorauswahlmasken aller Benutzer und Rollen das Prüfereignis AUE_PFEXEC hinzu.

   # usermod -K audit_flags=lo,ps:no username

   # rolemod -K audit_flags=lo,ps:no rolename

2. Zeichnen Sie die Argumente für Prüfbefehle auf.

   # auditconfig -setpolicy +argv

3. Zeichnen Sie die Umgebung auf, in der Prüfbefehle ausgeführt werden.

   # auditconfig -setpolicy +arge

Siehe auch

• Informationen zum Thema Prüfungsrichtlinien finden Sie unter Audit Policy in Oracle Solaris Administration: Security Services .

• Beispiele für das Festlegen von Prüf-Flags finden Sie unter Configuring the Audit Service (Tasks) in Oracle Solaris Administration: Security Services und unter Troubleshooting the Audit Service (Tasks) in Oracle Solaris Administration: Security Services .

• Informationen zum Konfigurieren von Prüfungen erhalten Sie auf der Manpage auditconfig(1M).

Überwachen von lo-Ereignissen in Echtzeit

Führen Sie diese Schritte zum Aktivieren des audit_syslog-Plug-ins durch, um Ereignisse in Echtzeit zu überwachen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen, um die Datei syslog.conf zu ändern. Für die weiteren Schritte muss Ihnen das Rechteprofil "Audit Configuration" zugewiesen sein.

1. Senden Sie die Klasselo an das audit_syslog-Plug-in und aktivieren Sie das Plug-in.

   # auditconfig -setplugin audit_syslog active p_flags=lo

2. Fügen Sie einen audit.notice-Eintrag zur Datei syslog.conf hinzu.

   Der Standardeintrag enthält den Speicherort der Protokolldatei.

   # cat /etc/syslog.conf
   …
   audit.notice       /var/adm/auditlog

3. Erstellen Sie die Protokolldatei.

   # touch /var/adm/auditlog

4. Aktualisieren Sie die Konfigurationsinformationen für den syslog-Service.

   # svcadm refresh system/system-log

5. Aktualisieren Sie den Prüfservice.

   Bei Aktualisierung überträgt der Prüfservice die Änderungen an das Prüf-Plug-in.

   # audit -s

Siehe auch

• Ein Beispiel für das Senden von Prüfzusammenfassungen an ein anderes System finden Sie unter How to Configure syslog Audit Logs in Oracle Solaris Administration: Security Services.

• Die durch den Prüfservice generierte Ausgabe kann sehr umfangreich sein. Informationen zum Verwalten der Protokolle finden Sie auf der Manpage logadm(1M).

• Informationen zum Überwachen der Ausgabe finden Sie in Überwachen von audit_syslog-Prüfzusammenfassungen.

Entfernen nicht benötigter Basisberechtigungen von Benutzern

Unter bestimmten Umständen können bis zu drei Basisberechtigungen aus einem Basissatz für normale Benutzer entfernt werden.

• file_link_any – Ein Prozess kann dadurch Hard Links zu Dateien erstellen, deren Eigentümer eine UID ist, die sich von der tatsächlichen UID des Prozesses unterscheidet.

• proc_info – Ein Prozess kann den Status anderer Prozesse untersuchen, an die er kein Signal sendet. Prozesse, die nicht untersucht werden können, werden in /proc nicht angezeigt und scheinen nicht vorhanden zu sein.

• proc_session – Ein Prozess kann außerhalb seiner Sitzung Signale senden oder Prozesse verfolgen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen.

1. Benutzer sollen eine Datei, die sie nicht besitzen, nicht verlinken können.

   # usermod -K defaultpriv=basic,!file_link_any user

2. Benutzer sollen keine Prozesse untersuchen können, die sie nicht besitzen.

   # usermod -K defaultpriv=basic,!proc_info user

3. Benutzer sollen keine zweite Sitzung neben der aktuellen starten können, z. B. eine ssh-Sitzung.

   # usermod -K defaultpriv=basic,!proc_session user

4. Entfernen aller drei Basisberechtigungen aus einem Basissatz für normale Benutzer

   # usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user

Siehe auch

Weitere Informationen finden Sie in Kapitel 8, Using Roles and Privileges (Overview) in Oracle Solaris Administration: Security Services und auf der Manpage privileges(5).