Ignora collegamenti di spostamento | |
Esci da visualizzazione stampa | |
Oracle Solaris 11 Security Guidelines Oracle Solaris 11 Information Library (Italiano) |
1. Panoramica della sicurezza di Oracle Solaris 11
2. Configurazione della sicurezza di Oracle Solaris 11
Installazione del SO Oracle Solaris
Disattivazione dei servizi non necessari
Disattivazione della gestione dell'alimentazione del sistema da parte degli utenti
Inserire un messaggio di sicurezza nei file banner
Inserire un messaggio di sicurezza nella schermata di login del desktop
Impostazione di password più complesse
Impostazione di un blocco dell'account per gli utenti regolari
Impostazione di un valore umask più restrittivo per gli utenti regolari.
Audit di eventi rilevanti oltre a Login/Logout
Monitoraggio degli eventi lo in tempo reale
Rimozione di privilegi di base non necessari all'utente
Visualizzare il messaggio di sicurezza per gli utenti ssh e ftp
Disattivazione del daemon di routing di rete.
Disattivazione dell'inoltro del pacchetto di broadcast
Disattivazione delle risposte a richieste di eco
Impostazione di un rigido multihoming
Impostazione del numero massimo di connessioni TCP incomplete
Impostazione del numero massimo di connessioni TCP in sospeso
Specificare un numero casuale intero per la connessione TCP iniziale
Protezione di file system e file
Protezione e modifica dei file
Sicurezza di applicazioni e servizi
Creazione di zone per contenere applicazioni critiche
Gestione delle risorse in zone
Aggiunta di SMF a un servizio legacy
Creazione di un'istantanea BART del sistema
Aggiunta di sicurezza multilivello (servizi con etichetta)
Configurazione di Trusted Extensions
Configurazione di IPsec con etichette
3. Monitoraggio e manutenzione della sicurezza di Oracle Solaris 11
A. Bibliografia per il documento sulla sicurezza in Oracle Solaris
A questo punto, dovrebbero essere stati creati sia utenti in grado di assumere ruoli, sia i ruoli stessi. Solo il ruolo root ha la possibilità di modificare i file di sistema.
Tra le attività di rete indicate di seguito, eseguire quelle che garantiscono maggiore sicurezza in base ai requisiti del sito. Queste attività di rete consentono di notificare agli utenti che hanno eseguito il login in remoto che il sistema è protetto e permettono di rafforzare i protocolli IP, ARP e TCP.
|
Utilizzare questa procedura per visualizzare le avvertenze al momento del login remoto e del trasferimento file.
Prima di cominciare
È necessario utilizzare il ruolo root. È stato creato il file /etc/issue in Punto 1 di Inserire un messaggio di sicurezza nei file banner.
# vi /etc/ssh/sshd_config # Banner to be printed before authentication starts. Banner /etc/issue
# svcadm refresh ssh
Per ulteriori informazioni, vedere le pagine man issue(4) e sshd_config(4).
# vi /etc/proftpd.conf # Banner to be printed before authentication starts. DisplayConnect /etc/issue
# svcadm restart ftp
Per ulteriori informazioni, vedere il sito Web ProFTPD.
Utilizzare questa procedura per prevenire il routing di rete dopo l'installazione specificando un router predefinito. In caso contrario, eseguire questa procedura dopo aver eseguito il routing manualmente.
Nota - Molte procedure di configurazione della rete richiedono la disattivazione del daemon di routing. Tuttavia, il daemon potrebbe essere stato disattivato nell'ambito di una procedura di configurazione più ampia.
Prima di cominciare
È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
Se il servizio non è in esecuzione, la procedura è conclusa.
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
Vedere anche
Pagina man routeadm(1M)
Per impostazione predefinita, Oracle Solaris inoltra pacchetti di broadcast. Se i criteri di sicurezza del sito richiede la riduzione delle possibilità di snellire il broadcast, modificare l'impostazione predefinita utilizzando questa procedura.
Nota - Quando si disattiva la proprietà di rete _forward_directed_broadcasts si disattivano anche i ping di broadcast.
Prima di cominciare
È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
Vedere anche
Pagina man ipadm(1M)
Utilizzare questa procedura per impedire la diffusione di informazioni sulla topologia di rete.
Prima di cominciare
È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
Vedere anche
Per ulteriori informazioni, vedere _respond_to_echo_broadcast and _respond_to_echo_multicast (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual e la pagina man ipadm(1M).
Per i sistemi che sono gateway per altri domini, come firewall o nodi VPN, utilizzare questa procedura per attivare un rigido livello di multihoming.
La release Oracle Solaris 11 introduce una nuova proprietà hostmodel per IPv4 e IPv6. Tale proprietà controlla i comportamenti di invio e ricezione dei pacchetti IP in un sistema di multihoming.
Prima di cominciare
È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
Vedere anche
Per ulteriori informazioni, vedere hostmodel (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual e la pagina man ipadm(1M).
Per ulteriori informazioni sull'utilizzo di un rigido multihoming, vedere How to Protect a VPN With IPsec in Tunnel Mode in Oracle Solaris Administration: IP Services .
Adottare questa procedura per prevenire attacchi DOS (denial of service) controllando il numero di connessioni in sospeso incomplete.
Prima di cominciare
È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
Vedere anche
Per ulteriori informazioni, vedere _conn_req_max_q0 in Oracle Solaris Tunable Parameters Reference Manual e la pagina man ipadm(1M).
Utilizzare questa procedura per impedire attacchi DOS controllando il numero di connessioni di ingresso consentite.
Prima di cominciare
È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
Vedere anche
Per ulteriori informazioni, vedere _conn_req_max_q in Oracle Solaris Tunable Parameters Reference Manual e la pagina man ipadm(1M).
Questa procedura consente di impostare il parametro di generazione del numero di sequenza iniziale TCP affinché sia conforme a RFC 1948.
Prima di cominciare
Per modificare un file system, è necessario che sia attivo il ruolo root.
# vi /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
Molti parametri di rete protetti per impostazione predefinita sono configurabili e possono essere modificati. Se le condizioni del sito lo consentono, ripristinare i seguenti parametri configurabili ai valori predefiniti.
Prima di cominciare
È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management). Il valore corrente del parametro è meno sicuro del valore predefinito.
Il valore predefinito impedisce attacchi DOS da pacchetti falsificati.
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
Per ulteriori informazioni, vedere forwarding (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual .
Il valore predefinito impedisce la diffusione di informazioni sulla topologia di rete.
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
Il valore predefinito consente di rimuovere ulteriori richieste di CPU sui sistemi e impedire la diffusione delle informazioni sulla rete.
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
Il valore predefinito consente di rimuovere ulteriori richieste di CPU sui sistemi e impedisce la diffusione delle informazioni sulla rete.
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
Il valore predefinito impedisce ulteriori richieste di CPU sui sistemi.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Se è necessario un routing di origine IP per scopi diagnostici, non disattivare questo parametro di rete.
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
Per ulteriori informazioni, vedere _rev_src_routes in Oracle Solaris Tunable Parameters Reference Manual .
Il valore predefinito impedisce ulteriori richieste di CPU sui sistemi. Generalmente, se la rete è ben progettata, non sono necessari reindirizzamenti.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Vedere anche
Pagina man ipadm(1M)