Ignorar Links de Navegao | |
Sair do Modo de Exibio de Impresso | |
Diretrizes de segurança do Oracle Solaris 11 Oracle Solaris 11 Information Library (Português (Brasil)) |
1. Visão geral da segurança do Oracle Solaris 11
2. Configuração da segurança do Oracle Solaris 11
Instalando o SO Oracle Solaris
Desativar serviços desnecessários
Remover a capacidade de gerenciamento de energia dos usuários
Colocar uma Mensagem de Segurança em Arquivos de Banner
Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho
Definir restrições de senha mais fortes
Definir o bloqueio de contas para usuários regulares
Definir um valor umask mais restritivo para usuários regulares
Auditar eventos significativos além de login/logout
Monitorar os eventos lo em tempo real
Remover privilégios básicos desnecessários de usuários
Exibir Mensagem de Segurança para Usuários ssh e ftp
Desativar o daemon de roteamento de rede
Desativar o encaminhamento de pacotes de difusão
Desativar respostas para solicitações de eco
Definir hospedagem múltipla estrita
Definir o número máximo de conexões TCP incompletas
Definir o número máximo de conexões TCP pendentes
Especificar um Número Aleatório Forte para a Conexão TCP Inicial
Redefinir os parâmetros de rede com valores seguros
Proteção dos sistemas de arquivos e arquivos
Proteção e modificação de arquivos
Proteção de aplicativos e serviços
Criação de zonas para conter aplicativos críticos
Gerenciamento de recursos em zonas
Configuração do recurso Filtro IP
Inclusão de SMF em um serviço herdado
Criação de um instantâneo BART do sistema
Inclusão de segurança multinível (rotulada)
Configuração do Trusted Extensions
Configuração de IPsec rotulada
3. Monitoramento e manutenção da segurança do Oracle Solaris 11
As tarefas a seguir têm melhores resultados quando executadas em ordem sequencial. Nesse ponto, o SO Oracle Solaris 11 já está instalado, e apenas o usuário inicial, que pode assumir a função root, tem acesso ao sistema.
|
Logo após a instalação, valide a instalação verificando os pacotes.
Antes de começar
É necessário estar na função root.
Para manter um registro, envie a saída do comando para um arquivo.
# pkg verify > /var/pkgverifylog
Consulte também
Para obter mais informações, consulte as páginas man pkg(1) e pkg(5). As páginas man contêm exemplos de uso do comando pkg verify.
Siga este procedimento para desativar serviços desnecessários, levando em conta a finalidade do sistema.
Antes de começar
É necessário estar na função root.
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
Por exemplo, se o sistema não for um servidor NFS nem um servidor Web e os serviços estiverem on-line, desative-os.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
Consulte também
Para obter mais informações, consulte o Capítulo 6, Managing Services (Overview), no Oracle Solaris Administration: Common Tasks e a página man svcs(1).
Siga este procedimento para impedir que os usuários desse sistema o suspendam ou desliguem.
Antes de começar
É necessário estar na função root.
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
Para obter instruções, consulte How to Create or Change a Rights Profile no Oracle Solaris Administration: Security Services.
#CONSOLE_USER=Console User
# usermod -P +new-profile username
Consulte também
Para obter mais informações, consulte as páginas man policy.conf File no Oracle Solaris Administration: Security Services e policy.conf(4) e usermod(1M).
Siga este procedimento para criar mensagens de aviso que reflitam a política de segurança da sua empresa. O conteúdo desses arquivos é exibido no login local e remoto.
Observação - As mensagens de exemplo contidas neste procedimento não atendem aos requisitos do governo dos Estados Unidos e, provavelmente, não atenderão à sua política de segurança.
Antes de começar
É necessário estar na função root. A prática recomendada é consultar o conselho jurídico da sua empresa sobre o conteúdo da mensagem de segurança.
# vi /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
Para obter mais informações, consulte a página man issue(4).
O programa telnet exibe o conteúdo do arquivo /etc/issue como sua mensagem de login. Para usar esse arquivo com outros aplicativos, consulte Exibir Mensagem de Segurança para Usuários ssh e ftp e Colocar Mensagem de Segurança na Tela de Login da Área de Trabalho.
# vi /etc/motd This system serves authorized users only. Activity is monitored and reported.
Escolha um método para criar uma mensagem de segurança a ser exibida aos usuários durante o login.
Para obter mais informações, clique em Sistema > menu Ajuda na área de trabalho para acessar o Navegador da Ajuda do GNOME. Você também pode usar o comando yelp. Os scripts de login da área de trabalho são discutidos na seção GDM Login Scripts and Session Files da página man gdm(1M).
Observação - A mensagem de exemplo contida neste procedimento não atende aos requisitos do governo dos Estados Unidos e, provavelmente, não atenderá à sua política de segurança.
Antes de começar
É necessário estar na função root. A prática recomendada é consultar o conselho jurídico da sua empresa sobre o conteúdo da mensagem de segurança.
Você tem várias opções. As opções que criam uma caixa de diálogo podem usar o arquivo /etc/issue da Etapa 1 de Colocar uma Mensagem de Segurança em Arquivos de Banner.
# vi /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
Depois de ser autenticado na janela de login, o usuário deverá fechar a caixa de diálogo para acessar o espaço de trabalho. Para obter opções para o comando zenity, consulte a página man zenity(1).
O diretório /etc/gdm contém três scripts de inicialização que exibem a mensagem de segurança antes, durante ou imediatamente após o login na área de trabalho. Esses scripts também estão disponíveis na release Oracle Solaris 10.
# vi /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
Este script é executado antes da exibição do espaço de trabalho do usuário. Você modifica o script Default.sample para criar este script.
# vi /etc/gdm/PostLogin/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
# vi /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
Observação - A caixa de diálogo pode ser coberta por janelas no espaço de trabalho do usuário.
A janela de login expande para ajustar sua mensagem. Este método não aponta para o arquivo /etc/issue. Você deve digitar o texto na GUI.
Observação - A janela de login, gdm-greeter-login-window.ui, é sobregravada pelos comandos pkg fix e pkg update. Para preservar suas alterações, copie o arquivo para um diretório de arquivos de configuração e mescle suas alterações com o novo arquivo após fazer upgrade do sistema. Para obter mais informações, consulte a página man pkg(5).
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
O programa glade-3 abre o designer de interface do GTK+. Você digita a mensagem de segurança em um rótulo exibido acima do campo de entrada do usuário.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
Para verificar o guia do designer de interface, clique em Desenvolvimento no Navegador da Ajuda do GNOME. A página man glade-3(1) está listada em Aplicativos na Páginas Man.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
Exemplo 2-1 Criando uma Mensagem de Aviso Curta no Login da Área de Trabalho
Neste exemplo, o administrador digita uma mensagem curta como um argumento para o comando zenity no arquivo de área de trabalho. O administrador também usa a opção --warning, que exibe um ícone de aviso com a mensagem.
# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application