JavaScript is required to for searching.
跳過導航連結
結束列印檢視
Oracle Solaris 11 安全性指導方針     Oracle Solaris 11 Information Library (繁體中文)
Oracle 技術網
文件庫
PDF
列印檢視
回饋
search filter icon
search icon

文件資訊

前言

1.  Oracle Solaris 11 安全性簡介

2.  配置 Oracle Solaris 11 安全性

安裝 Oracle Solaris 作業系統

保護系統

驗證套裝軟體

停用不需要的服務

移除使用者的電源管理能力

將安全訊息放置在標題檔案中

將安全訊息放置在桌面登入畫面上

保護使用者

設定較強的密碼限制

設定一般使用者的帳戶鎖定

為一般使用者設定更具限制性的 umask

稽核登入/登出以外的重大事件

即時監視 lo 事件

移除使用者不需要的基本權限

保護核心

配置網路

ssh ftp 使用者顯示安全訊息

停用網路路由常駐程式

停用廣播封包轉寄

停用對回應要求的回應

設定限制多址功能

設定未完成 TCP 的最大連線數

設定擱置 TCP 的最大連線數

指定用於初始 TCP 連線的強式亂數

將網路參數重設為安全值

保護檔案系統與檔案

保護與修改檔案

保護應用程式與服務

建立區域以包含重要的應用程式

管理區域中的資源

配置 IPsec 和 IKE

配置 IP 篩選器

配置 Kerberos

新增 SMF 至原來的服務

建立系統 BART 快照

新增多層級 (標示) 安全性

配置 Trusted Extensions

配置標示 IPsec

3.  監視和維護 Oracle Solaris 11 安全性

A.  Oracle Solaris 安全性的參考書目

配置網路

此時,您可能已建立可擔任角色的使用者,並且建立角色。僅有 root 角色才可以修改系統檔案。

根據您的網站需求,從下列網路作業執行能夠提供額外安全性的作業。這些網站作業會通知遠端登入的使用者其系統已受保護以及強化 IP、ARP 及 TCP 通訊協定。

作業
說明
相關說明
顯示反映您網站之安全性策略的警告訊息。
通知使用者及可能的攻擊者系統已受監控。
ssh ftp 使用者顯示安全訊息
停用網路路由常駐程式。
限制可能的網路封包監聽程式存取系統。
停用網路路由常駐程式
防止散播網路拓樸資訊。
防止廣播封包。
停用廣播封包轉寄
防止回應廣播回應要求和多重播送回應要求。
停用對回應要求的回應
針對做為其他網域之閘道器的系統 (例如防火牆或 VPN 節點),開啟限制嚴格的來源和目標多址功能。
防止將標頭沒有閘道器位址的封包移出閘道器。
設定限制多址功能
控制未完成的系統連線數,防止 DOS 攻擊。
限制 TCP 偵聽程式允許的未完成 TCP 連線數。
設定未完成 TCP 的最大連線數
控制許可的傳入連線數,防止 DOS 攻擊。
指定 TCP 偵聽程式預設的擱置 TCP 最大連線數。
設定擱置 TCP 的最大連線數
產生用於初始 TCP 連線數的強式亂數。
與由 RFC 1948 所指定的順序編號產生值相符。
指定用於初始 TCP 連線的強式亂數
將網路參數回復成安全預設值。
增加因管理動作而降低的安全性。
將網路參數重設為安全值
將 TCP 包裝程式增加到網路服務,以限制合法使用者的應用程式。
指定允許存取網路服務的系統,例如 FTP。

依預設,會使用 TCP 包裝程式保護 sendmail 應用程式,如「Oracle Solaris Administration: Network Services」中的「Support for TCP Wrappers From Version 8.12 of sendmail」所述。
若要為所有 inetd 服務啟用 TCP 包裝程式,請參閱「Oracle Solaris Administration: IP Services」中的「How to Use TCP Wrappers to Control Access to TCP Services」

如需 TCP 包裝程式保護 FTP 網路服務的範例,請參閱「Oracle Solaris Administration: Network Services」中的「How to Start an FTP Server Using SMF」

ssh ftp 使用者顯示安全訊息

在遠端登入和檔案傳輸時會使用此程序來顯示警告。

開始之前

您必須為 root 角色。您已在 將安全訊息放置在標題檔案中步驟 1 中建立 /etc/issue 檔案。

  1. 如果要向使用 ssh 登入的使用者顯示安全訊息,請執行下列動作:
    1. 取消 /etc/sshd_config 檔案中之 [標題] 指令的註釋。
      # vi /etc/ssh/sshd_config
# Banner to be printed before authentication starts.
Banner /etc/issue
    2. 重新整理 ssh 服務。
      # svcadm refresh ssh

    如需更多資訊,請參閱「issue(4) 線上手冊」和「sshd_config(4) 線上手冊」。

  2. 如果要向使用 ftp 登入的使用者顯示安全訊息,請執行下列動作:
    1. DisplayConnect 指令新增至 proftpd.conf 檔案。
      # vi /etc/proftpd.conf
# Banner to be printed before authentication starts.
DisplayConnect /etc/issue
    2. 重新啟動 ftp 服務。
      # svcadm restart ftp

      如需更多資訊,請參閱 ProFTPD 網站。

停用網路路由常駐程式

使用此程序指定預設路由器以防止在安裝之後執行網路路由。否則,請在手動配置路由之後執行此程序。

備註 - 許多網路配置程序都需要停用路由常駐程式。因此,做為較大配置程序中的一部分,您可能要停用此常駐程式。

開始之前

您必須被指派網路管理權限設定檔。

  1. 確認路由常駐程式是否正在執行。
    # svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

    如果服務未執行,您可進行到此步驟為止。

  2. 停用路由常駐程式。
    # routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u
  3. 確認路由常駐程式是否已停用。
    # svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://sun.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

另請參閱

routeadm(1M) 線上手冊」

停用廣播封包轉寄

依預設,&OSOL 會轉寄廣播封包。如果您的網站安全性策略需要降低廣播大量湧入的可能性,請使用此程序變更預設。

備註 - 當您停用 _forward_directed_broadcasts 網路特性時,也會停用廣播偵測。

開始之前

您必須被指派網路管理權限設定檔。

  1. 將 IP 封包的廣播封包轉寄特性設定為 0。
    # ipadm set-prop -p _forward_directed_broadcasts=0 ip
  2. 驗證目前的值。
    # ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

另請參閱

ipadm(1M) 線上手冊」

停用對回應要求的回應

使用此程序防止網路拓樸資訊的散播。

開始之前

您必須被指派網路管理權限設定檔。

  1. 對 IP 封包的廣播回應要求特性的回應設定為 0,然後驗證目前的值。
    # ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1
  2. 對 IP 封包的多重播送回應要求特性的回應設定為 0,然後驗證目前的值。
    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

另請參閱

如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「_respond_to_echo_broadcast and _respond_to_echo_multicast (ipv4 or ipv6)」和「ipadm(1M) 線上手冊」。

設定限制多址功能

針對做為其他網域之閘道器的系統 (例如防火牆或 VPN 節點),使用此程序以開啟限制多址功能。

Oracle Solaris 11 發行版本為 IPv4 和 IPv6 引進了一項新的 hostmodel 特性。此特性會控制多址系統上 IP 封包的傳送與接收運作方式。

開始之前

您必須被指派網路管理權限設定檔。

  1. 將 IP 封包的 hostmodel 特性設定為 strong
    # ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6
  2. 驗證目前的值並注意可能的值。
    # ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

另請參閱

如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual 」中的「hostmodel (ipv4 or ipv6)」和「ipadm(1M) 線上手冊」。

如需更多使用限制多址功能的資訊,請參閱「Oracle Solaris Administration: IP Services」中的「How to Protect a VPN With IPsec in Tunnel Mode」

設定未完成 TCP 的最大連線數

使用此程序控制未完成擱置連線數,防止組絕服務 (DOS) 攻擊。

開始之前

您必須被指派網路管理權限設定檔。

  1. 設定傳入的最大連線數。
    # ipadm set-prop -p _conn_req_max_q0=4096 tcp
  2. 驗證目前的值。
    # ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

另請參閱

如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「_conn_req_max_q0」和「ipadm(1M) 線上手冊」。

設定擱置 TCP 的最大連線數

使用此程序控制許可的傳入連線數,防止 DOS 攻擊。

開始之前

您必須被指派網路管理權限設定檔。

  1. 設定傳入的最大連線數。
    # ipadm set-prop -p _conn_req_max_q=1024 tcp
  2. 驗證目前的值。
    # ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

另請參閱

如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「_conn_req_max_q」和「ipadm(1M) 線上手冊」。

指定用於初始 TCP 連線的強式亂數

此程序會設定 TCP 初始順序編號產生參數以遵循 RFC 1948

開始之前

您必須是 root 角色才能修改系統檔案。

將網路參數重設為安全值

依預設,許多安全的網路參數皆可調整,因此您可進行變更。如果網站條件許可,請將下列可調整的參數回復為預設值。

開始之前

您必須被指派網路管理權限設定檔。參數目前的值比預設值的安全性低。

  1. 將 IP 封包的來源封包轉寄特性設定為 0,然後驗證目前的值。

    預設值會防止來自詐騙封包的 DOS 攻擊。

    # ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

    如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「forwarding (ipv4 or ipv6)」

  2. 將 IP 封包的網路遮罩回應特性設定為 0,然後驗證目前的值。

    預設值會防止網路拓樸資訊的散播。

    # ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1
  3. 將 IP 封包的時間戳記回應特性設定為 0,然後驗證目前的值。

    預設值會依系統需求移除額外的 CPU,並防止網路資訊的散播。

    # ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1
  4. 將 IP 封包的廣播時間戳記特性設定為 0,然後驗證目前的值。

    預設值會依系統需求移除額外的 CPU,並防止網路資訊的散播。

    # ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1
  5. 將 IP 封包的忽略重新導向特性設定為 0,然後驗證目前的值。

    預設值會依系統需求防止使用額外的 CPU。

    # ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   0         --           0         0,1
  6. 防止 IP 來源發送。

    如果您因診斷目的需要 IP 來源發送,請勿停用此網路參數。

    # ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _rev_src_routes   rw   0         --           0         0,1

    如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「_rev_src_routes」

  7. 將 IP 封包的忽略重新導向特性設定為 0,然後驗證目前的值。

    預設值會依系統需求防止使用額外的 CPU。一般而言,在設計優良的網路上不需要重新導向功能。

    # ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4   _ignore_redirect   rw    0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   _ignore_redirect   rw    0         --           0         0,1

另請參閱

ipadm(1M) 線上手冊」

版權所有 © 2011, 2012, Oracle 和 (或) 其關係公司。 保留一切權利。 法律聲明
上一頁 下一頁