Systemsicherung

Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen. Zu diesem Zeitpunkt ist das Oracle Solaris-Betriebssystem installiert und nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann auf das System zugreifen.

Aufgabe	Beschreibung	Anweisungen siehe
1. Überprüfen der Pakete im System	Dadurch wird überprüft, ob die Pakete auf dem Installationsdatenträger den installierten Paketen entsprechen.	Pakete überprüfen
2. Schutz der Hardwareeinstellungen des Systems	Die Hardware wird geschützt, indem ein Passwort für Änderungen der Hardwareeinstellungen verlangt wird.	Controlling Access to System Hardware (Tasks) in Oracle Solaris 11.1 Administration: Security Services
3. Deaktivieren nicht erforderlicher Services	Prozesse, die für den Systemablauf nicht erforderlich sind, werden nicht ausgeführt.	Nicht erforderliche Services deaktivieren
5. Kein Ausschalten des Systems durch den Eigentümer der Workstation	Dadurch soll vermieden werden, dass der Konsolenbenutzer das System ausschaltet oder anhält.	Energieverwaltungsfunktion für Benutzer entfernen
6. Erstellen Sie eine Anmeldewarnmeldung gemäß Ihrer Standortsicherheitsrichtlinie.	Benutzer und potenzielle Angreifer werden benachrichtigt, dass das System überwacht wird.	Sicherheitsmeldung zu allen Bannerdateien hinzufügen Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen

Pakete überprüfen

Validieren Sie die Installation direkt nach dem Installationsvorgang, indem Sie die Pakete überprüfen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Führen Sie den Befehl pkg verify aus.
Leiten Sie die Befehlsausgabe zur Dokumentation in eine Datei um.
```
# pkg verify > /var/pkgverifylog
```
Sehen Sie in der Protokolldatei nach, ob Fehler aufgetreten sind.
Wenn Sie Fehler finden, führen Sie eine Neuinstallation vom Datenträger durch oder beheben Sie die Fehler.

Siehe auch

Weitere Informationen finden Sie auf den Manpages pkg(1) und pkg(5). Die Manpages enthalten Beispiele zur Verwendung des Befehls pkg verify.

Nicht erforderliche Services deaktivieren

Führen Sie diese Schritte durch, um je nach Verwendungszweck Ihres Systems nicht erforderliche Services zu deaktivieren.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Rufen Sie die Liste der Onlineservices auf.

# svcs | grep network
online         Sep_07   svc:/network/loopback:default
...
online         Sep_07   svc:/network/ssh:default

Deaktivieren Sie die für das System nicht erforderlichen Services.
Beispiel: Wenn es sich beim System nicht um einen NFS-Server oder Webserver handelt und Services online sind, deaktivieren Sie sie.
```
# svcadm disable svc:/network/nfs/server:default
# svcadm disable svc:/network/http:apache22
```

Siehe auch

Weitere Informationen finden Sie in Kapitel 1, Managing Services (Overview) in Managing Services and Faults in Oracle Solaris 11.1 und auf der Manpage svcs(1).

Energieverwaltungsfunktion für Benutzer entfernen

Führen Sie diese Schritte durch, damit Benutzer das System weder anhalten noch abschalten können.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Überprüfen Sie den Inhalt des Rechteprofils "Console User".

% getent prof_attr | grep Console
Console User:RO::Manage System as the Console User:
profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
Brightness,CPU Power Management,Network Autoconf User;
auths=solaris.system.shutdown;help=RtConsUser.html

Erstellen Sie ein Rechteprofil, das Rechte im Profil "Console User" enthält, die der Benutzer behalten soll.
Anweisungen dazu finden Sie unter How to Create a Rights Profile in Oracle Solaris 11.1 Administration: Security Services.
Setzen Sie das Rechteprofil "Console User" in der Datei /etc/security/policy.conf in Kommentare.
```
#CONSOLE_USER=Console User
```
Weisen Sie einem Benutzer das Rechteprofil zu, das Sie unter Schritt 2 erstellt haben.
```
# usermod -P +new-profile username
```

Siehe auch

Weitere Informationen finden Sie unter policy.conf File in Oracle Solaris 11.1 Administration: Security Services sowie auf den Manpages policy.conf(4) und usermod(1M).

Sicherheitsmeldung zu allen Bannerdateien hinzufügen

Führen Sie diese Schritte durch, um Sicherheitsmeldungen in zwei Bannerdateien zu erstellen, die Ihrer Standortsicherheitsrichtlinie entsprechen. Der Inhalt dieser Bannerdateien wird bei der lokalen und der Remote-Anmeldung angezeigt.

Hinweis - Die hier als Beispiele angeführten Meldungen entsprechen nicht den Anforderungen der US-Behörden und wahrscheinlich auch nicht Ihrer Sicherheitsrichtlinie. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.

Bevor Sie beginnen

Sie müssen Administrator mit dem zugewiesenen Rechteprofil "Administrator Message Edit" sein. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Fügen Sie der Datei /etc/issue eine Sicherheitsmeldung hinzu.
```
$ pfedit /etc/issue
      ALERT   ALERT   ALERT   ALERT   ALERT

This machine is available to authorized users only.

If you are an authorized user, continue. 

Your actions are monitored, and can be recorded.
```
Der login-Befehl zeigt den Inhalt von /etc/issue vor der Authentifizierung an, so wie es auch die telnet- und FTP-Services tun. Weitere Informationen dazu, wie auch andere Anwendungen diese Datei nutzen können, finden Sie unter Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden. und Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen.
Weitere Informationen finden Sie auf den Manpages issue(4) und pfedit(1M).
Fügen Sie der Datei /etc/motd eine Sicherheitsmeldung hinzu.
```
$ pfedit /etc/motd
This system serves authorized users only. Activity is monitored and reported.
```
In Oracle Solaris zeigt die ursprüngliche Shell des Benutzers den Inhalt der /etc/motd-Datei an.

Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen

Wählen Sie eine Methode zur Erstellung einer Sicherheitsmeldung, die Benutzern bei der Anmeldung angezeigt wird.

Weitere Informationen erhalten Sie durch den GNOME Help Browser (GNOME-Hilfebrowser). Klicken Sie dazu auf dem Desktop auf "System" und dann → "Hilfe". Sie können stattdessen auch den Befehl yelp verwenden. Desktop-Anmeldeskripte werden im Abschnitt GDM Login Scripts and Session Files der Manpage gdm(1M) behandelt.

Hinweis - Die hier als Beispiel angeführte Meldung entspricht nicht den Anforderungen der US-Behörden und wahrscheinlich auch nicht Ihrer Sicherheitsrichtlinie. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.

Bevor Sie beginnen

Zu Erstellung einer Datei müssen Sie die root-Rolle annehmen. Um bereits vorhandene Datei ändern zu können, müssen Sie ein Administrator mit zugewiesener solaris.admin.edit/path-to-existing-file-Autorisierung sein.

Fügen Sie eine Sicherheitsmeldung in den Desktopanmeldebildschirm ein, indem Sie eine der drei nachfolgenden Optionen auswählen:
Die Optionen, mit denen ein Dialogfeld erstellt wird, verwenden möglicherweise die Sicherheitsmeldung der Datei /etc/issue aus Schritt 1 von Sicherheitsmeldung zu allen Bannerdateien hinzufügen.
- Option 1: Erstellen Sie eine Desktop-Datei, durch die bei der Anmeldung eine Sicherheitsmeldung in einem Dialogfeld angezeigt wird.
```
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message" \
--filename=/etc/issue
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application
```
  Nach der Authentifizierung im Anmeldebildschirm muss der Benutzer das Dialogfeld schließen, um zum Arbeitsbereich zu gelangen. Optionen des Befehls zenity finden Sie auf der Manpage zenity(1).
- Option 2: Passen Sie ein GDM-Initialisierungsskript so an, dass die Sicherheitsmeldung in einem Dialogfeld angezeigt wird.
  Das Verzeichnis /etc/gdm enthält drei Initialisierungsskripte, die die Sicherheitsmeldung vor, während oder direkt nach der Desktop-Anmeldung anzeigen. Diese Skripte sind in der Oracle Solaris 10-Version ebenfalls verfügbar.
  - Zeigen Sie die Sicherheitsmeldung vor dem Anmeldebildschirm an.
```
$ pfedit /etc/gdm/Init/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    Weitere Informationen über die Bearbeitung von Systemdateien als Nicht-root-Benutzer erhalten Sie über die Manpage pfedit(1M).
  - Zeigen Sie die Sicherheitsmeldung nach der Authentifizierung ganz am Anfang des Arbeitsbereichs des Benutzers an.
```
$ pfedit /etc/gdm/PreSession/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    Hinweis - Das Dialogfeld kann durch Fenster im Arbeitsbereich des Benutzers verdeckt werden.
- Option 3: Ändern Sie den Anmeldebildschirm, sodass die Sicherheitsmeldung über dem Eingabefeld angezeigt wird.
  Die Größe des Anmeldefensters wird angepasst, sodass Ihre Meldung sichtbar ist. Diese Methode enthält keinen Verweis auf die Datei /etc/issue. Sie müssen den Text in die grafische Benutzeroberfläche eingeben.
  
  Hinweis - Der Anmeldebildschirm gdm-greeter-login-window.ui wird durch die Befehle pkg fix und pkg update überschrieben. Damit Ihre Änderungen beibehalten werden, kopieren Sie die Datei in ein Konfigurationsdateienverzeichnis, und führen Sie die Änderungen darin nach dem Systemupgrade mit der neuen Datei zusammen. Weitere Informationen erhalten Sie auf der Manpage pkg(5).
  1. Wechseln Sie das Verzeichnis und gehen Sie zur Benutzeroberfläche des Anmeldefensters.
```
# cd /usr/share/gdm
```
  2. (Optional) Speichern Sie eine Kopie der ursprünglichen Benutzeroberfläche des Anmeldebildschirms.
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
```
  3. Fügen Sie dem Anmeldefenster mithilfe des GNOME Toolkit interface designer (GNOME-Toolkit-Benutzeroberflächendesigner) eine Beschriftung hinzu.
    Der Benutzeroberflächendesigner GTK+ wird durch das Programm glade-3 geöffnet. Sie geben die Sicherheitsmeldung in eine Beschriftung ein, die über dem Eingabefeld angezeigt wird.
```
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
```
    Das Handbuch zum Benutzeroberflächendesigner finden Sie im GNOME Help Browser (GNOME-Hilfebrowser) unter "Development" (Entwicklung). Die Manpage glade-3(1) ist im Handbuch unter "Applications" (Anwendungen) aufgeführt.
  4. (Optional) Speichern Sie eine Kopie der geänderten Benutzeroberfläche des Anmeldebildschirms.
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
```

Beispiel 2-1 Erstellen einer kurzen Warnmeldung zur Anzeige bei der Desktop-Anmeldung

In diesem Beispiel gibt der Administrator einen kurzen Meldungstext als Argument für den Befehl zenity in die Desktop-Datei ein. Darüber hinaus verwendet der Administrator die Option --warning, durch die ein Warnsymbol zusammen mit dem Text angezeigt wird.

# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application

Navigationslinks überspringen
Druckansicht beenden
	Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11.1 Information Library (Deutsch)