Navigationslinks überspringen | |
Druckansicht beenden | |
Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11.1 Information Library (Deutsch) |
1. Übersicht über die Oracle Solaris-Sicherheitsfunktionen
2. Konfigurieren der Oracle Solaris-Sicherheitsfunktionen
Installieren von Oracle Solaris
Nicht erforderliche Services deaktivieren
Energieverwaltungsfunktion für Benutzer entfernen
Sicherheitsmeldung zu allen Bannerdateien hinzufügen
Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen
Striktere Passwortbeschränkungen festlegen
Kontosperre für normale Benutzer festlegen
Festlegen eines restriktiveren umask-Werts für normale Benutzer.
Wichtige Ereignisse außer Anmelden/Abmelden prüfen
lo-Ereignisse in Echtzeit überwachen.
Nicht benötigter Basisberechtigungen von Benutzern entfernen
Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden.
Schutz von Dateisystemen und Dateien
Die Größe des tmpfs-Dateisystems beschränken
Schutz von Anwendungen und Services
Erstellen von Zonen für die Aufnahme wichtiger Anwendungen
Konfigurieren von IPsec und IKE
Hinzufügen von SMF zu einem veralteten Service
Erstellen eines BART-Schnappschusses des Systems
Hinzufügen einer mehrstufigen (gekennzeichneten) Sicherheit
Konfiguration von Trusted Extensions
Konfigurieren von Labeled IPsec
3. Überwachen und Verwalten der Oracle Solaris-Sicherheitsfunktionen
Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen. Zu diesem Zeitpunkt ist das Oracle Solaris-Betriebssystem installiert und nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann auf das System zugreifen.
|
Validieren Sie die Installation direkt nach dem Installationsvorgang, indem Sie die Pakete überprüfen.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
Leiten Sie die Befehlsausgabe zur Dokumentation in eine Datei um.
# pkg verify > /var/pkgverifylog
Siehe auch
Weitere Informationen finden Sie auf den Manpages pkg(1) und pkg(5). Die Manpages enthalten Beispiele zur Verwendung des Befehls pkg verify.
Führen Sie diese Schritte durch, um je nach Verwendungszweck Ihres Systems nicht erforderliche Services zu deaktivieren.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
Beispiel: Wenn es sich beim System nicht um einen NFS-Server oder Webserver handelt und Services online sind, deaktivieren Sie sie.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
Siehe auch
Weitere Informationen finden Sie in Kapitel 1, Managing Services (Overview) in Managing Services and Faults in Oracle Solaris 11.1 und auf der Manpage svcs(1).
Führen Sie diese Schritte durch, damit Benutzer das System weder anhalten noch abschalten können.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
Anweisungen dazu finden Sie unter How to Create a Rights Profile in Oracle Solaris 11.1 Administration: Security Services.
#CONSOLE_USER=Console User
# usermod -P +new-profile username
Siehe auch
Weitere Informationen finden Sie unter policy.conf File in Oracle Solaris 11.1 Administration: Security Services sowie auf den Manpages policy.conf(4) und usermod(1M).
Führen Sie diese Schritte durch, um Sicherheitsmeldungen in zwei Bannerdateien zu erstellen, die Ihrer Standortsicherheitsrichtlinie entsprechen. Der Inhalt dieser Bannerdateien wird bei der lokalen und der Remote-Anmeldung angezeigt.
Hinweis - Die hier als Beispiele angeführten Meldungen entsprechen nicht den Anforderungen der US-Behörden und wahrscheinlich auch nicht Ihrer Sicherheitsrichtlinie. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.
Bevor Sie beginnen
Sie müssen Administrator mit dem zugewiesenen Rechteprofil "Administrator Message Edit" sein. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.
$ pfedit /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
Der login-Befehl zeigt den Inhalt von /etc/issue vor der Authentifizierung an, so wie es auch die telnet- und FTP-Services tun. Weitere Informationen dazu, wie auch andere Anwendungen diese Datei nutzen können, finden Sie unter Sicherheitsmeldung für Benutzern anzeigen, die sich mit dem Befehl ssh anmelden. und Sicherheitsmeldung in den Desktop-Anmeldebildschirm einfügen.
Weitere Informationen finden Sie auf den Manpages issue(4) und pfedit(1M).
$ pfedit /etc/motd This system serves authorized users only. Activity is monitored and reported.
In Oracle Solaris zeigt die ursprüngliche Shell des Benutzers den Inhalt der /etc/motd-Datei an.
Wählen Sie eine Methode zur Erstellung einer Sicherheitsmeldung, die Benutzern bei der Anmeldung angezeigt wird.
Weitere Informationen erhalten Sie durch den GNOME Help Browser (GNOME-Hilfebrowser). Klicken Sie dazu auf dem Desktop auf "System" und dann → "Hilfe". Sie können stattdessen auch den Befehl yelp verwenden. Desktop-Anmeldeskripte werden im Abschnitt GDM Login Scripts and Session Files der Manpage gdm(1M) behandelt.
Hinweis - Die hier als Beispiel angeführte Meldung entspricht nicht den Anforderungen der US-Behörden und wahrscheinlich auch nicht Ihrer Sicherheitsrichtlinie. Es empfiehlt sich, den Inhalt der Sicherheitsmeldung mit dem Rechtsberater im Unternehmen zu besprechen.
Bevor Sie beginnen
Zu Erstellung einer Datei müssen Sie die root-Rolle annehmen. Um bereits vorhandene Datei ändern zu können, müssen Sie ein Administrator mit zugewiesener solaris.admin.edit/path-to-existing-file-Autorisierung sein.
Die Optionen, mit denen ein Dialogfeld erstellt wird, verwenden möglicherweise die Sicherheitsmeldung der Datei /etc/issue aus Schritt 1 von Sicherheitsmeldung zu allen Bannerdateien hinzufügen.
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
Nach der Authentifizierung im Anmeldebildschirm muss der Benutzer das Dialogfeld schließen, um zum Arbeitsbereich zu gelangen. Optionen des Befehls zenity finden Sie auf der Manpage zenity(1).
Das Verzeichnis /etc/gdm enthält drei Initialisierungsskripte, die die Sicherheitsmeldung vor, während oder direkt nach der Desktop-Anmeldung anzeigen. Diese Skripte sind in der Oracle Solaris 10-Version ebenfalls verfügbar.
$ pfedit /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Weitere Informationen über die Bearbeitung von Systemdateien als Nicht-root-Benutzer erhalten Sie über die Manpage pfedit(1M).
$ pfedit /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Hinweis - Das Dialogfeld kann durch Fenster im Arbeitsbereich des Benutzers verdeckt werden.
Die Größe des Anmeldefensters wird angepasst, sodass Ihre Meldung sichtbar ist. Diese Methode enthält keinen Verweis auf die Datei /etc/issue. Sie müssen den Text in die grafische Benutzeroberfläche eingeben.
Hinweis - Der Anmeldebildschirm gdm-greeter-login-window.ui wird durch die Befehle pkg fix und pkg update überschrieben. Damit Ihre Änderungen beibehalten werden, kopieren Sie die Datei in ein Konfigurationsdateienverzeichnis, und führen Sie die Änderungen darin nach dem Systemupgrade mit der neuen Datei zusammen. Weitere Informationen erhalten Sie auf der Manpage pkg(5).
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
Der Benutzeroberflächendesigner GTK+ wird durch das Programm glade-3 geöffnet. Sie geben die Sicherheitsmeldung in eine Beschriftung ein, die über dem Eingabefeld angezeigt wird.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
Das Handbuch zum Benutzeroberflächendesigner finden Sie im GNOME Help Browser (GNOME-Hilfebrowser) unter "Development" (Entwicklung). Die Manpage glade-3(1) ist im Handbuch unter "Applications" (Anwendungen) aufgeführt.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
Beispiel 2-1 Erstellen einer kurzen Warnmeldung zur Anzeige bei der Desktop-Anmeldung
In diesem Beispiel gibt der Administrator einen kurzen Meldungstext als Argument für den Befehl zenity in die Desktop-Datei ein. Darüber hinaus verwendet der Administrator die Option --warning, durch die ein Warnsymbol zusammen mit dem Text angezeigt wird.
# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application