Schutz für Benutzer

Nur der erste Benutzer, der zur Übernahme der root-Rolle berechtigt ist, kann zu diesem Zeitpunkt auf das System zugreifen. Sie sollten die Schritte in der vorgegebenen Reihenfolge durchführen, bevor sich normale Benutzer anmelden können.

Aufgabe	Beschreibung	Anweisungen siehe
Sichere Passwörter und häufige Passwortänderungen	Dadurch werden die standardmäßig auf jedem System vorhandenen Passwortbeschränkungen verstärkt.	Striktere Passwortbeschränkungen festlegen
Konfigurieren Sie restriktive Dateiberechtigungen für normale Benutzer.	Hierdurch wird ein restriktiverer Wert als `022` für Dateiberechtigungen der normalen Benutzer festgelegt.	Festlegen eines restriktiveren `umask`-Werts für normale Benutzer.
Legen Sie die Kontosperre für normale Benutzer fest.	Legt bei Systemen, die nicht für die Administration verwendet werden, die Kontosperre systemweit fest und verringert die Anzahl der Anmeldeversuche bis zur Aktivierung der Sperre.	Kontosperre für normale Benutzer festlegen
Treffen Sie eine Vorauswahl zusätzlicher Prüfklassen.	Auf diese Weise können Sie potenzielle Bedrohungen des Systems überwachen und aufzeichnen.	Wichtige Ereignisse außer Anmelden/Abmelden prüfen
Senden Sie Zusammenfassungen von Prüfereignissen in Textform an das Dienstprogramm `syslog`.	Enthält in Echtzeit aufgezeichnete, wichtige Prüfereignisse wie Anmeldungen und Anmeldeversuche.	`lo`-Ereignisse in Echtzeit überwachen.
Erstellen Sie Rollen.	Dadurch werden einzelne administrative Aufgaben an mehrere vertrauenswürdige Benutzer verteilt, sodass das System nicht beschädigt werden kann.	Setting Up and Managing User Accounts by Using the CLI in Managing User Accounts and User Environments in Oracle Solaris 11.1 How to Create a Role in Oracle Solaris 11.1 Administration: Security Services How to Assign a Role in Oracle Solaris 11.1 Administration: Security Services
Verringern Sie die Anzahl der sichtbaren GNOME-Desktopanwendungen.	Dadurch wird vermieden, dass Benutzer Desktopanwendungen benutzen, die die Sicherheit beeinträchtigen können.	Siehe Kapitel 11, Disabling Features in the Oracle Solaris Desktop System in Oracle Solaris 11.1 Desktop Administrator’s Guide.
Schränken Sie Benutzerrechte ein.	Dadurch werden die Basisberechtigungen entfernt, die Benutzer nicht benötigen.	Nicht benötigter Basisberechtigungen von Benutzern entfernen

Striktere Passwortbeschränkungen festlegen

Führen Sie diese Schritte durch, wenn die Standardwerte nicht den Sicherheitsbestimmungen Ihres Standorts entsprechen. Die Schritte richten sich nach der Liste der Einträge in der Datei /etc/default/passwd.

Bevor Sie beginnen

Vergewissern Sie sich vor Änderung der Standardwerte, dass sich dadurch alle Benutzer bei ihren Anwendungen und anderen Systemen im Netzwerk authentifizieren können.

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Bearbeiten Sie die Datei /etc/default/passwd und legen Sie Folgendes fest:
1. Passwortänderung durch den Benutzer frühestens alle drei Wochen, spätestens jeden Monat
```
## /etc/default/passwd
##
MAXWEEKS=
MINWEEKS=
MAXWEEKS=4
MINWEEKS=3
```
2. Passwortmindestlänge von 8 Zeichen
```
#PASSLENGTH=6
PASSLENGTH=8
```
3. Passwortabfolge
```
#HISTORY=0
HISTORY=10
```
4. Mindestabweichung vom letzten Passwort
```
#MINDIFF=3
MINDIFF=4
```
5. Obligatorische Verwendung eines Großbuchstabens
```
#MINUPPER=0
MINUPPER=1
```
6. Obligatorische Verwendung einer Zahl
```
#MINDIGIT=0
MINDIGIT=1
```

Siehe auch

Eine Liste von Variablen zur Erstellung sicherer Passwörter finden Sie in der Datei /etc/default/passwd. Die Standardwerte sind in der Datei angegeben.
Informationen zu den nach der Installation wirksamen Passwortbeschränkungen finden Sie in Eingeschränkter und überwachter Systemzugriff.
Manpage passwd(1)

Kontosperre für normale Benutzer festlegen

Führen Sie diese Schritte durch, um normale Benutzerkonten nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen zu sperren.

Hinweis - Legen Sie keine Kontosperre für Benutzer fest, die Rollen übernehmen können, da dadurch die Rolle gesperrt werden kann.

Bevor Sie beginnen

Legen Sie keinen systemweiten Schutz fest auf einem System, das Sie für administrative Aufgaben nutzen.

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Legen Sie das Sicherheitsattribut LOCK_AFTER_RETRIES auf YES fest.
- Legen Sie das Attribut systemweit fest.
```
# pfedit /etc/security/policy.conf
...
#LOCK_AFTER_RETRIES=NO
LOCK_AFTER_RETRIES=YES
...
```
- Legen Sie das Attribut für jeden Benutzer fest.
```
# usermod -K lock_after_retries=yes username
```

Legen Sie das Sicherheitsattribut RETRIES auf 3 fest.

# pfedit /etc/default/login
...
#RETRIES=5
RETRIES=3
...

Siehe auch

Eine Beschreibung der Sicherheitsattribute für Benutzer und Rollen finden Sie in Kapitel 10, Security Attributes in Oracle Solaris (Reference) in Oracle Solaris 11.1 Administration: Security Services.
Manpages policy.conf(4) und user_attr(4)

Festlegen eines restriktiveren `umask`-Werts für normale Benutzer.

Wenn der umask-Standardwert 022 nicht ausreichend ist, gehen Sie folgendermaßen vor, um einen restriktiveren Wert festzulegen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Ändern Sie den unmask-Wert in den Anmeldeprofilen in den Schemaverzeichnissen für die Shells.
Oracle Solaris bietet Administratoren Verzeichnisse zur benutzerdefinierten Anpassung der Shell-Standardwerte des Benutzers. In diesen Schemaverzeichnissen befinden sich u. a. die Dateien .profile , .bashrc und .kshrc.

Wählen Sie einen der folgenden Werte:
- umask 026 – bietet maßvollen Dateischutz
  
  (741) – r für Gruppe, x für andere
- umask 027 – bietet hohen Dateischutz
  
  (740) – r für Gruppe, kein Zugriff für andere Personen
- umask 077 – bietet kompletten Dateischutz
  
  (700) – kein Zugriff für Gruppen oder andere Personen

Siehe auch

Weitere Informationen finden Sie hier:

Wichtige Ereignisse außer Anmelden/Abmelden prüfen

Führen Sie diese Schritte durch, um administrative Befehle, Angriffsversuche auf das System und andere in Ihrer Standortsicherheitsrichtlinie angegebenen wichtige Ereignisse zu prüfen.

Hinweis - Die Beispiele in dieser Anweisung erfüllen möglicherweise nicht die Anforderungen Ihrer Sicherheitsrichtlinie.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Prüfen Sie alle Fälle, in denen privilegierte Befehle durch Benutzer und Rollen verwendet wurden.
Fügen Sie den Vorauswahlmasken aller Benutzer und Rollen das Prüfereignis AUE_PFEXEC hinzu.
```
# usermod -K audit_flags=lo,ps:no username
```
```
# rolemod -K audit_flags=lo,ps:no rolename
```
Zeichnen Sie die Argumente für Prüfbefehle auf.
```
# auditconfig -setpolicy +argv
```
Zeichnen Sie die Umgebung auf, in der Prüfbefehle ausgeführt werden.
```
# auditconfig -setpolicy +arge
```

Siehe auch

Informationen zum Thema Prüfungsrichtlinien finden Sie unter Audit Policy in Oracle Solaris 11.1 Administration: Security Services.
Beispiele für das Festlegen von Prüf-Flags finden Sie unter Configuring the Audit Service (Tasks) in Oracle Solaris 11.1 Administration: Security Services und unter Troubleshooting the Audit Service (Tasks) in Oracle Solaris 11.1 Administration: Security Services.
Informationen zum Konfigurieren von Prüfungen erhalten Sie auf der Manpage auditconfig(1M).

`lo`-Ereignisse in Echtzeit überwachen.

Führen Sie diese Schritte zum Aktivieren des audit_syslog-Plug-ins durch, um Ereignisse in Echtzeit zu überwachen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen, um die Datei syslog.conf zu ändern. Für die weiteren Schritte muss Ihnen das Rechteprofil "Audit Configuration" zugewiesen sein. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Senden Sie die lo-Klasse an das audit_syslog-Plug-in, und aktivieren Sie das Plug-in.
```
# auditconfig -setplugin audit_syslog active p_flags=lo
```

Prüfen Sie, welche system-log-Serviceinstanz online ist.

# svcs system-log
STATE          STIME    FMRI
disabled       13:11:55 svc:/system/system-log:rsyslog
online         13:13:27 svc:/system/system-log:default

Tipp - Wenn die rsyslog-Serviceinstanz online ist, ändern Sie die rsyslog.conf-Datei.

Fügen Sie den Eintrag audit.notice zur Datei syslog.conf hinzu.
Der Standardeintrag enthält den Speicherort der Protokolldatei.
```
# cat /etc/syslog.conf
…
audit.notice       /var/adm/auditlog
```
Erstellen Sie die Protokolldatei.
```
# touch /var/adm/auditlog
```
Aktualisieren Sie die Konfigurationsinformationen für den system-log-Service.
```
# svcadm refresh system-log:default
```
Hinweis - Aktualisieren Sie die system-log:rsyslog-Serviceinstanz, wenn der rsyslog-Service online ist.
Aktualisieren Sie den Prüfservice.
Bei Aktualisierung überträgt der Prüfservice die Änderungen an das Prüf-Plug-in.
```
# audit -s
```

Siehe auch

Ein Beispiel für das Senden von Prüfzusammenfassungen an ein anderes System finden Sie unter How to Configure syslog Audit Logs in Oracle Solaris 11.1 Administration: Security Services.
Die durch den Prüfservice generierte Ausgabe kann sehr umfangreich sein. Informationen zum Verwalten der Protokolle finden Sie auf der Manpage logadm(1M).
Informationen zum Überwachen der Ausgabe finden Sie in Überwachen von audit_syslog-Prüfzusammenfassungen.

Nicht benötigter Basisberechtigungen von Benutzern entfernen

Unter bestimmten Umständen können bis zu drei Basisberechtigungen aus einem Basissatz für normale Benutzer entfernt werden.

file_link_any – Ein Prozess kann dadurch Hard Links zu Dateien erstellen, deren Eigentümer eine UID ist, die sich von der tatsächlichen UID des Prozesses unterscheidet.
proc_info – Ein Prozess kann den Status anderer Prozesse untersuchen, an die er kein Signal sendet. Prozesse, die nicht untersucht werden können, werden in /proc nicht angezeigt und scheinen nicht vorhanden zu sein.
proc_session – Ein Prozess kann außerhalb seiner Sitzung Signale senden oder Prozesse verfolgen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services.

Benutzer sollen eine Datei, die sie nicht besitzen, nicht verlinken können.
```
# usermod -K 'defaultpriv=basic,!file_link_any' user
```
Benutzer sollen keine Prozesse untersuchen können, die sie nicht besitzen.
```
# usermod -K 'defaultpriv=basic,!proc_info' user
```
Benutzer sollen keine zweite Sitzung neben der aktuellen starten können, z. B. eine ssh-Sitzung.
```
# usermod -K 'defaultpriv=basic,!proc_session' user
```
Entfernen aller drei Basisberechtigungen aus einem Basissatz für normale Benutzer
```
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
```

Siehe auch

Weitere Informationen finden Sie in Kapitel 8, Using Roles and Privileges (Overview) in Oracle Solaris 11.1 Administration: Security Services und auf der Manpage privileges(5).

Navigationslinks überspringen
Druckansicht beenden
	Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11.1 Information Library (Deutsch)