Sicurezza del sistema

È consigliabile eseguire le seguenti attività nell'ordine indicato. Al termine della procedura, il sistema operativo Oracle Solaris è installato e solo l'utente iniziale che può assumere il ruolo root potrà accedervi.

Come verificare i pacchetti

Al completamento dell'installazione, convalidarla verificando i pacchetti.

Prima di cominciare

È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .

1. Eseguire il comando pkg verify.

   Per conservare un record, inviare l'output del comando a un file.

   # pkg verify > /var/pkgverifylog

2. Verificare che il log non contenga errori.
3. In caso contrario, ripetere l'installazione dal supporto o correggere gli errori.

Vedere anche

Per maggiori informazioni, vedere le pagine man pkg(1) e pkg(5) che includono esempi sull'utilizzo del comando pkg verify.

Come disattivare i servizi non necessari

Seguire questa procedura per disattivare i servizi non necessari al sistema.

Prima di cominciare

È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .

1. Elencare i servizi online.

   # svcs | grep network
   online         Sep_07   svc:/network/loopback:default
   ...
   online         Sep_07   svc:/network/ssh:default

2. Disattivare i servizi non necessari al sistema.

   Ad esempio, se il sistema non è un server NFS o un server Web e i servizi sono online, disattivarli.

   # svcadm disable svc:/network/nfs/server:default
   # svcadm disable svc:/network/http:apache22

Vedere anche

Per maggiori informazioni, vedere Capitolo 1, Managing Services (Overview) in Managing Services and Faults in Oracle Solaris 11.1 e la pagina man svcs(1).

Come disattivare la gestione dell'alimentazione del sistema da parte degli utenti

Seguire questa procedura per impedire agli utenti del sistema di sospenderlo o spegnerlo.

Prima di cominciare

È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .

1. Verificare i contenuti del profilo di diritti relativo all'utente della console (Console User).

   % getent prof_attr | grep Console
   Console User:RO::Manage System as the Console User:
   profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
   Brightness,CPU Power Management,Network Autoconf User;
   auths=solaris.system.shutdown;help=RtConsUser.html

2. Creare un profilo di diritti che includa, nel profilo utente della console (Console User), i diritti che si desidera attribuire all'utente.

   Per informazioni, vedere How to Create a Rights Profile in Oracle Solaris 11.1 Administration: Security Services .

3. Aggiungere un commento al profilo di diritti dell'utente della console (Console User) nel file /etc/security/policy.conf .

   #CONSOLE_USER=Console User

4. Assegnare agli utenti il profilo di diritti creato al Punto 2.

   # usermod -P +new-profile username

Vedere anche

Per maggiori informazioni, vedere policy.conf File in Oracle Solaris 11.1 Administration: Security Services e le pagine man policy.conf(4) e usermod(1M).

Come inserire un messaggio di sicurezza nei file banner

Utilizzare questa procedura per creare messaggi di sicurezza in due file banner che riflettano i criteri di sicurezza del sito. I contenuti di questi file vengono visualizzati al momento del login locale e remoto.

Prima di cominciare

È necessario diventare un amministratore con profilo dotato di diritti di amministratore per la modifica dei messaggi. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .

1. Aggiungere un messaggio di sicurezza al file /etc/issue.

   $ pfedit /etc/issue
         ALERT   ALERT   ALERT   ALERT   ALERT
   
   This machine is available to authorized users only.
   
   If you are an authorized user, continue. 
   
   Your actions are monitored, and can be recorded.

   Il comando login consente di visualizzare il contenuto del file /etc/issue prima dell'autenticazione, come per i servizi telnet e FTP. Per consentire ad altre applicazioni di utilizzare il file, vedere Come consentire la visualizzazione di un messaggio di sicurezza a utenti ssh e Come inserire un messaggio di sicurezza nella schermata di login del desktop.

   Per maggiori informazioni, vedere le pagine man issue(4) e pfedit(1M).

2. Aggiungere un messaggio di sicurezza al file /etc/motd.

   $ pfedit /etc/motd
   This system serves authorized users only. Activity is monitored and reported.

   In Oracle Solaris, la shell iniziale dell'utente mostra il contenuto del file /etc/motd.

Come inserire un messaggio di sicurezza nella schermata di login del desktop

Scegliere tra i diversi metodi per creare un messaggio di sicurezza che gli utenti possano visionare al login.

Per ulteriori informazioni, fare clic sul menu Sistema → Guida sul desktop per utilizzare il browser della guida di GNOME. È possibile utilizzare anche il comando yelp. Informazioni sugli script di login al desktop sono disponibili nella sezione GDM Login Scripts and Session Files della pagina man gdm(1M).

Prima di cominciare

Per creare un file, è necessario utilizzare il ruolo root. Per modificare un file esistente, è necessario diventare amministratore con autorizzazione solaris.admin.edit/path-to-existing-file.

• Inserire un messaggio di sicurezza nella schermata di login del desktop utilizzando una delle tre opzioni riportate di seguito:

  Le opzioni che consentono di creare una finestra di dialogo possono utilizzare il messaggio di sicurezza del file /etc/issue riportato in Punto 1 di Come inserire un messaggio di sicurezza nei file banner.

  • OPZIONE 1: Creare un file desktop che mostri il messaggio di sicurezza in una finestra di dialogo al login.

    # pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop
    [Desktop Entry]
    Type=Application
    Name=Banner Dialog
    Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
    --title="Security Message" \
    --filename=/etc/issue
    OnlyShowIn=GNOME;
    X-GNOME-Autostart-Phase=Application

    Dopo l'autenticazione nella finestra di login, l'utente deve chiudere la finestra di dialogo per raggiungere l'area di lavoro. Per le opzioni del comando zenity, consultare la pagina man zenity(1).

  • OPZIONE 2: Modificare uno script di inizializzazione GDM che mostri il messaggio di sicurezza in una finestra di dialogo.

    La directory /etc/gdm contiene tre script di inizializzazione che mostrano il messaggio di sicurezza prima, durante o immediatamente dopo il login al desktop. Tali script sono inoltre disponibili nella release Oracle Solaris 10.

    • Visualizzare il messaggio di sicurezza prima che venga aperta la schermata di login.

      $ pfedit /etc/gdm/Init/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message"  --filename=/etc/issue

      Per informazioni sulla modifica dei file di sistema in qualità di utente non-root, vedere la pagina man pfedit(1M).

    • Visualizzare il messaggio di sicurezza nell'area di lavoro iniziale dell'utente dopo l'autenticazione.

      $ pfedit /etc/gdm/PreSession/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message"  --filename=/etc/issue

      ---

      Nota - La finestra di dialogo può essere nascosta da finestre nell'area di lavoro dell'utente.

      ---

  • OPZIONE 3: Modificare la finestra di login per visualizzare il messaggio di sicurezza sopra il campo di inserimento.

    La finestra di login viene ingrandita per adattarsi al messaggio. Questo metodo non punta al file /etc/issue. È necessario digitare il testo nell'interfaccia utente grafica.

    ---

    Nota - La finestra di login, gdm-greeter-login-window.ui, viene sovrascritta dai comandi pkg fix e pkg update. Per conservare le modifiche apportate, copiare il file in una directory di file di configurazione e integrare le modifiche con il nuovo file dopo l'aggiornamento del sistema. Per ulteriori informazioni, consultare la pagina man pkg(5).

    ---

    1. Modificare la directory nell'interfaccia utente della finestra di login.

       # cd /usr/share/gdm

    2. (Opzionale) Salvare una copia dell'interfaccia utente della finestra di login originale.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig

    3. Aggiungere un'etichetta alla finestra di login utilizzando il generatore di interfacce del GNOME Toolkit.

       Il programma glade-3 consente di aprire il generatore di interfacce GTK. Digitare il messaggio di sicurezza in un'etichetta che viene visualizzata sopra il campo di immissione dell'utente.

       # /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui

       Per rivedere la guida per individuare il designer dell'interfaccia, fare clic su Development (Sviluppo) nel browser della guida di GNOME. La pagina man glade-3(1) è indicata in Applicazioni nelle pagine del manuale.

    4. (Opzionale) Salvare una copia dell'interfaccia utente della finestra di login modificata.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site

Esempio 2-1 Creazione di un breve messaggio di avvertenza al login del desktop

In questo esempio, l'amministratore digita un breve messaggio come argomento nel comando zenity nel file desktop. L'amministratore utilizza inoltre l'opzione --warning, che mostra un'icona di avvertenza con il messaggio.

# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application