Ignora collegamenti di spostamento | |
Esci da visualizzazione stampa | |
Linee guida per la sicurezza di Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Italiano) |
1. Panoramica della sicurezza di Oracle Solaris
2. Configurazione della sicurezza di Oracle Solaris
Installazione del SO Oracle Solaris
Come disattivare i servizi non necessari
Come disattivare la gestione dell'alimentazione del sistema da parte degli utenti
Come inserire un messaggio di sicurezza nei file banner
Come inserire un messaggio di sicurezza nella schermata di login del desktop
Come impostare password più complesse
Come impostare un blocco dell'account per gli utenti regolari
Come impostare un valore umask più restrittivo per gli utenti regolari
Come eseguire l'audit di eventi rilevanti oltre a Login/Logout
Come monitorare gli eventi lo in tempo reale
Come rimuovere privilegi di base non necessari all'utente
Come consentire la visualizzazione di un messaggio di sicurezza a utenti ssh
Protezione di file system e file
Come limitare le dimensioni del file system tmpfs
Protezione e modifica dei file
Sicurezza di applicazioni e servizi
Creazione di zone per contenere applicazioni critiche
Gestione delle risorse in zone
Aggiunta di SMF a un servizio legacy
Creazione di un'istantanea BART del sistema
Aggiunta di sicurezza multilivello (servizi con etichetta)
Configurazione di Trusted Extensions
Configurazione di IPsec con etichette
3. Monitoraggio e manutenzione della sicurezza di Oracle Solaris
A. Bibliografia per il documento sulla sicurezza in Oracle Solaris
È consigliabile eseguire le seguenti attività nell'ordine indicato. Al termine della procedura, il sistema operativo Oracle Solaris è installato e solo l'utente iniziale che può assumere il ruolo root potrà accedervi.
|
Al completamento dell'installazione, convalidarla verificando i pacchetti.
Prima di cominciare
È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
Per conservare un record, inviare l'output del comando a un file.
# pkg verify > /var/pkgverifylog
Vedere anche
Per maggiori informazioni, vedere le pagine man pkg(1) e pkg(5) che includono esempi sull'utilizzo del comando pkg verify.
Seguire questa procedura per disattivare i servizi non necessari al sistema.
Prima di cominciare
È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
Ad esempio, se il sistema non è un server NFS o un server Web e i servizi sono online, disattivarli.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
Vedere anche
Per maggiori informazioni, vedere Capitolo 1, Managing Services (Overview) in Managing Services and Faults in Oracle Solaris 11.1 e la pagina man svcs(1).
Seguire questa procedura per impedire agli utenti del sistema di sospenderlo o spegnerlo.
Prima di cominciare
È necessario utilizzare il ruolo root. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
Per informazioni, vedere How to Create a Rights Profile in Oracle Solaris 11.1 Administration: Security Services .
#CONSOLE_USER=Console User
# usermod -P +new-profile username
Vedere anche
Per maggiori informazioni, vedere policy.conf File in Oracle Solaris 11.1 Administration: Security Services e le pagine man policy.conf(4) e usermod(1M).
Utilizzare questa procedura per creare messaggi di sicurezza in due file banner che riflettano i criteri di sicurezza del sito. I contenuti di questi file vengono visualizzati al momento del login locale e remoto.
Nota - I messaggi di esempio riportati nella descrizione della procedura non soddisfano i requisiti governativi degli Stati Uniti e potrebbero non soddisfare i criteri di sicurezza. È consigliabile contattare un consulente legale dell'azienda in merito al contenuto del messaggio di sicurezza.
Prima di cominciare
È necessario diventare un amministratore con profilo dotato di diritti di amministratore per la modifica dei messaggi. Per maggiori informazioni, vedere How to Use Your Assigned Administrative Rights in Oracle Solaris 11.1 Administration: Security Services .
$ pfedit /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
Il comando login consente di visualizzare il contenuto del file /etc/issue prima dell'autenticazione, come per i servizi telnet e FTP. Per consentire ad altre applicazioni di utilizzare il file, vedere Come consentire la visualizzazione di un messaggio di sicurezza a utenti ssh e Come inserire un messaggio di sicurezza nella schermata di login del desktop.
Per maggiori informazioni, vedere le pagine man issue(4) e pfedit(1M).
$ pfedit /etc/motd This system serves authorized users only. Activity is monitored and reported.
In Oracle Solaris, la shell iniziale dell'utente mostra il contenuto del file /etc/motd.
Scegliere tra i diversi metodi per creare un messaggio di sicurezza che gli utenti possano visionare al login.
Per ulteriori informazioni, fare clic sul menu Sistema → Guida sul desktop per utilizzare il browser della guida di GNOME. È possibile utilizzare anche il comando yelp. Informazioni sugli script di login al desktop sono disponibili nella sezione GDM Login Scripts and Session Files della pagina man gdm(1M).
Nota - I messaggi di esempio riportati nella descrizione della procedura non soddisfano i requisiti governativi degli Stati Uniti e potrebbero non soddisfare i criteri di sicurezza. È consigliabile contattare un consulente legale dell'azienda in merito al contenuto del messaggio di sicurezza.
Prima di cominciare
Per creare un file, è necessario utilizzare il ruolo root. Per modificare un file esistente, è necessario diventare amministratore con autorizzazione solaris.admin.edit/path-to-existing-file.
Le opzioni che consentono di creare una finestra di dialogo possono utilizzare il messaggio di sicurezza del file /etc/issue riportato in Punto 1 di Come inserire un messaggio di sicurezza nei file banner.
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
Dopo l'autenticazione nella finestra di login, l'utente deve chiudere la finestra di dialogo per raggiungere l'area di lavoro. Per le opzioni del comando zenity, consultare la pagina man zenity(1).
La directory /etc/gdm contiene tre script di inizializzazione che mostrano il messaggio di sicurezza prima, durante o immediatamente dopo il login al desktop. Tali script sono inoltre disponibili nella release Oracle Solaris 10.
$ pfedit /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Per informazioni sulla modifica dei file di sistema in qualità di utente non-root, vedere la pagina man pfedit(1M).
$ pfedit /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Nota - La finestra di dialogo può essere nascosta da finestre nell'area di lavoro dell'utente.
La finestra di login viene ingrandita per adattarsi al messaggio. Questo metodo non punta al file /etc/issue. È necessario digitare il testo nell'interfaccia utente grafica.
Nota - La finestra di login, gdm-greeter-login-window.ui, viene sovrascritta dai comandi pkg fix e pkg update. Per conservare le modifiche apportate, copiare il file in una directory di file di configurazione e integrare le modifiche con il nuovo file dopo l'aggiornamento del sistema. Per ulteriori informazioni, consultare la pagina man pkg(5).
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
Il programma glade-3 consente di aprire il generatore di interfacce GTK. Digitare il messaggio di sicurezza in un'etichetta che viene visualizzata sopra il campo di immissione dell'utente.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
Per rivedere la guida per individuare il designer dell'interfaccia, fare clic su Development (Sviluppo) nel browser della guida di GNOME. La pagina man glade-3(1) è indicata in Applicazioni nelle pagine del manuale.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
Esempio 2-1 Creazione di un breve messaggio di avvertenza al login del desktop
In questo esempio, l'amministratore digita un breve messaggio come argomento nel comando zenity nel file desktop. L'amministratore utilizza inoltre l'opzione --warning, che mostra un'icona di avvertenza con il messaggio.
# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application