Proteção dos usuários

Nesse ponto, somente o usuário inicial, que pode assumir a função root, tem acesso ao sistema. Para que os usuários regulares possam fazer login, execute as tarefas a seguir em ordem sequencial.

Como definir restrições de senha mais fortes

Siga este procedimento se os padrões não atenderem aos requisitos de segurança da sua empresa. As etapas seguem a lista de entradas no arquivo /etc/default/passwd .

Antes de começar

Antes de alterar os padrões, verifique se as alterações permitem que todos os usuários façam a autenticação em seus aplicativos e em outros sistemas na rede.

Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

• Edite o arquivo /etc/default/passwd.
  1. Exija que os usuários alterem as senhas todos os meses, mas não mais do que a cada três semanas.

     ## /etc/default/passwd
     ##
     MAXWEEKS=
     MINWEEKS=
     MAXWEEKS=4
     MINWEEKS=3

  2. Exija uma senha de, pelo menos, oito caracteres.

     #PASSLENGTH=6
     PASSLENGTH=8

  3. Mantenha um histórico de senhas.

     #HISTORY=0
     HISTORY=10

  4. Exija uma diferença mínima da última senha.

     #MINDIFF=3
     MINDIFF=4

  5. Exija, pelo menos, uma letra maiúscula.

     #MINUPPER=0
     MINUPPER=1

  6. Exija, pelo menos, um dígito.

     #MINDIGIT=0
     MINDIGIT=1

Consulte também

• Para obter a lista de variáveis que restringem a criação de senhas, consulte o arquivo /etc/default/passwd. Os padrões são indicados no arquivo.

• Para aplicar as restrições de senha após a instalação, consulte O acesso ao sistema é limitado e monitorado.

• Página man passwd(1)

Como definir o bloqueio de contas para usuários regulares

Siga este procedimento para bloquear contas de usuários regulares após determinado número de tentativas de login malsucedidas.

Antes de começar

Não defina essa proteção em todo o sistema usado para atividades administrativas.

Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

1. Defina o atributo de segurança LOCK_AFTER_RETRIES como YES.
   • Defina em todo o sistema.

     # pfedit /etc/security/policy.conf
     ...
     #LOCK_AFTER_RETRIES=NO
     LOCK_AFTER_RETRIES=YES
     ...

   • Defina por usuário.

     # usermod -K lock_after_retries=yes username

2. Defina o atributo de segurança RETRIES como 3 .

   # pfedit /etc/default/login
   ...
   #RETRIES=5
   RETRIES=3
   ...

Consulte também

• Para ler uma discussão sobre atributos de segurança de usuário e função, consulte o Capítulo 10, Security Attributes in Oracle Solaris (Reference), no Oracle Solaris 11.1 Administration: Security Services.

• As páginas man selecionadas incluem policy.conf(4) e user_attr(4).

Como definir um valor umask mais restritivo para usuários regulares

Se o valor umask padrão, 022, não for restritivo o suficiente, defina uma máscara mais restritiva seguindo este procedimento.

Antes de começar

Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

• Modifique o valor umask nos perfis de login dos diretórios esqueleto para os diferentes shells.

  Oracle Solaris fornece diretórios para que os administradores personalizem padrões de shell do usuário. Esses diretórios esqueleto incluem arquivos, como .profile , .bashrc e .kshrc.

  Escolha um dos seguintes valores:

  • umask 026 – fornece proteção de arquivos moderada

    (741) – r para grupo, x para outros

  • umask 027 – fornece proteção de arquivos severa

    (740) – r para grupo, nenhum acesso para outros

  • umask 077 – fornece uma proteção de arquivos mais completa

    (700) – nenhum acesso para grupos e para outros

Consulte também

Para obter mais informações, consulte:

• Setting Up and Managing User Accounts by Using the CLI no Managing User Accounts and User Environments in Oracle Solaris 11.1

• Default umask Value no Oracle Solaris 11.1 Administration: Security Services

• As páginas man selecionadas incluem usermod(1M) e umask(1).

Como auditar eventos significativos além de login/logout

Siga este procedimento para auditar comandos administrativos, tentativas de invadir o sistema e outros eventos significativos, conforme especificado pela política de segurança da sua empresa.

Antes de começar

Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

1. Audite todos os usos de comandos privilegiados por usuários e funções.

   Para todos os usuários e funções, adicione o evento de auditoria AUE_PFEXEC à sua máscara de pré-seleção.

   # usermod -K audit_flags=lo,ps:no username

   # rolemod -K audit_flags=lo,ps:no rolename

2. Registre os argumentos para comandos auditados.

   # auditconfig -setpolicy +argv

3. Registre o ambiente no qual os comandos auditados são executados.

   # auditconfig -setpolicy +arge

Consulte também

• Para obter informações sobre política de auditoria, consulte Audit Policy no Oracle Solaris 11.1 Administration: Security Services.

• Para obter exemplos de definição de sinalizadores de auditoria, consulte Configuring the Audit Service (Tasks) no Oracle Solaris 11.1 Administration: Security Services e Troubleshooting the Audit Service (Tasks) no Oracle Solaris 11.1 Administration: Security Services.

• Para configurar a auditoria, consulte a página man auditconfig(1M).

Como monitorar os eventos lo em tempo real

Siga este procedimento para ativar o plugin audit_syslog em relação a eventos que deseja monitorar à medida que eles ocorrem.

Antes de começar

É necessário assumir a função root para modificar o arquivo syslog.conf . Outras etapas requerem que seja atribuído a você o perfil de direitos Configuração de auditoria. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

1. Envie a classe lo para o plug-in audit_syslog e torne o plug-in ativo.

   # auditconfig -setplugin audit_syslog active p_flags=lo

2. Determine qual instância de serviço system-log está on-line.

   # svcs system-log
   STATE          STIME    FMRI
   disabled       13:11:55 svc:/system/system-log:rsyslog
   online         13:13:27 svc:/system/system-log:default

   ---

   Dica - Se a instância de serviço rsyslog estiver on-line, modifique o arquivo rsyslog.conf.

   ---

3. Adicione uma entrada audit.notice ao arquivo syslog.conf.

   A entrada padrão inclui o local do arquivo de log.

   # cat /etc/syslog.conf
   …
   audit.notice       /var/adm/auditlog

4. Crie o arquivo de log.

   # touch /var/adm/auditlog

5. Atualize as informações de configuração para o serviço system-log.

   # svcadm refresh system-log:default

   ---

   Observação - Atualize a instância de serviço system-log:rsyslog se o serviço rsyslog estiver on-line.

   ---

6. Atualize o serviço de auditoria.

   O serviço de auditoria lê as alterações feitas no plugin de auditoria na atualização.

   # audit -s

Consulte também

• Para enviar os resumos de auditoria a outro sistema, consulte o exemplo após How to Configure syslog Audit Logs no Oracle Solaris 11.1 Administration: Security Services.

• O serviço de auditoria pode gerar uma saída extensiva. Para gerenciar os logs, consulte a página man logadm(1M).

• Para monitorar a saída, consulte Monitoramento de resumos de auditoria audit_syslog.

Como remover privilégios básicos desnecessários de usuários

Em determinadas circunstâncias, um ou mais dos três privilégios básicos podem ser removidos do conjunto básico de um usuário regular.

• file_link_any – permite que um processo crie links físicos para arquivos pertencentes a um UID diferente do UID efetivo do processo.

• proc_info – permite que um processo examine o status de processos que não sejam aqueles para os quais ele pode enviar sinais. Processos que não é possível examinar não podem ser vistos em /proc e parecem não existir.

• proc_session – permite que um processo envie sinais ou rastreie processos fora de sua sessão.

Antes de começar

Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.

1. Impeça que um usuário se vincule a um arquivo que não lhe pertence.

   # usermod -K 'defaultpriv=basic,!file_link_any' user

2. Impeça que um usuário examine processos que não lhe pertencem.

   # usermod -K 'defaultpriv=basic,!proc_info' user

3. Impeça que um usuário inicie uma segunda sessão, como ssh, a partir da sessão atual do usuário.

   # usermod -K 'defaultpriv=basic,!proc_session' user

4. Remova os três privilégios do conjunto básico de um usuário.

   # usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user

Consulte também

Para obter mais informações, consulte o Capítulo 8, Using Roles and Privileges (Overview), no Oracle Solaris 11.1 Administration: Security Services e a página man privileges(5).