Ignorar Links de Navegao | |
Sair do Modo de Exibio de Impresso | |
Diretrizes de Segurança do Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Português (Brasil)) |
1. Visão geral da segurança do Oracle Solaris
2. Configuração da segurança do Oracle Solaris
Instalando o SO Oracle Solaris
Como desativar serviços desnecessários
Como remover a capacidade de gerenciamento de energia dos usuários
Como colocar uma mensagem de segurança em arquivos de banner
Como colocar uma mensagem de segurança na tela de login da área de trabalho
Como definir restrições de senha mais fortes
Como definir o bloqueio de contas para usuários regulares
Como definir um valor umask mais restritivo para usuários regulares
Como auditar eventos significativos além de login/logout
Como exibir uma mensagem de segurança para usuários ssh
Proteção dos sistemas de arquivos e arquivos
Como limitar o tamanho do sistema de arquivos tmpfs
Proteção e modificação de arquivos
Proteção de aplicativos e serviços
Criação de zonas para conter aplicativos críticos
Gerenciamento de recursos em zonas
Configuração do recurso Filtro IP
Inclusão de SMF em um serviço herdado
Criação de um instantâneo BART do sistema
Inclusão de segurança multinível (rotulada)
Configuração do Trusted Extensions
Configuração de IPsec rotulada
3. Monitoramento e manutenção da segurança do Oracle Solaris
Nesse ponto, somente o usuário inicial, que pode assumir a função root, tem acesso ao sistema. Para que os usuários regulares possam fazer login, execute as tarefas a seguir em ordem sequencial.
|
Siga este procedimento se os padrões não atenderem aos requisitos de segurança da sua empresa. As etapas seguem a lista de entradas no arquivo /etc/default/passwd .
Antes de começar
Antes de alterar os padrões, verifique se as alterações permitem que todos os usuários façam a autenticação em seus aplicativos e em outros sistemas na rede.
Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
Consulte também
Para obter a lista de variáveis que restringem a criação de senhas, consulte o arquivo /etc/default/passwd. Os padrões são indicados no arquivo.
Para aplicar as restrições de senha após a instalação, consulte O acesso ao sistema é limitado e monitorado.
Página man passwd(1)
Siga este procedimento para bloquear contas de usuários regulares após determinado número de tentativas de login malsucedidas.
Observação - Não defina o bloqueio de contas para usuários que possam assumir funções, pois isso bloqueará a função.
Antes de começar
Não defina essa proteção em todo o sistema usado para atividades administrativas.
Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
Consulte também
Para ler uma discussão sobre atributos de segurança de usuário e função, consulte o Capítulo 10, Security Attributes in Oracle Solaris (Reference), no Oracle Solaris 11.1 Administration: Security Services.
As páginas man selecionadas incluem policy.conf(4) e user_attr(4).
Se o valor umask padrão, 022, não for restritivo o suficiente, defina uma máscara mais restritiva seguindo este procedimento.
Antes de começar
Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
Oracle Solaris fornece diretórios para que os administradores personalizem padrões de shell do usuário. Esses diretórios esqueleto incluem arquivos, como .profile , .bashrc e .kshrc.
Escolha um dos seguintes valores:
umask 026 – fornece proteção de arquivos moderada
(741) – r para grupo, x para outros
umask 027 – fornece proteção de arquivos severa
(740) – r para grupo, nenhum acesso para outros
umask 077 – fornece uma proteção de arquivos mais completa
(700) – nenhum acesso para grupos e para outros
Consulte também
Para obter mais informações, consulte:
Default umask Value no Oracle Solaris 11.1 Administration: Security Services
As páginas man selecionadas incluem usermod(1M) e umask(1).
Siga este procedimento para auditar comandos administrativos, tentativas de invadir o sistema e outros eventos significativos, conforme especificado pela política de segurança da sua empresa.
Observação - Os exemplos neste procedimento podem não ser suficientes para atender à sua política de segurança.
Antes de começar
Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
Para todos os usuários e funções, adicione o evento de auditoria AUE_PFEXEC à sua máscara de pré-seleção.
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
Consulte também
Para obter informações sobre política de auditoria, consulte Audit Policy no Oracle Solaris 11.1 Administration: Security Services.
Para obter exemplos de definição de sinalizadores de auditoria, consulte Configuring the Audit Service (Tasks) no Oracle Solaris 11.1 Administration: Security Services e Troubleshooting the Audit Service (Tasks) no Oracle Solaris 11.1 Administration: Security Services.
Para configurar a auditoria, consulte a página man auditconfig(1M).
Siga este procedimento para ativar o plugin audit_syslog em relação a eventos que deseja monitorar à medida que eles ocorrem.
Antes de começar
É necessário assumir a função root para modificar o arquivo syslog.conf . Outras etapas requerem que seja atribuído a você o perfil de direitos Configuração de auditoria. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
# auditconfig -setplugin audit_syslog active p_flags=lo
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
Dica - Se a instância de serviço rsyslog estiver on-line, modifique o arquivo rsyslog.conf.
A entrada padrão inclui o local do arquivo de log.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system-log:default
Observação - Atualize a instância de serviço system-log:rsyslog se o serviço rsyslog estiver on-line.
O serviço de auditoria lê as alterações feitas no plugin de auditoria na atualização.
# audit -s
Consulte também
Para enviar os resumos de auditoria a outro sistema, consulte o exemplo após How to Configure syslog Audit Logs no Oracle Solaris 11.1 Administration: Security Services.
O serviço de auditoria pode gerar uma saída extensiva. Para gerenciar os logs, consulte a página man logadm(1M).
Para monitorar a saída, consulte Monitoramento de resumos de auditoria audit_syslog.
Em determinadas circunstâncias, um ou mais dos três privilégios básicos podem ser removidos do conjunto básico de um usuário regular.
file_link_any – permite que um processo crie links físicos para arquivos pertencentes a um UID diferente do UID efetivo do processo.
proc_info – permite que um processo examine o status de processos que não sejam aqueles para os quais ele pode enviar sinais. Processos que não é possível examinar não podem ser vistos em /proc e parecem não existir.
proc_session – permite que um processo envie sinais ou rastreie processos fora de sua sessão.
Antes de começar
Você deve assumir a função root. Para obter mais informações, consulte How to Use Your Assigned Administrative Rights no Oracle Solaris 11.1 Administration: Security Services.
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Consulte também
Para obter mais informações, consulte o Capítulo 8, Using Roles and Privileges (Overview), no Oracle Solaris 11.1 Administration: Security Services e a página man privileges(5).