Go to main content

Oracle SuperCluster M7 Series - Sicherheitshandbuch

Druckansicht beenden

Aktualisiert: Februar 2016
 
 

Deaktivieren nicht erforderlicher Services (Rechenserver)

  1. Melden Sie sich bei einem der Rechenserver an, und rufen Sie die Hostkonsole als Superuser auf.

    Siehe Anmelden bei einem Rechenserver und Ändern des Standardpasswortes.

  2. Deaktivieren Sie die NFS-Statusüberwachung, wenn das System kein NFS-Client oder -Server ist.

    Dieser Service kommuniziert mit lockd(1M), um die Crash- und Recovery-Funktionen für die Sperrservices auf NFS bereitzustellen

    # svcadm disable svc:/network/nfs/status
  3. Deaktivieren Sie den NFS-Lock-Manager-Service, wenn Sie NFS überhaupt nicht verwenden oder NFS v4 verwenden.

    Der NFS-Lock-Manager unterstützt Vorgänge zur Datensatzsperre bei NFS-Dateien in NFSv2 und NFSv3.

    # svcadm disable svc:/network/nfs/nlockmgr
  4. Wenn das System keine Dateien einhängt, können Sie den NFS-Clientservice deaktivieren oder dessen Package deinstallieren.

    Der NFS-Clientservice wird nur benötigt, wenn das System Dateien von einem NFS-Server einhängt. Weitere Informationen finden Sie in der mount_nfs(1M)-Manpage.

    # svcadm disable svc:/network/nfs/client
  5. Deaktivieren Sie den NFS-Serverservice in einem System, das kein NFS-Dateiserver ist.

    Der NFS-Serverservice verwaltet Clientdateisysteme über NFS-Versionen 2, 3 und 4. Wenn dieses System kein NFS-Server ist, deaktivieren Sie den Service.

    # svcadm disable svc:/network/nfs/server
  6. Wenn Sie FedFS für DNS-SRV-Datensätze oder LDAP-basierte Referrals nicht verwenden, deaktivieren Sie den Service.

    Der Federated File System-(FedFS-)Clientservice verwaltet Standardwerte und Verbindungsinformationen für LDAP-Server, in denen FedFS-Informationen, gespeichert werden

    # svcadm disable svc:/network/nfs/fedfs-client
  7. Deaktivieren Sie den rquota-Service.

    Der Remote-Quotaserver gibt Quota für einen Benutzer eines lokalen Dateisystems zurück, das über NFS eingehängt ist. Die Ergebnisse werden von quota(1M) verwendet, um Benutzerquota für Remote-Dateisysteme anzuzeigen. Der rquotad(1M)-Daemon wird im Allgemeinen von inetd(1M) aufgerufen. Der Daemon stellt potenziell böswilligen Benutzern Informationen über das Netzwerk bereit.

    # svcadm disable svc:/network/nfs/rquota
  8. Deaktivieren Sie den cbd-Service.

    Der cbd-Service verwaltet Kommunikationsendpunkte für das NFS Version 4-Protokoll. Der nfs4cbd(1M)-Daemon wird auf dem NFS Version 4-Client ausgeführt und erstellt einen Listener-Port für Callbacks.

    # svcadm disable svc:/network/nfs/cbd
  9. Deaktivieren Sie den mapid-Service, wenn Sie NFSv4 nicht verwenden.

    Der Daemon-Service zur NFS-Benutzer- und Gruppen-ID-Zuordnung nimmt die Zuordnung zu und von NFS-Version 4 owner- und owner_group-ID-Attributen und lokalen UID und GID-Nummern vor, die sowohl von dem NFS-Version 4-Client als auch dem NFS-Version 4-Server verwendet werden.

    # svcadm disable svc:/network/nfs/mapid
  10. Deaktivieren Sie den ftp-Service.

    Der FTP-Service stellt einen unverschlüsselten Dateiübertragungsservice bereit und verwendet Nur-Text-Authentifizierung. Verwenden Sie das scp(1)-Programm (Secure Copy Program), anstelle von ftp, weil es verschlüsselte Authentifizierung und verschlüsselte Dateiübertragung bietet.

    # svcadm disable svc:/network/ftp:default
  11. Deaktivieren Sie den Remote Volume-Managerservice.

    Der Wechsel-Volume-Manager ist ein HAL-fähiger Volume-Manager, der Wechselmedien und austauschbaren Speicher automatisch ein- und aushängen kann. Benutzer könnten schädliche Programme importieren oder vertrauliche Daten aus dem System übertragen. Weitere Einzelheiten finden Sie in der rmvolmgr(1M)-Manpage.

    Dieser Service wird nur in der globalen Zone ausgeführt.

    # svcadm disable svc:/system/filesystem/rmvolmgr
  12. Deaktivieren Sie den smserver-Service.

    Der smserver-Service wird für den Zugriff auf Wechselmediengeräte verwendet.

    # svcadm disable rpc/smserver:default
  13. Geben Sie pam_deny.so.1 als Modul für den Authentifizierungsstack für die r-protocol-Services im Verzeichnis/etc/pam.d an.

    Standardmäßig werden Legacy-Services wie r-protocols, rlogin(1) und rsh(1) nicht installiert. Diese Services werden jedoch in /etc/pam.d definiert. Wenn Sie die Servicedefinitionen aus /etc/pam.d entfernen, verwenden die Services die anderen Services (beispielsweise SSH), falls die Legacy-Services aktiviert sind.

    # cd /etc/pam.d
# cp rlogin rlogin.orig
# pfedit rlogin
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
# cp rsh rsh.orig
# pfedit rsh
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
  14. Bearbeiten Sie die Datei /etc/default/keyserv, um den Wert von ENABLE_NOBODY_KEYS in NO zu ändern.

    Der keyserv-Service kann den Benutzerschlüssel nobody nicht verwenden. Der Wert von ENABLE_NOBODY_KEYS ist standardmäßig YES.

    # pfedit /etc/default/keyserv
. . .
ENABLE_NOBODY_KEYS=NO
  15. Fügen Sie Benutzer zu der Datei ftpusers hinzu, um den ftp-Zugriff zu begrenzen.

    FTP-Dateiübertragungen dürfen nicht für alle Benutzer verfügbar sein; nur qualifizierte Benutzer dürfen ihre Namen und Passwörter angeben. Im Allgemeinen sollte Systembenutzern die Verwendung von FTP nicht gestattet sein. Mit dieser Prüfung wird geprüft, ob Systemkonten in der Datei /etc/ftpd/ftpusers enthalten sind, damit diese FTP nicht verwenden dürfen.

    Die Datei /etc/ftpd/ftpusers wird verwendet, um Benutzern die Verwendung des FTP-Service zu untersagen. Beziehen Sie mindestens alle Systembenutzer, wie root, bin, adm usw. ein.

    # pfedit /etc/ftpd/ftpusers
....
root
daemon
bin
...
  16. Legen Sie eine starke Dateierstellungsmaske für Dateien fest, die vom FTP-Server erstellt werden.

    Der FTP-Server verwendet nicht unbedingt die Erstellungsmaske für Systemdateien des Benutzers. Durch Festlegung von FTP umask wird sichergestellt, dass die über FTP übertragenen Dateien eine starke Dateierstellungs-umask verwenden.

    # pfedit /etc/proftpd.conf
Umask          027
  17. Deaktivieren Sie Antworten auf Netzwerktopologieabfragen.

    Antworten auf Echoanforderungen müssen unbedingt deaktiviert werden. ICMP-Anforderungen werden mit dem Befehl ipadm verwaltet.

    Diese Einstellungen unterbinden die Verteilung von Informationen über die Netzwerktopologie. 

    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip
  18. Deaktivieren Sie die Umleitung von ICMP-Meldungen.

    Router verwenden ICMP-Umleitungsmeldungen, um Hosts über direktere Routen zu einem Ziel zu informieren. Eine unzulässige ICMP-Umleitungsmeldung kann zu einem Man-in-the-Middle-Angriff führen. 

    # ipadm set-prop -p _ignore_redirect=1 ipv4
  19. Deaktivieren Sie mesg(1), um den talk(1)- und write(1)-Zugriff auf Remote-Terminals zu verhindern. 
    # mesg -n
  20. (Optional) Prüfen und deaktivieren Sie nicht erforderliche Services, die auf dem Netzwerk horchen.

    Standardmäßig ist ssh(1) der einzige Netzwerkservice, der Netzwerkpakete senden und empfangen kann.

    # svcadm disable FMRI_of_unneeded_service
Copyright © 2016, Oracle und/oder verbundene Unternehmen. All rights reserved. Alle Rechte vorbehalten. 
Zurück
Weiter