Go to main content

Guia de Segurança do Oracle SuperCluster Série M7

Sair da Exibição de Impressão

Atualizado: Fevereiro de 2016
 
 

Desativar Serviços Desnecessários (Servidores de Computação)

  1. Faça login em um dos servidores de computação e acesse o console do host como um superusuário.

    Consulte Fazer Login em um Servidor de Computação e Alterar a Senha Padrão

  2. Desative o monitor de status NFS se o sistema não for um servidor ou cliente NFS.

    Esse serviço interage com lockd(1M) para fornecer as funções de falha e recuperação para os serviços de bloqueio em NFS.

    # svcadm disable svc:/network/nfs/status
  3. Desative o serviço de gerenciador de bloqueio NFS se não estiver usando NFS ou estiver usando NFSv4.

    O gerenciador de bloqueio NFS dá suporte às operações de bloqueio de registros em arquivos NFS em NFSv2 e NFSv3.

    # svcadm disable svc:/network/nfs/nlockmgr
  4. Se o sistema não estiver montando arquivos, você poderá desativar o serviço do cliente de NFS ou desinstalar seu pacote.

    O serviço do cliente de NFS não será necessário se o sistema estiver montando arquivos de um servidor NFS. Para obter mais informações, consulte a página man mount_nfs(1M).

    # svcadm disable svc:/network/nfs/client
  5. Desative o serviço de servidor NFS em um sistema que não seja um servidor de arquivos NFS.

    O serviço de servidor NFS lida com solicitações do sistema de arquivos cliente no NFS versões 2, 3 e 4. Se esse sistema não for um servidor NFS, desative o serviço.

    # svcadm disable svc:/network/nfs/server
  6. Se você não estiver usando FedFS para registros DNS SRV ou encaminhamentos baseados em LDAP, desative o serviço.

    O serviço do cliente do sistema de arquivos federados (FedFS) gerencia padrões e informações de conexão para servidores LDAP que armazenam informações do FedFS.

    # svcadm disable svc:/network/nfs/fedfs-client
  7. Desative o serviço rquota.

    O servidor de cotas remote retorna cotas para um usuário de um sistema de arquivos local que é montado em NFS. Os resultados são usados por quota(1M) para exibir cotas de usuário para sistemas de arquivos remotos. O daemon rquotad(1M) normalmente é invocado pelo inetd(1M). O daemon fornece informações sobre a rede para usuários potencialmente mal-intencionados.

    # svcadm disable svc:/network/nfs/rquota
  8. Desative o serviço cbd.

    O serviço cbd gerencia pontos de extremidade de comunicação para o protocolo NFS Versão 4. O daemon nfs4cbd(1M) é executado no cliente do NFS Versão 4 e cria uma porta ouvinte para callbacks.

    # svcadm disable svc:/network/nfs/cbd
  9. Desative o serviço mapid se você não estiver usando NFSv4.

    O serviço de daemon de mapeamento de IDs de grupos e usuários NFS é mapeado de e para os atributos de identificação owner e owner_group do NFS versão 4 e números UID e GID locais usados pelo servidor e cliente do NFS versão 4.

    # svcadm disable svc:/network/nfs/mapid
  10. Desative o serviço ftp.

    O serviço FTP fornece um serviço de transferência de arquivos não criptografados e usa autenticação de texto simples. Use o programa de cópia segura scp(1) em vez de ftp, porque ele fornece autenticação criptografada e transferência de arquivos.

    # svcadm disable svc:/network/ftp:default
  11. Desative o serviço de gerenciador de volumes remoto.

    O gerenciador de volumes removível é um gerenciador com reconhecimento de HAL que pode montar e desmontar automaticamente mídia removível e armazenamento hot-pluggable. Os usuários podem importar programas mal-intencionados ou transferir dados confidenciais para fora do sistema. Consulte a página man mvolmgr(1M) para obter detalhes.

    Esse serviço funciona apenas na zona global.

    # svcadm disable svc:/system/filesystem/rmvolmgr
  12. Desative o serviço smserver.

    O serviço smserver é usado para acessar dispositivos de mídia removíveis.

    # svcadm disable rpc/smserver:default
  13. Especifique pam_deny.so.1 como o módulo da pilha de autenticação para os serviços r-protocol no diretório /etc/pam.d.

    Por padrão, serviços legados, como r-protocols, rlogin(1) e rsh(1), não estão instalados. No entanto, esses serviços são definidos em /etc/pam.d. Se você remover as definições de serviço de /etc/pam.d, os serviços usarão os outros serviços (SSH, por exemplo) caso os serviços legados estejam ativados.

    # cd /etc/pam.d
# cp rlogin rlogin.orig
# pfedit rlogin
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
# cp rsh rsh.orig
# pfedit rsh
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
  14. Edite o arquivo /etc/default/keyserv para alterar o valor de ENABLE_NOBODY_KEYS para NO.

    O serviço keyserv não pode usar a chave de usuário nobody. O valor de ENABLE_NOBODY_KEYS é YES por padrão.

    # pfedit /etc/default/keyserv
. . .
ENABLE_NOBODY_KEYS=NO
  15. Adicione usuários ao arquivo ftpusers para restringir o acesso ao ftp.

    As transferências de arquivos para o FTP não devem estar disponíveis para todos os usuários e devem exigir que os usuários qualificados forneçam seus nomes e senhas. Em geral, os usuários do sistema devem ser proibidos de usar o FTP. Essa verificação examina se as contas do sistema estão incluídas no arquivo /etc/ftpd/ftpusers, para que elas não possam usar o FTP.

    O arquivo /etc/ftpd/ftpusers é usado para proibir os usuários de usar o serviço FTP. No mínimo, inclua todos os usuários do sistema, como root, bin, adm, etc.

    # pfedit /etc/ftpd/ftpusers
....
root
daemon
bin
...
  16. Defina uma máscara de criação de arquivos padrão forte para os arquivos criados pelo servidor FTP.

    O servidor FTP não usa necessariamente a máscara de criação do sistema de arquivos do usuário. A definição da máscara de FTP garante que os arquivos transmitidos pelo FTP usem uma máscara de criação de arquivos forte.

    # pfedit /etc/proftpd.conf
Umask          027
  17. Desative as respostas para as consultas de topologia da rede.

    É importante desativar as respostas para as solicitações de eco. As solicitações ICMP são gerenciadas usando o comando ipadm.

    Essas configurações impedem a disseminação das informações sobre a topologia de rede. 

    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip
  18. Desative as mensagens de redirecionamento ICMP.

    Os roteadores usam mensagens de redirecionamento ICMP para informar hosts sobre rotas mais diretas para um destino. Uma mensagem de redirecionamento ICMP ilícito pode resultar em um ataque a intermediários. 

    # ipadm set-prop -p _ignore_redirect=1 ipv4
  19. Desative mesg(1) para impedir o acesso de talk(1) e write(1) a terminais remotos. 
    # mesg -n
  20. (Opcional) Reveja e desative a escuta de serviços desnecessária na rede.

    Por padrão, ssh(1) é o único serviço de rede que pode enviar e receber pacotes de rede.

    # svcadm disable FMRI_of_unneeded_service
Copyright © 2016, Oracle e/ou suas empresas afiliadas. Todos os direitos reservados. 
Anterior
Próximo