Révéler dix principaux éléments de sécurité dans Solaris 9

Existe pas de panacée universelle pour établir un système Solaris entièrement sécurisé, mais Solaris 9 a des technologies et des outils que vous devez savoir au sujet, si vous êtes à l'administration de votre système ou tout simplement pour assurer que les gens ne plaisante pas avec vos fichiers. Sun offre un niveau supérieur excellente fréquemment posées document de questions, la sécurité FAQ Sun Solaris.

Secure Shell

Une des meilleures améliorations que vous pouvez apporter à votre système Solaris est de couper telnet, rlogin, et ftp, et de remplacer ces services Internet avec le Shell (SSH) emballage sécurisé. Bien que les anciens services envoient le compte et mot de passe en clair (qui est, en clair), les programmes d'équivalents ssh utilisent point-à-point de chiffrement à clé publique, ce qui rend beaucoup plus difficile pour quelqu'un de jeter un regard dans vos opérations et d'extraire des informations de compte.

IPSec et l'IPK

Curieusement nommé, IP sécurisé (IPSec) et Internet Key Exchange (IKE) sont des composantes essentielles d'un réseau privé virtuel, et activer le trafic IP chiffrée entre deux systèmes à l'aide d'un système de cryptage de 128 bits robuste. IPSec augmente la sécurité entre les serveurs de sorte que seules les parties autorisées peuvent communiquer.

Pare-feu protection solaire

Une des caractéristiques de sécurité les plus importants d'un système Solaris est un moderne pare-feu, un programme qui filtre toutes les demandes de connexion entrantes pour assurer qu'ils sont légitimes et acceptables. L'excellente solution de Solaris pour cela est l'outil SunScreen de Sun, qui dispose d'un filtre de paquets sensibles à l'Etat, le soutien pour IPSec / IKE, la gestion centralisée, les services proxy avec un antivirus intégrés de contrôle, et la traduction d'adresses de réseau pour cacher des schémas d'adressage IP interne.

La mise en œuvre de LDAP sécurisé

Le Lightweight Directory Access Protocol (LDAP) offre un accès à un annuaire centralisé, mais non sans quelques risques de sécurité. LDAP la mise en œuvre de Sun a été amélioré pour Solaris 9 et supporte à la fois Secure Sockets Layer (SSL) et le cryptage DIGEST-MD5 maintenant. LDAP sécurisé vous permet de nommer les objets et garantir l'accès sécurisé au service de nommage. Il fournit un mécanisme attribut cartographie souple et est conçu pour un support complet de gestion de mot de passe via le serveur d'annuaire.

TCP Wrappers

Si vous ne remplacez pas standard Unix services publics de communications telnet, rlogin, et ftp avec leurs homologues shell sécurisé, vous pouvez augmenter la sécurité des outils en utilisant la méthode de contrôle d'accès connu sous le nom de TCP Wrappers. Pensez-y comme une couche d'authentification et d'autorisation entre les systèmes client et serveur. Il ne chiffre pas la communication, mais il contribue à garantir que seuls les utilisateurs autorisés accèdent aux services identifiés.

Buffer protection contre les débordements

Une des façons les plus courantes pour les pirates de pénétrer dans un système Solaris est d'exploiter les dépassements de tampon. Imaginez cette façon: Vous écrivez un programme qui attend plus qu'un passe-20 lettre à être entré. Mais un pirate rusé entre une entrée de 15.000 caractères, débordant l'espace alloué pour la variable de mot de passe. Avec certaines applications, le débordement peut finir par être un extrait de code est exécuté, ce qui est clairement très mauvais! Renforcé la protection de dépassement de mémoire tampon de Solaris 9 va un long chemin vers la résolution de ce problème.

Contrôle d'accès basé sur les rôles

Unix a toujours eu trois catégories de contrôle d'accès: propriétaire, le groupe et les autres. Mais sur un système multi-utilisateur moderne, un outil plus sophistiqué est besoin- Voilà ce que les offres de contrôle d'accès à base de rôles. En définissant autant de rôles que nécessaire, vous pouvez donner un accès imprimante technique uniquement pour les zones sur votre système qui nécessitent des mises à jour pour les nouvelles imprimantes en cours d'installation. Contrôle d'accès basé sur les rôles est bien la peine d'apprendre à propos, si vous êtes un administrateur système ou tout simplement un utilisateur Solaris 9.

Support de carte à puce

Une des méthodes les plus sûrs de contrôler l'accès à un système Solaris est par le biais de cartes à puce. En couplant les mots de passe de compte traditionnels (connus dans les milieux de la sécurité que la sécurité "ce que vous savez") avec les cartes à puce (qui fonctionnent sur la base de "ce que vous avez"), vous avez une méthode solide de limiter l'accès, en particulier à partir d'un emplacement distant.

Kerberos v5

Inventé au MIT, Kerberos est un système d'authentification populaire sur un réseau largement distribué, en particulier pour les configurations de single sign-on. La dernière version de Kerberos comprend l'amélioration de la sécurité du système et remplace le produit de Sun Enterprise Authentication Mechanism auparavant distincts. Kerberos interagit également gracieusement avec MIT Kerberos et Active Directory de Microsoft, qui est une aubaine si vous avez un réseau multi-OS.

Solaris Resource Manager

Bien qu'il puisse sembler ne pas être un outil de sécurité, le Solaris Resource Manager (SRM) est une aubaine pour contrôler l'accès et l'utilisation des ressources du système. Il contrôle l'affectation des ressources, la surveillance et le contrôle, y compris une capacité de comptabilité amélioré. Par exemple, la désactivation de l'écriture sur le périphérique CD-ROM peut aider à assurer que les fichiers système critiques ou de société ne sont pas copiés. Empêchant les utilisateurs de clients provenant de l'impression est un autre exemple de l'endroit où SRM est utile.