Solaris 10 Security - c0t0d0s0.org · Solaris 10 11/06 ist evaluiert nach ... 14. 15 EAL 4+ ... Ein...

Solaris 10 Security

Jörg MöllenkampSenior Systems Engineer

Sun Microsystems

Was ist Sicherheit?

Die Sicherheit einer Installation hängt vonvielen Faktoren ab, und nur einer ist

das Betriebsystem ...

Sicherheit ist ein Kompromiss ... ein Balanceakt ...

Ein gutes und sicheres Betriebsystemstellt Tools und Mechanismen bereit

mit denen ein Administatorsein System schnell und einfach absichern kann

ohne den normalen Nutzer mehr als nötig einzuschränken.

Was nutzt das tollste Tool,wenn man damit kaum umgehen kann?

<sarkasmus>Oder warum steht bei vielen Anleitungen gleich am Anfang der SElinux-Anleitung,

wie man es wieder ausschaltet ?</sarkasmus>

Okay ... zurück zu Solaris ...

Aus Marketingsicht würde man mit der Common Criteria Evaluierung anfangen

Okay ...

Common Criteria

Ja ... haben wir auch ...

EAL 4+Role Based Access Control Protection Profile

Conditional Access Protection Profile

Solaris 10 11/06 ist evaluiert nach ...

EAL 4+

Solaris 10 + Trusted Extensions ist in Kürze evaluiert nach ...

Label Security Protection Profile

Role Based Access Control Protection ProfileConditional Access Protection Profile

Interessanterweise wissen nurwenige was es wirklich mit einerCommon Criteria Evaluierung

auf sich hat ....

Im Rahmen der CC-Evaluierungwird nicht das Produkt zertifziziert.

Wofür steht nun die CC-Evaluierung?

Sehr böse Zungen behaupten:Die Zahl nach EAL steht für die Anzahl der Nullen,

die man an 100 anfügen muss, umdie Zertifizierung zu bekommen ... ;)

Missverständnis Nummer 1

Im Rahmen der CC-Evaluierungwird nicht das Produkt zertifziziert.

Es wird die Evaluierung einer bestimmten Konfiguration eines bestimmten Produkts unter

bestimmten Umständen hinsichtlich der Einhaltung eines bestimmten Regelwerks zertifiziert. Die

Evaluierung erfolgt durch eine bestimmte Vorgehensweise!

Evaluierende Stelle und zertifizierende Stelle müssen nicht identisch sein - bei Solaris 11/06:

Evaluierende StelleCommon Criteria Evaluation FacilityCGI Information Systems & Management Consultants Inc.

Zertifizierende StelleCommunications Security EstablishmentCertification Body

Missverständnis Nummer 2

„Es reicht, denEvaluation Assurance Levelin den Raum zu werfen ...“

Die Nennung des Evaulation Assurance Levels (EAL)

sagt nichts über die Sicherheit des Systems aus.

Was ist also wichtig?

Okay .... eine Einführung in die Begrifflichkeiten

von Common Criteria ...

Am Anfang war der Evaluierungsgegenstand ...

Securityspeak für das was evaluiert werden soll

Also bei der Common Criteria Evaluierung von Solaris + TX

Solaris 10 11/06*

Sternchenschrift:A Common Criteria Certificate was awarded to Sun Microsystems on June 11, 2008 by the Canadian Common Criteria Evaluation and Certification Scheme.

Solaris 10 11/06 with Trusted Extensions is an extension to the proven Solaris 10 security model. It utilizes User and Process Rights Management, Solaris Containers, file systems, and networking and doesn't require a new or separate kernel. Best of all, it doesn't require ISVs to requalify their applications to run them with sensitivity labels. Because it's an extension to the Solaris 10 OS's security policy, Solaris 10 11/06 with Trusted Extensions technology is flexible and quick to deploy: You can add new applications, new users, and more, very quickly, without extensive analysis of each application — and without the need to write complex, error-prone security policies that require a system reboot.

Security Features in the Evaluated Configuration include:

* MAC and DAC - including ACLs; * Least privilege with fine-grained privileges for all policies; * Trusted networking and trusted NFS; * Identification and authentication - including password generation; * Roles for separating user and administration capabilities; * Rights profiles for grouping commands, applications, and authorizations and assigning to users or roles; * Centralized administration with easy-to-use graphical tools; * Auditing which records the actions of users and roles as well as non-attributable events; * Sun's Common Desktop Environment (CDE) and Sun Java Desktop System Multilevel windowing environment with trusted path for invoking trusted commands and applications.

Solaris 10 11/06 with Trusted Extensions has being been certified on:

* Workstations and servers using an UltraSPARC III, UltraSPARC IIIi, UltraSPARC II, UltraSPARC IIe, UltraSPARC IIi, or UltraSPARC T1 processor in single or multiple configuration. * The Netra 1280 and Sun Fire mid-frame and high-end family offering Dynamic Reconfiguration and Multiple Domaining using an UltraSPARC III, UltraSPARC III Cu (copper based) or UltraSPARC IV processor. * AMD based processor systems: AMD Opteron 800, 1200, and 8000 series; AMD-64 100, 200, and 2000 series; AMD dual-core 1200 and 2000 series; AMD Opteron 285; and, Intel Xeon.

The Solaris 10 11/06 with Trusted Extensions Certified software consists of the Operating Environment and a subset of patches which have been reviewed to ensure that their application introduces no new security vulnerabilities.

Man muss wissen,welche gegen welche Protection Profiles überprüft wurden !

Ein Protection Profile ist eine Menge von vordefinierten Anforderungen,

gegen die ein Evaluierungsgegenstandgeprüft wird.

Das Protection Profile

ist sozusagen ein Anforderungstemplate.

Man kann ein Protection Profile verwenden ...... man muss es aber nicht.

... für manches existiert gar kein Protection Profile.

Für Virtualisierung existieren keine beispielsweise Protection Profiles ...

Dann muss man das Security Target selber beschreiben.

EAL 4+ für VMware ESX basiert auf einem selbstgeschriebenen

Security Target.

Security Target ???

http://www.sun.com/software/security/securitycert/

Das Security Target beschreibt, was mit einem Evaluierungsgegenstand gemacht wird

um die Anforderungen des Protection Profiles zu erfüllen.

Und nur fuer das im Security Target beschriebene System gilt auch die Zertifizierung.

nur auf der evaluierten Hardwarenur mit den evaluierten Dienstennur mit den evaluierten Patches

nur in der evaluierten Konfiguration

Den nur was evaluiert wird, ist auch Bestandteil der Zertifizierung!

Ja, aber was sagt also nun EAL 4+ aus ?

Evaluation Assurance Level

Der Evaluation Assurance Level sagt mit welchen Methoden

ein Evaluierungsgegenstand geprüft wird.

EAL1: Functionally Tested EAL2: Structurally Tested EAL3: Methodically Tested and Checked EAL4: Methodically Designed, Tested and Reviewed EAL5: Semiformally Designed and Tested EAL6: Semiformally Verified Design and Tested EAL7: Formally Verified Design and Tested

Hersteller kommt zum Meeting ...

Evaluierung durch einenmathematischen Beweis ...

In der Praxis heisst das ...

Überprüft man all das, kann herauskommen,das eine EAL Evaluierung nicht ganz so toll ist,zunächst gedacht ...

Schönes „schlechtes“ Beispiel:

Die EAL4+ Zertifizierung eines Markbegleiters im Bereichder unixoiden Betriebsysteme ...

Es wurde unter anderem auch die Clientvariante getestet ...

Aus der Security Target Definition der Evaluierung:

Aus dem Evaluation Report der Evaluierung:

Ein Client ohne graphischen Desktop ?

Meine Empfehlung daher:

Sehr genau die Evaluierungunterlagen lesen!

Schönes „sehr schlechtes“ Beispiel:

Die Evaluierung für Windows NTvor vielen Jahren ... die nur galt, wenndas System nicht an Netzwerkeangeschlossen war.

„The CAPP provides for a level of protection which is appropriate for an assumed non-hostile and well-managed user community requiring protection against threats of inadvertent or casual attempts to breach the system security. The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security. The CAPP does not fully address the threats posed by malicious system development or administrative personnel.“

Im Security Target fuer Windows NT stand ...

Häng das System nicht ans Internet, lass keine Email drauf laufen, und wenn du dem Softwareentwickler nicht 100% vertraust, installiere nicht dessen Programme. Und wenn einer deiner Mitarbeiter was gegen dich hat, bist Du eh im Eimer. Gegen einen ausreichend zielgesteuerten Angreifer hast Du eh keine Chance ...

Bedeutet in Echtsprache ...

Bei Solaris beinhaltet das Security Target von den ACLs ueber RBAC bis hin zu Userdatenbanken im LDAP inclusive eingeschalteten Desktop eine Vielzahl von Features.

Bei den Trusted Solaris bzw. den Trusted Extension berücksichtigt die Evaluierung sogar die Berücksichtigung von Geheimhaltungsstufen beim Drucken, bei Übertragung von Daten via NFS....

... sogar beim Cut n´ Paste zwischen Fenstern mit Daten unterschiedlicher Geheimhaltung.

Für Solaris 10 11/06:

http://www.sun.com/software/security/securitycert/docs/solaris10-sec-e.pdf

Security Target:

http://www.sun.com/software/security/securitycert/docs/solaris10-cert-e.pdfCertification Report:

Und mal ganz ehrlich ....

Eine erhalteneCertification sagt an sich auch noch wenig ueber

die Sicherheit eines Systems aus ...

Viele Sicherheitsprobleme habenihren Ursprung vor der Tastatur.

Securityfeaturesin Solaris

Daher werde ich in meinem Vortragmich jetzt eher auf praktische Dinge verlagern ...

Features, die es erleichtern ein Systemsicherer zu machen...

Ich kann in 60 Minuten nur eine kleine Auswahl streifen ...

Secure by default

Solaris hat den Ruf, in der StandardKonfiguration zuviele Dienste im Netz zur Verfügung zu stellen ...

„Portscan“ wurde gestartet …

Port Scanning host: 10.211.55.3

Open TCP Port: 21 ftp Open TCP Port: 22 ssh Open TCP Port: 23 telnet Open TCP Port: 25 smtp Open TCP Port: 79 finger Open TCP Port: 111 sunrpc Open TCP Port: 513 login Open TCP Port: 514 shell Open TCP Port: 587 submission Open TCP Port: 898

„Portscan“ wurde beendet …

Das dem so ist, hängt mit der Binärkompatibilitätsgarantie

von Solaris zusammen ...

Ein Programm könnte daraufangewiesen sein, das der Dienst

genauso wie in alten Versionen offen verfügbar ist.

Secure by Default bedeutet:Vom Netz aus ist nur der

SSH-Port erreichbar.

# netservices open

Will man den Zustand vor „Secure by default“

# netservices limited

Und so macht man das System wieder zu ...

Secure by Default ist heutevoreingestellt bei der Installation.

„Portscan“ wurde gestartet …

Port Scanning host: 10.211.55.3

Open TCP Port: 22 ssh Open TCP Port: 111 sunrpc „Portscan“ wurde beendet …

Der Auslieferungszustand sieht heute so aus ...

Die meisten Dienste sind weiterhin aktiv ...

Sie horchen nur nicht mehr auf externe

Netzwerkinterfaces...

(aus Glen Brunettes Solaris Security Deep Dive)

Das herkömmliche Rechtemodellist zweigeteilt ...

$kann wenig

#kann alles

Das ist nicht immer wirklich optimal ....

Herausforderung: Manche Dinge in einem Unix-Rechner erfordern

root-rechte

Problem:Will man jedem Admin wirklich das Password

für den Root-Account geben ?

Ein Admin, der eigentlich nur für das Hinzufügen von Druckernverantwortlich ist, kann auch das

Auditing ausschaltenam Cluster rumspielen

Netzwerkinterfaces umkonfigurieren

Dieses Problem ist so alt wie Unix selbst.

1980 wurde daher sudo erfunden.

sudo steht übrigens nicht für

super user do

sudo steht für

substitute user do

Solaris löst das Problem etwas anders ...

Role based access control

Als Admin hat man immer eine Rolle.

Man ist normaler User, aber auch:Printer Admin

OperatorUser Admin

Filesystem Admin

Ein Rolle hat immer ein Rollenprofil ...

Das Rollenprofil legt fest:

- welche Programme die Rolle ausführen kann- welche Authorisations eine Rolle hat

Eine oder mehrere Rollenprofilewerden einer Rolle zugewiesen.

Eine Rolle ist technisch eine Nutzeraccountin den man sich nicht direkt einloggen kann.

Man loggt sich als normaler Nutzer ein ...

... und nimmt eine Rolle an.

Nur so lange man diese Rolle angenommen hat,hat man die Sonderrechte dieser Rolle.

Hat man seine Arbeit erledigt, dann verlässt man die Rolle und

ist wieder normaler User.

Beispiel:

$ /usr/sbin/share /export/home/jmoekampCould not share: /export/home/jmoekamp: no permission$ grep "share" /etc/security/exec_attr File System Management:suser:cmd:::/usr/sbin/dfshares:euid=0File System Management:suser:cmd:::/usr/sbin/share:uid=0;gid=rootFile System Management:suser:cmd:::/usr/sbin/shareall:uid=0;gid=rootFile System Management:suser:cmd:::/usr/sbin/sharemgr:uid=0;gid=rootFile System Management:suser:cmd:::/usr/sbin/unshare:uid=0;gid=rootFile System Management:suser:cmd:::/usr/sbin/unshareall:uid=0;gid=root[...]$ su rootPassword: # usermod -P'File System Management' jmoekampUX: usermod: jmoekamp is currently logged in, some changes may not take effect until next login.# exit$ pfexec /usr/sbin/share /export/home/jmoekamp$ /usr/sbin/share- /export/home/jmoekamp rw ""

Bisher klingt das ganze nach einem etwas erweiterten

Sun RBAC kennt zusätzlichdas Konzept

der Authorizations.

Authorisations löst folgende Frage:Wie kann man einem Nutzer

nur erlauben nur bestimmte Funktionen eines Programms auszuführen?

Wichtig: Der Kernel erzwingt hier nichts ...

Das Beachten von Authorisations ist Sache der Applikation.

Allerdings unterstützen viele Programmedes Solaris Operating Environments

Authorisations.

Der Kernel stellt nur Funktionen bereit,um einer Applikation mitzuteilen,

welche Authorisations eine Rolle hat.

Auch in einem frisch installierten Solariswerden Authorisations genutzt.

Jeder Nutzer hat die Authorisation:solaris.device.cdrw.*

Dadurch kann jeder Nutzer CD lesen und beschreiben ...

Stellen Sie sich das wie ein Werkzeugschrank mit einer Bohrschraubmaschine vor.

Die Rolle ist der Schlüssel zum Werkzeugschrank

Mit der Authorisation überprüft der Bohrschrauberob der Handwerker authorisiert ist:

- ein Loch zu bohren- Schrauben aus der Wand zu drehen- den Bohrer oder das Bit zu wechseln

Wozu man das braucht ?

Wenn Sie verhindern wollen, das jemand wieder die Stromleitung anbohrt, aber sie der Person schon erlauben wollen, Schraubenaus der Wand zu holen ...

Um auf Solaris zurück zu kommen ...

Sie wollen möglicherweise nicht jedem Adminjede Funktion eines Tools zugänglich machen.

Least Privileges

There is no root!

Okay, es gibt nocheinen User root mit der UserID 0 der alle Rechte eines root hat ...

Ja .... hängt auch wieder mit derBinärkompatibilitätsgarantie

zusammen ...

Sie können auch jedem anderen Nutzerroot-gleiche Rechte geben ...

Aber das muss so nicht mehr sein ...

Es ist nur noch aus Kompatibilitätsgründen so!

Solaris 10 arbeitet mit Priviliegien

contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user f i le_chown f i le_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config sys_devices sys_ip_config sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl

Es gibt mittlerweile eine Vielzahl von Privileges

Mit Solaris Privileges kann man auf zwei

Arten umgehen.

Man startet mit dem Service Management Framework

einen Service mit einem

eingeschränkten oder erweiterten SatzPrivilegien

Oder die Applikation macht das selber ...

usr/src/lib/print/libpapi-lpd/common/lpd-port.c:

Oder die Applikation macht das selber ...

usr/src/lib/print/libpapi-lpd/common/lpd-port.c:

Nehmen wir als Beispiel den Apache ...

Frage in die Runde:Warum muss Apache mit root-rechten gestartet werden?

# ps -ef | grep "apache" | grep -v "grep"webservd 1123 1122 0 19:11:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 1125 1122 0 19:11:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startroot 1122 1 1 19:11:50 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 1128 1122 0 19:11:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 1127 1122 0 19:11:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 1126 1122 0 19:11:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 1124 1122 0 19:11:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k start

Richtig:Port 80 ist ein privilegierter Port ...

Man brauchte bisher root-Rechte, um diesesPrivileg zu erlangen...

Ich kann unter Solaris 10das Privileg an User vergeben,sich an priviligierte Ports zu binden!

Die Priviliegien eines Root-Users

Rechte eines normalen Users ...

Das ist der sogenannte basic-Set von Privilegien.

Um noch mal auf das Beispieldes Apache-Servers zurueck zu kommen ...

Was braucht jetzt ein Apache Server?

net_privaddr: Allow a process to bind to a privileged port number. The privilege port numbers are 1-1023 (the traditional UNIX privileged ports) as well as those ports marked as "udp/tcp_extra_priv_ports" with the exception of the ports reserved for use by NFS and SMB.

proc_info: Allow a process to examine the status of processes other than those to which it can send signals. Processes that cannot be examined cannot be seen in /proc and appear not to exist.

Was braucht jetzt ein Apache Server ?

proc_session: Allow a process to send signals or trace processes outside its session.

file_link_any: Allow a process to create hardlinks to files owned by a UID different from the process's effective UID.

There is no root!

Und das haben sie bisher vergeben ...

# svcprop -v -p start apache2 start/exec astring /lib/svc/method/http-apache2\ start start/timeout_seconds count 60 start/type astring method start/user astring webservd start/group astring webservd start/privileges astring basic,!proc_session,!proc_info,!file_link_any,net_privaddr start/limit_privileges astring :default start/use_profile boolean false start/supp_groups astring :default start/working_directory astring :default start/project astring :default start/resource_pool astring :default

Via SMF kann man die Privilegien setzen ...

# svcprop -v -p start apache2 start/exec astring /lib/svc/method/http-apache2\ start start/timeout_seconds count 60 start/type astring method start/user astring webservd start/group astring webservd start/privileges astring basic,!proc_session,!proc_info,!file_link_any,net_privaddr start/limit_privileges astring :default start/use_profile boolean false start/supp_groups astring :default start/working_directory astring :default start/project astring :default start/resource_pool astring :default

Dann kann man auch den webserver ohne root-Rechte laufen lassen ....

# ps -ef | grep "apache2" | grep -v "grep"webservd 2239 2235 0 19:29:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 2241 2235 0 19:29:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 2235 1 1 19:29:53 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 2238 2235 0 19:29:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 2240 2235 0 19:29:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 2242 2235 0 19:29:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k startwebservd 2236 2235 0 19:29:54 ? 0:00 /usr/apache2/2.2/bin/httpd -k start

Ganz neue Entwicklung ...

Apache selbst wird privilege-aware - mod_privilegeshttp://www.mail-archive.com/dev@httpd.apache.org/msg42159.html

mod_privileges

Pro <virtualhost></virtualhost> ein eigener Satz Privilegien ...und nebenbei auch getrennter User und Group.

Achja ... ein Punkt zu „there is no root“.Eine Besonderheit gibt es ....

Files die root gehoeren, kann man nur ändern, wenn man alle Priviliegen hat.

Warum?

Hat man die Privilegien sämtlicheDateien zu ändern, könnte man auch die

Dateien ändern, die die Privilegien ändern.

Weitere interessante Features ...

Auditing

Die Fragestellung:Was passiert auf meinem System?Wann hat wer welche Kommandos ausgeführt?

Auditing

Solaris Auditing beantwortet diese Fragestellung

header,124,2,AUE_EXECVE,,localhost,2008-02-02 00:12:49.560 +01:00 path,/usr/bin/ls attribute,100555,root,bin,26738688,1380,0 exec_args,2,ls,-l subject,jmoekamp,root,root,root,root,665,2040289354,12921 71168 10.211.55.2 return,success,0

Auditing

Mit Solaris Auditing kann man eine Vielzahlvon Aktionen im System überwachen ...

Basic Audit Reporting Tool

Fragestellung:Ist das System wirklich noch so wie ich es installiert habe ?

Oder die Standardausrede eines jeden Adminwenn was schief geht:„Ich habe wirklich nichts geändert!!!“

1 Ich eingeschlossen ...

Nach der Installation lässt man das BARTein erstes Mal über die Dateisysteme laufen.

Damit hat man eine Baseline für spätere Vergleiche ...

Diese Datei gut weglegen!

Der Tag ist da ... man will wissen, was an einem System verändert worden ist.

Man lässt nochmals das BART Tool über die Installation laufen.

Und dann vergleicht man diese Versionen.

/nsswitch.files: mode control:100644 test:100777 acl control:user::rw-,group::r--,mask:r-- ,other:r-- test:user::rwx,group::rwx,mask:rwx,other:rwx /nsswitch.nisplus: size control:2525 test:2538 mtime control:473976b5 test:47a44862 contents control:79e8fd689a5221d1cd059e5077da71b8 test:3f79176ec352441db11ec8a3d02ef67c /thisisjustatest:add

Das kommt dabei raus, wenn man zwischenden beiden Starts von BART ...1. die rechte an /etc/nsswitch.files ändert,2. an /etc/nsswitch.nisplus eine Zeile anhängt,3. und ein touch /etc/thisisjustatest ausführt.

Signed Binaries

Okay, ich habe hier die/usr/sbin/ifconfig

... aber ist die Datei auch von Sun?

Signed Binaries

Jedes Programm des Solaris Operating Environmentist von Sun digital signiert.

Signed Binaries

# elfsign verify -v /usr/sbin/ifconfigelfsign: verification of /usr/sbin/ifconfig passed.format: rsa_md5_sha1.signer: CN=SunOS 5.10, OU=Solaris Signed Execution, O=Sun Microsystems Inc.

IP Filter

Solaris verfügt über eine Firewall:•Stateful und Stateless Packet Inspection•beherrscht Support for both NAT and PAT•Proxies für bestimmte (TCP, UDP, FTP, rcmds, etc.)

IP Filter

Die Konfiguration ist textbasiert:pass out quick all keep state keep frags# Drop all NETBIOS traffic but don't log it.block in quick from any to any port = 137 #netbios-nsblock in quick from any to any port = 138 #netbios-dgmblock in quick from any to any port = 139 #netbios-ssn# Allow incoming IKE/IPsecpass in quick proto udp from any to any port = ikepass in quick proto udp from any to any port = 4500pass in proto esp from any to any# Allow pingpass in quick proto icmp from any to any icmp-type echo# Allow routing infopass in quick proto udp from any to port = routepass in quick proto icmp from any to any icmp-type 9 # routeradvertpass in quick proto igmp from any to any# Block and log everything else that comes inblock in log allblock in from any to 255.255.255.255block in from any to 127.0.0.1/32

(aus Glen Brunettes Solaris Security Deep Dive)

Was gibt es sonst noch so ?• tcpwrapper

• eine Art Firewall auf einem höheren Level• steht zwischen der Anforderung und dem Daemon ...• gegebenfalls ueber den inetd superserver

• svccfg -s inetd setprop defaults/tcp_wrappers=true• sendmail/rpcbind/ssh

• Vorsicht bei SSH: Solaris Security Toolkit *grins*

• Passwörter• unterschiedliche Verschlüsselungsverfahren• es geht auch länger als 8 Zeichen• Komplexitätschecks

• Vorsicht: Solaris Security Toolkit *grins*

• Achja ... Solaris Security Toolkit• automatisiertes Härten eines System• ins Jumpstart Enterprise Toolkit integrierbar• kennen immer noch nicht alle Kunden

Wollt Ihr mehr wissen?

www.c0t0d0s0.org/pages/lksf_content.html#subversionweek

Solaris 10 Security - c0t0d0s0.org · Solaris 10 11/06 ist evaluiert nach ... 14. 15 EAL 4+ ... Ein...

Documents

Llgemeines rten von Druckern ufbau eines Druckers

VORDÄCHER - duepmann-alu.de€¦ · SOLARIS Pultdächer SOLARIS 2.1 Pultdach, Grundform SOLARIS 2.2 Pultdach mit Unterlicht SOLARIS 2.3 Pultdach mit Abkantung SOLARIS 2.4 VSG-Pultdach

Solaris - Hyundai

komplettes Handbuch zu Druckern/Kopierern

Übergang von Oracle® Solaris 10 zu Oracle Solaris 11 · Oracle Solaris 11.2, das neueste Oracle Solaris-Release, ist integrierender Bestandteil des kombinierten Hardware- und Softwareportfolios

solaris lpg software guide

Neuerungen im Betriebssystem Solaris 10 · 1 Neuerungen in Solaris 10 15 Zentrale Leistungsmerkmale in Solaris 10 15 Systemverwaltungstools 16 Predictive Self-Healing 16 DTrace -

Dermatitis solaris - Wikiderm solaris.pdf · Dermatitis solaris Dermatitis solaris, 2. Grad, Schulter Dermatitis solaris, Desquamation Dermatitis solaris, Desquamation, Abb. 2 2

Neuerungen im Betriebssystem Solaris 9 12/03 · Neues Dokument Solaris WBEM Developer’s Guide 45 Neue und überarbeitete Dokumentation im Release Solaris 9 12/02 45 Dokumentation

Solaris 10 릴리스노트 - Oracle · 2011. 1. 5. · Solaris 10 OS 설치후Java 오류메시지가표시됨(6218158) 72 Solaris Flash 아카이브설치시Solaris 10 설치디스크가배출됨(6215847)

Flyer Bufdi 20210521 - solaris-fzu.de

Solaris - Systemadministration

SOLARIS - Systec Therm

Solaris 10 Installationshandbuch: Benutzerdefinierte ...Sun, Sun Microsystems, das Sun-Logo, das Solaris-Logo, die Java-Kaffeetasse, docs.sun.com, JumpStart, Solaris Flash, Sun Java,

HealthGames - UKSH Universitätsklinikum …...Erhvervsakademiet Lillebaelt Die Erhvervsakademiet Lillebaelt (EAL) ist eine im dänischen Odense angesiedelte Hochschu-le. Die EAL bietet

Was bringt Solaris 11.4? · 2018-11-19 · und DR von Solaris 10/11, ... OpenSSH_7.5p1, ... Bleiben unterstützt mit Solaris 11.3 (MOS Doc 2382427.1) 32 Solaris 11.3 / Enterprise

“Mit einzigartigen hochwertigen POS-Druckern neue Türen öffnen”

Technologie- und Gewerbepark solaris solaris ...fzu.solaris-chemnitz.de/fileadmin/user_upload/Presse/solaris_WjMrz... · seit 1993 die Firmenphilosophie des solaris Unter-nehmensverbundes

Kundenmagazin - Solaris Bus

OpenStack mit RedHat oder Solaris - Home: DOAG e.V. · OpenStack mit RedHat oder Solaris Roman Gächter ... Microsoft Word - OpenStack_RedHat_or_Solaris_Abgabe_30September.docx