LPS:Solaris/Solaris9

Z HelpDesk

Sun Solaris 9


Ověřování uživatelů

Solaris používá k ověření uživatelů, obdobně jako Linux, velmi flexibilní řešení PAM - pluggable authentication modules. Konfigurace je uložena v souboru /etc/pam.conf. Tím je umožneno bez modifikace programového vybavení měnit způsob ověření při přihlášení - Kerberos, standardní heslo, SmartCard, ... Současné nastavení pro UI311 podporuje autentizaci protokolem Kerberos 5 a lokálním heslem (např. root).

Je třeba si uvedomit, že PAM nezahrnuje pouze autentizaci, ale i dalsí tři služby: account management, session management a password management.

Následující nastavení např. nedovolí běžným uživatelům (LDAP a Kerberos5 - nesplňují podmínky pam_unix_account.so - neexistuje pro ně položka v /etc/shadow) službu deamona cron.

#
# cron service (explicit because of non-usage of pam_roles.so.1)
#
cron    account required        pam_projects.so.1
cron    account required        pam_unix_account.so.1

Po ověření je potřeba získat i další oprávnění (AFS token, kx509 certifikát, ...). Řešením je použití standardního pam_krb5 ve spojení s pam_openafs a pam_run. Modifikované PAM moduly jsou v /afs/zcu.cz/project/software/solaris.

# Default definition for Session management
# Used when service name is not explicitly mentioned for session management
#
other   session required        pam_unix_session.so.1
other   session optional        pam_krb5.so
other   session optional        pam_openafs-krb5.so setpag
other   session optional        pam_run.so /usr/local/bin/kx509


Seznam uživatelů - LDAP

Seznam uživatelů, kteří se mohou přihlásit k dané stanici, je dán obsahem souboru /etc/passwd. Moderní konfigurace ovšem umožnují získat seznam uživatelů i jinými prostředky - NIS, LDAP, ... Přístup bývá navíc řízen např. konfigurací PAM modulu pam_access (povolení přístupu pouze uživatelům patřícím do vybrané skupiny), bezpečnější systémy mívají databáze s podrobnějšímí informacemi typu kdo, kdy, odkud apod.

Stanice v UI311 jsou veřejné, přístup není nijak omezen - podmínkou je jen konto v Orionu. Stanice hledají uživatele a skupiny v souboru /etc/passwd (root, lp, ...) a v adresářových službách. V souboru /etc/nsswitch.conf je k tomuto účelu potřeba nastavit položky passwd a group následovně:

passwd:	files ldap
group:  files ldap

Aby hledání v adresářových službách fungovalo, musí být řádně nastaven LDAP klient - /var/ldap/ldap_client_file (více ldapclient(1M)).

NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_SERVERS= 147.228.52.210
NS_LDAP_SEARCH_BASEDN= ou=rfc2307,o=zcu,c=cz
NS_LDAP_AUTH= none
NS_LDAP_CACHETTL= 3600
NS_LDAP_SERVICE_SEARCH_DESC= passwd:ou=Users,ou=rfc2307,o=zcu,c=cz?one
NS_LDAP_SERVICE_SEARCH_DESC= group:ou=groups,ou=rfc2307,o=zcu,c=cz?one


PATH

SW pro OS Solaris se instaluje do velkého množství adresářů. Pro administrátora je těžké udržovat správné nastavení proměnných PATH. Netypické je umístění programů v /usr/sfw/bin, /opt/sfw/bin a pak v /opt/SWBALIK/bin. Je také vhodné umístit na začátek proměnné PATH i adresář /usr/xpg4/bin, který obsahuje verze programů a utilit, které se chovají způsobem, na jaký jsou uživatelé zvyklí z jiných UNIXových systémů.


IPfilter

Solaris je velmi rozšířeným OS, je tedy mnohem více dbát na zabezpečení stanic. Pomocníkem může být IPfilter ( http://coombs.anu.edu.au/~avalon ). Na stanici je instalován jako dva balíčky (/afs/zcu.cz/project/solaris)

system      ipf                              IP Filter
system      ipfx                             IP Filter (64-bit)

Konfiguraci najdete v /etc/opt/ipf/ipf.conf. Současné nastavení v UI311 vypadá následovně

# grep -v ^# /etc/opt/ipf/ipf.conf
pass in quick on lo0 all
pass out quick on lo0 all
block in all
block out all
pass in quick on eri0 proto tcp from 147.228.0.0/16 to any keep state
pass in quick on eri0 proto udp from 147.228.0.0/16 to any keep state
pass in quick on eri0 proto icmp from 147.228.0.0/16 to any keep state
pass out quick on eri0 proto tcp from any to any keep state keep frags
pass out quick on eri0 proto udp from any to any keep state keep frags
pass out quick on eri0 proto icmp from any to any keep state

Tj. je povolena veškerá komunikace přes lo0 (loopback), veškerá komunikace v rámci ZČU a komunikace, která souvisí s komunikací zahájenou směrem ven.


Update OS (Patch Cluster)

Dalším podstatným krokem pro zvýšení bezpečnosti je update OS. Na stránkách společnosti Sun (http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access) je možné stáhnout komplexní sadu oprav tzv. Patch Cluster. V učebně SUN UI311 je kromě klasické instalace na každé stanici možné instalaci provést na jediném stroji a pak vytvořit instalační obraz, který se nainstaluje na ostatní stroje. Je možný i jiný postup, kdy tuto distribuci umístíme k instalačnímu obrazu a změnou konfigurace síťové instalace Solarisu na serveru vynutíme místo klasické instalace update. Instalace balíků by měla proběhnout v single mode, automaticky je kontrolováno, které části mají či nemají být instalovány.

Př. Stáhneme soubor 9_Recommended.zip (Solaris 9). Rozbalíme ho, uvedeme Solaris do single mode, přepneme se do rozbaleného adresáře a spustíme script install_cluster. Ten provede veškeré kontroly a nainstaluje ve správném pořadí potřebné opravy (patchadd).