Solaris 10 Security. Jörg Möllenkamp Senior Systems Engineer. Sun Microsystems

Größe: px
Ab Seite anzeigen:

Download "Solaris 10 Security. Jörg Möllenkamp Senior Systems Engineer. Sun Microsystems"

Transkript

1 Solaris 10 Security Jörg Möllenkamp Senior Systems Engineer Sun Microsystems

2 Was ist Sicherheit? 2

3 Die Sicherheit einer Installation hängt von vielen Faktoren ab, und nur einer ist das Betriebsystem... 3

4 Sicherheit ist ein Kompromiss... ein Balanceakt... 4

5 Ein gutes und sicheres Betriebsystem stellt Tools und Mechanismen bereit mit denen ein Administator sein System schnell und einfach absichern kann ohne den normalen Nutzer mehr als nötig einzuschränken. 5

6 Was nutzt das tollste Tool, wenn man damit kaum umgehen kann? 6

7 <sarkasmus>oder warum steht bei vielen Anleitungen gleich am Anfang der SElinux-Anleitung, wie man es wieder ausschaltet?</sarkasmus> 7

8 Okay... zurück zu Solaris... 8

9 Aus Marketingsicht würde man mit der Common Criteria Evaluierung anfangen 9

10 Okay... 10

11 Common Criteria 11

12 Ja... haben wir auch... 12

13 Solaris 10 11/06 ist evaluiert nach... EAL 4+ Role Based Access Control Protection Profile Conditional Access Protection Profile 13

14 14

15 Solaris 10 + Trusted Extensions ist in Kürze evaluiert nach... EAL 4+ Role Based Access Control Protection Profile Conditional Access Protection Profile Label Security Protection Profile 15

16 16

17 Interessanterweise wissen nur wenige was es wirklich mit einer Common Criteria Evaluierung auf sich hat... 17

18 Im Rahmen der CC-Evaluierung wird nicht das Produkt zertifziziert. 18

19 Wofür steht nun die CC-Evaluierung? 19

20 Sehr böse Zungen behaupten: Die Zahl nach EAL steht für die Anzahl der Nullen, die man an 100 anfügen muss, um die Zertifizierung zu bekommen... ;) 20

21 Missverständnis Nummer 1 21

22 Im Rahmen der CC-Evaluierung wird nicht das Produkt zertifziziert. 22

23 Es wird die Evaluierung einer bestimmten Konfiguration eines bestimmten Produkts unter bestimmten Umständen hinsichtlich der Einhaltung eines bestimmten Regelwerks zertifiziert. Die Evaluierung erfolgt durch eine bestimmte Vorgehensweise! 23

24 Evaluierende Stelle und zertifizierende Stelle müssen nicht identisch sein - bei Solaris 11/06: Evaluierende Stelle Common Criteria Evaluation Facility CGI Information Systems & Management Consultants Inc. Zertifizierende Stelle Communications Security Establishment Certification Body 24

25 25

26 Missverständnis Nummer 2 26

27 Es reicht, den Evaluation Assurance Level in den Raum zu werfen... 27

28 Die Nennung des Evaulation Assurance Levels (EAL) sagt nichts über die Sicherheit des Systems aus. 28

29 Was ist also wichtig? 29

30 Okay... eine Einführung in die Begrifflichkeiten von Common Criteria... 30

31 Am Anfang war der Evaluierungsgegenstand... 31

32 Securityspeak für das was evaluiert werden soll 32

33 Also bei der Common Criteria Evaluierung von Solaris + TX Solaris 10 11/06* Sternchenschrift: A Common Criteria Certificate was awarded to Sun Microsystems on June 11, 2008 by the Canadian Common Criteria Evaluation and Certification Scheme. Solaris 10 11/06 with Trusted Extensions is an extension to the proven Solaris 10 security model. It utilizes User and Process Rights Management, Solaris Containers, file systems, and networking and doesn't require a new or separate kernel. Best of all, it doesn't require ISVs to requalify their applications to run them with sensitivity labels. Because it's an extension to the Solaris 10 OS's security policy, Solaris 10 11/06 with Trusted Extensions technology is flexible and quick to deploy: You can add new applications, new users, and more, very quickly, without extensive analysis of each application and without the need to write complex, error-prone security policies that require a system reboot. Security Features in the Evaluated Configuration include: * MAC and DAC - including ACLs; * Least privilege with fine-grained privileges for all policies; * Trusted networking and trusted NFS; * Identification and authentication - including password generation; * Roles for separating user and administration capabilities; * Rights profiles for grouping commands, applications, and authorizations and assigning to users or roles; * Centralized administration with easy-to-use graphical tools; * Auditing which records the actions of users and roles as well as non-attributable events; * Sun's Common Desktop Environment (CDE) and Sun Java Desktop System Multilevel windowing environment with trusted path for invoking trusted commands and applications. Solaris 10 11/06 with Trusted Extensions has being been certified on: * Workstations and servers using an UltraSPARC III, UltraSPARC IIIi, UltraSPARC II, UltraSPARC IIe, UltraSPARC IIi, or UltraSPARC T1 processor in single or multiple configuration. * The Netra 1280 and Sun Fire mid-frame and high-end family offering Dynamic Reconfiguration and Multiple Domaining using an UltraSPARC III, UltraSPARC III Cu (copper based) or UltraSPARC IV processor. * AMD based processor systems: AMD Opteron 800, 1200, and 8000 series; AMD , 200, and 2000 series; AMD dual-core 1200 and 2000 series; AMD Opteron 285; and, Intel Xeon. The Solaris 10 11/06 with Trusted Extensions Certified software consists of the Operating Environment and a subset of patches which have been reviewed to ensure that their application introduces no new security vulnerabilities. 33

34 Man muss wissen, welche gegen welche Protection Profiles überprüft wurden! 34

35 Ein Protection Profile ist eine Menge von vordefinierten Anforderungen, gegen die ein Evaluierungsgegenstand geprüft wird. 35

36 Das Protection Profile ist sozusagen ein Anforderungstemplate. 36

37 Man kann ein Protection Profile verwenden man muss es aber nicht. 37

38 ... für manches existiert gar kein Protection Profile. 38

39 Für Virtualisierung existieren keine beispielsweise Protection Profiles... 39

40 Dann muss man das Security Target selber beschreiben. 40

41 EAL 4+ für VMware ESX basiert auf einem selbstgeschriebenen Security Target. 41

42 Security Target??? 42

43 43

44 Das Security Target beschreibt, was mit einem Evaluierungsgegenstand gemacht wird um die Anforderungen des Protection Profiles zu erfüllen. 44

45 Und nur fuer das im Security Target beschriebene System gilt auch die Zertifizierung. nur auf der evaluierten Hardware nur mit den evaluierten Diensten nur mit den evaluierten Patches nur in der evaluierten Konfiguration 45

46 Den nur was evaluiert wird, ist auch Bestandteil der Zertifizierung! 46

47 Ja, aber was sagt also nun EAL 4+ aus? 47

48 EAL Evaluation Assurance Level 48

49 Der Evaluation Assurance Level sagt mit welchen Methoden ein Evaluierungsgegenstand geprüft wird. 49

50 Hersteller kommt zum Meeting... EAL1: Functionally Tested EAL2: Structurally Tested EAL3: Methodically Tested and Checked EAL4: Methodically Designed, Tested and Reviewed EAL5: Semiformally Designed and Tested EAL6: Semiformally Verified Design and Tested EAL7: Formally Verified Design and Tested Evaluierung durch einen mathematischen Beweis... 50

51 In der Praxis heisst das... 51

52 Überprüft man all das, kann herauskommen, das eine EAL Evaluierung nicht ganz so toll ist, zunächst gedacht... 52

53 Schönes schlechtes Beispiel: Die EAL4+ Zertifizierung eines Markbegleiters im Bereich der unixoiden Betriebsysteme... 53

54 Es wurde unter anderem auch die Clientvariante getestet... 54

55 Aus der Security Target Definition der Evaluierung: Aus dem Evaluation Report der Evaluierung: 55

56 Ein Client ohne graphischen Desktop? 56

57 Meine Empfehlung daher: Sehr genau die Evaluierungunterlagen lesen! 57

58 Schönes sehr schlechtes Beispiel: Die Evaluierung für Windows NT vor vielen Jahren... die nur galt, wenn das System nicht an Netzwerke angeschlossen war. 58

59 Im Security Target fuer Windows NT stand... The CAPP provides for a level of protection which is appropriate for an assumed non-hostile and well-managed user community requiring protection against threats of inadvertent or casual attempts to breach the system security. The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security. The CAPP does not fully address the threats posed by malicious system development or administrative personnel. Bedeutet in Echtsprache... Häng das System nicht ans Internet, lass keine drauf laufen, und wenn du dem Softwareentwickler nicht 100% vertraust, installiere nicht dessen Programme. Und wenn einer deiner Mitarbeiter was gegen dich hat, bist Du eh im Eimer. Gegen einen ausreichend zielgesteuerten Angreifer hast Du eh keine Chance... 59

60 Bei Solaris beinhaltet das Security Target von den ACLs ueber RBAC bis hin zu Userdatenbanken im LDAP inclusive eingeschalteten Desktop eine Vielzahl von Features. 60

61 Bei den Trusted Solaris bzw. den Trusted Extension berücksichtigt die Evaluierung sogar die Berücksichtigung von Geheimhaltungsstufen beim Drucken, bei Übertragung von Daten via NFS sogar beim Cut n Paste zwischen Fenstern mit Daten unterschiedlicher Geheimhaltung. 61

62 62

63 Für Solaris 10 11/06: Security Target: Certification Report: 63

64 Und mal ganz ehrlich... 64

65 Eine erhaltene Certification sagt an sich auch noch wenig ueber die Sicherheit eines Systems aus... 65

66 Viele Sicherheitsprobleme haben ihren Ursprung vor der Tastatur. 66

67 Securityfeatures in Solaris 67

68 Daher werde ich in meinem Vortrag mich jetzt eher auf praktische Dinge verlagern... 68

69 Features, die es erleichtern ein System sicherer zu machen... 69

70 Ich kann in 60 Minuten nur eine kleine Auswahl streifen... 70

71 Secure by default 71

72 Solaris hat den Ruf, in der Standard Konfiguration zuviele Dienste im Netz zur Verfügung zu stellen... 72

73 Portscan wurde gestartet Port Scanning host: Open TCP Port: 21 ftp Open TCP Port: 22 ssh Open TCP Port: 23 telnet Open TCP Port: 25 smtp Open TCP Port: 79 finger Open TCP Port: 111 sunrpc Open TCP Port: 513 login Open TCP Port: 514 shell Open TCP Port: 587 submission Open TCP Port: 898 Portscan wurde beendet 73

74 Das dem so ist, hängt mit der Binärkompatibilitätsgarantie von Solaris zusammen... 74

75 Ein Programm könnte darauf angewiesen sein, das der Dienst genauso wie in alten Versionen offen verfügbar ist. 75

76 Secure by Default bedeutet: Vom Netz aus ist nur der SSH-Port erreichbar. 76

77 Will man den Zustand vor Secure by default # netservices open 77

78 Und so macht man das System wieder zu... # netservices limited 78

79 Secure by Default ist heute voreingestellt bei der Installation. 79

80 Der Auslieferungszustand sieht heute so aus... Portscan wurde gestartet Port Scanning host: Open TCP Port: 22 ssh Open TCP Port: 111 sunrpc Portscan wurde beendet 80

81 Die meisten Dienste sind weiterhin aktiv... 81

82 Sie horchen nur nicht mehr auf externe Netzwerkinterfaces... 82

83 (aus Glen Brunettes Solaris Security Deep Dive) 83

84 RBAC 84

85 Das herkömmliche Rechtemodell ist zweigeteilt... 85

86 $ kann wenig 86

87 # kann alles 87

88 Das ist nicht immer wirklich optimal... 88

89 Herausforderung: Manche Dinge in einem Unix-Rechner erfordern root-rechte 89

90 Problem: Will man jedem Admin wirklich das Password für den Root-Account geben? 90

91 Ein Admin, der eigentlich nur für das Hinzufügen von Druckern verantwortlich ist, kann auch das Auditing ausschalten am Cluster rumspielen Netzwerkinterfaces umkonfigurieren 91

92 Dieses Problem ist so alt wie Unix selbst. 92

93 1980 wurde daher sudo erfunden. 93

94 sudo steht übrigens nicht für super user do 94

95 sudo steht für substitute user do 95

96 Solaris löst das Problem etwas anders... 96

97 RBAC = Role based access control 97

98 Als Admin hat man immer eine Rolle. 98

99 Man ist normaler User, aber auch: Printer Admin Operator User Admin Filesystem Admin 99

100 Ein Rolle hat immer ein Rollenprofil

101 Das Rollenprofil legt fest: - welche Programme die Rolle ausführen kann - welche Authorisations eine Rolle hat 101

102 Eine oder mehrere Rollenprofile werden einer Rolle zugewiesen. 102

103 Eine Rolle ist technisch eine Nutzeraccount in den man sich nicht direkt einloggen kann. 103

104 Man loggt sich als normaler Nutzer ein

105 ... und nimmt eine Rolle an. 105

106 Nur so lange man diese Rolle angenommen hat, hat man die Sonderrechte dieser Rolle. 106

107 Hat man seine Arbeit erledigt, dann verlässt man die Rolle und ist wieder normaler User. 107

108 Beispiel: $ /usr/sbin/share /export/home/jmoekamp Could not share: /export/home/jmoekamp: no permission $ grep "share" /etc/security/exec_attr File System Management:suser:cmd:::/usr/sbin/dfshares:euid=0 File System Management:suser:cmd:::/usr/sbin/share:uid=0;gid=root File System Management:suser:cmd:::/usr/sbin/shareall:uid=0;gid=root File System Management:suser:cmd:::/usr/sbin/sharemgr:uid=0;gid=root File System Management:suser:cmd:::/usr/sbin/unshare:uid=0;gid=root File System Management:suser:cmd:::/usr/sbin/unshareall:uid=0;gid=root [...] $ su root Password: # usermod -P'File System Management' jmoekamp UX: usermod: jmoekamp is currently logged in, some changes may not take effect until next login. # exit $ pfexec /usr/sbin/share /export/home/jmoekamp $ /usr/sbin/share - /export/home/jmoekamp rw "" 108

109 Bisher klingt das ganze nach einem etwas erweiterten sudo. 109

110 Sun RBAC kennt zusätzlich das Konzept der Authorizations. 110

111 Authorisations löst folgende Frage: Wie kann man einem Nutzer nur erlauben nur bestimmte Funktionen eines Programms auszuführen? 111

112 Wichtig: Der Kernel erzwingt hier nichts

113 Das Beachten von Authorisations ist Sache der Applikation. 113

114 Allerdings unterstützen viele Programme des Solaris Operating Environments Authorisations. 114

115 Der Kernel stellt nur Funktionen bereit, um einer Applikation mitzuteilen, welche Authorisations eine Rolle hat. 115

116 Auch in einem frisch installierten Solaris werden Authorisations genutzt. 116

117 Jeder Nutzer hat die Authorisation: solaris.device.cdrw.* Dadurch kann jeder Nutzer CD lesen und beschreiben

118 Stellen Sie sich das wie ein Werkzeugschrank mit einer Bohrschraubmaschine vor. 118

119 Die Rolle ist der Schlüssel zum Werkzeugschrank 119

120 Mit der Authorisation überprüft der Bohrschrauber ob der Handwerker authorisiert ist: - ein Loch zu bohren - Schrauben aus der Wand zu drehen - den Bohrer oder das Bit zu wechseln 120

121 Wozu man das braucht? Wenn Sie verhindern wollen, das jemand wieder die Stromleitung anbohrt, aber sie der Person schon erlauben wollen, Schrauben aus der Wand zu holen

122 Um auf Solaris zurück zu kommen... Sie wollen möglicherweise nicht jedem Admin jede Funktion eines Tools zugänglich machen. 122

123 Least Privileges 123

124 There is no root! 124

125 Okay, es gibt noch einen User root mit der UserID 0 der alle Rechte eines root hat

126 Ja... hängt auch wieder mit der Binärkompatibilitätsgarantie zusammen

127 Sie können auch jedem anderen Nutzer root-gleiche Rechte geben

128 Aber das muss so nicht mehr sein

129 Es ist nur noch aus Kompatibilitätsgründen so! 129

130 Solaris 10 arbeitet mit Priviliegien 130

131 Es gibt mittlerweile eine Vielzahl von Privileges contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config sys_devices sys_ip_config sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 131

132 Mit Solaris Privileges kann man auf zwei Arten umgehen. 132

133 Man startet mit dem Service Management Framework einen Service mit einem eingeschränkten oder erweiterten Satz Privilegien 133

134 Oder die Applikation macht das selber... usr/src/lib/print/libpapi-lpd/common/lpd-port.c: 134

135 Oder die Applikation macht das selber... usr/src/lib/print/libpapi-lpd/common/lpd-port.c: 135

136 Nehmen wir als Beispiel den Apache

137 Frage in die Runde: Warum muss Apache mit root-rechten gestartet werden? # ps -ef grep "apache" grep -v "grep" webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start root :11:50? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start 137

138 Richtig: Port 80 ist ein privilegierter Port

139 Man brauchte bisher root-rechte, um dieses Privileg zu erlangen

140 Ich kann unter Solaris 10 das Privileg an User vergeben, sich an priviligierte Ports zu binden! 140

141 Die Priviliegien eines Root-Users contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config sys_devices sys_ip_config sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 141

142 Rechte eines normalen Users... contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config Das ist sys_devices der sogenannte sys_ip_config basic-set von Privilegien. sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 142

143 Um noch mal auf das Beispiel des Apache-Servers zurueck zu kommen

144 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid net_privaddr: proc_taskid Allow a process proc_zone to bind to a sys_acct privileged port sys_admin sys_audit sys_config number. The sys_devices privilege port sys_ip_config numbers are sys_ipc_config (the sys_linkdir sys_mount traditional UNIX sys_net_config privileged ports) sys_nfs as well sys_res_config as those sys_resource sys_smb ports marked sys_suser_compat as "udp/tcp_extra_priv_ports" sys_time with the sys_trans_label win_colormap exception of the ports win_config reserved for use win_dac_read by NFS and SMB. win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 144

145 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config proc_info: sys_devices Allow a process sys_ip_config to examine the sys_ipc_config status of sys_linkdir sys_mount processes sys_net_config other than those sys_nfs to which sys_res_config it can send sys_resource sys_smb signals. sys_suser_compat Processes that cannot be examined sys_time cannot sys_trans_label win_colormap be seen /proc win_config and appear not win_dac_read to exist. win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 145

146 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config proc_session: sys_devices Allow a sys_ip_config process to send signals sys_ipc_config or sys_linkdir sys_mount trace processes sys_net_config outside its session. sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 146

147 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config file_link_any: sys_devices Allow a sys_ip_config process to create sys_ipc_config hardlinks to files sys_linkdir sys_mount owned sys_net_config by a UID different from sys_nfs the process's sys_res_config effective UID. sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 147

148 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config sys_devices sys_ip_config sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 148

149 There is no root! 149

150 Und das haben sie bisher vergeben... contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config sys_devices sys_ip_config sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 150

151 Via SMF kann man die Privilegien setzen... # svcprop -v -p start apache2 start/exec astring /lib/svc/method/http-apache2\ start start/timeout_seconds count 60 start/type astring method start/user astring webservd start/group astring webservd start/privileges astring basic,!proc_session,!proc_info,!file_link_any,net_privaddr start/limit_privileges astring :default start/use_profile boolean false start/supp_groups astring :default start/working_directory astring :default start/project astring :default start/resource_pool astring :default 151

152 Dann kann man auch den webserver ohne root-rechte laufen lassen... # svcprop -v -p start apache2 start/exec astring /lib/svc/method/http-apache2\ start start/timeout_seconds count 60 start/type astring method start/user astring webservd start/group astring webservd start/privileges astring basic,!proc_session,!proc_info,!file_link_any,net_privaddr start/limit_privileges astring :default start/use_profile boolean false start/supp_groups astring :default start/working_directory astring :default start/project astring :default start/resource_pool astring :default 152

153 # ps -ef grep "apache2" grep -v "grep" webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:53? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start 153

154 Ganz neue Entwicklung... Apache selbst wird privilege-aware - mod_privileges 154

155 mod_privileges Pro <virtualhost></virtualhost> ein eigener Satz Privilegien... und nebenbei auch getrennter User und Group. 155

156 Achja... ein Punkt zu there is no root. Eine Besonderheit gibt es

157 Files die root gehoeren, kann man nur ändern, wenn man alle Priviliegen hat. 157

158 Warum? Hat man die Privilegien sämtliche Dateien zu ändern, könnte man auch die Dateien ändern, die die Privilegien ändern. 158

159 Weitere interessante Features

160 Auditing Die Fragestellung: Was passiert auf meinem System? Wann hat wer welche Kommandos ausgeführt? 160

161 Auditing Solaris Auditing beantwortet diese Fragestellung header,124,2,aue_execve,,localhost, :12: :00 path,/usr/bin/ls attribute,100555,root,bin, ,1380,0 exec_args,2,ls,-l subject,jmoekamp,root,root,root,root,665, , return,success,0 161

162 Auditing Mit Solaris Auditing kann man eine Vielzahl von Aktionen im System überwachen

163 Basic Audit Reporting Tool Fragestellung: Ist das System wirklich noch so wie ich es installiert habe? Oder die Standardausrede eines jeden Admin wenn was schief geht: Ich habe wirklich nichts geändert!!! 1 1 Ich eingeschlossen

164 Basic Audit Reporting Tool Nach der Installation lässt man das BART ein erstes Mal über die Dateisysteme laufen. 164

165 Basic Audit Reporting Tool Damit hat man eine Baseline für spätere Vergleiche... Diese Datei gut weglegen! 165

166 Basic Audit Reporting Tool Der Tag ist da... man will wissen, was an einem System verändert worden ist. 166

167 Basic Audit Reporting Tool Man lässt nochmals das BART Tool über die Installation laufen. 167

168 Basic Audit Reporting Tool Und dann vergleicht man diese Versionen. 168

169 Basic Audit Reporting Tool /nsswitch.files: mode control: test: acl control:user::rw-,group::r--,mask:r--,other:r-- test:user::rwx,group::rwx,mask:rwx,other:rwx /nsswitch.nisplus: size control:2525 test:2538 mtime control:473976b5 test:47a44862 contents control:79e8fd689a5221d1cd059e5077da71b8 test:3f79176ec352441db11ec8a3d02ef67c /thisisjustatest:add Das kommt dabei raus, wenn man zwischen den beiden Starts von BART die rechte an /etc/nsswitch.files ändert, 2. an /etc/nsswitch.nisplus eine Zeile anhängt, 3. und ein touch /etc/thisisjustatest ausführt. 169

170 Signed Binaries Okay, ich habe hier die /usr/sbin/ifconfig... aber ist die Datei auch von Sun? 170

171 Signed Binaries Jedes Programm des Solaris Operating Environment ist von Sun digital signiert. 171

172 Signed Binaries # elfsign verify -v /usr/sbin/ifconfig elfsign: verification of /usr/sbin/ifconfig passed. format: rsa_md5_sha1. signer: CN=SunOS 5.10, OU=Solaris Signed Execution, O=Sun Microsystems Inc. 172

173 IP Filter Solaris verfügt über eine Firewall: Stateful und Stateless Packet Inspection beherrscht Support for both NAT and PAT Proxies für bestimmte (TCP, UDP, FTP, rcmds, etc.) 173

<Insert Picture Here> Ich bin /root ich darf das! Oder etwa nicht??? Eine Einführung in Role Based Access Control unter Solaris Stefan Hinker EMEA Hardware Principal Sales Consultant Agenda /root darf

Mehr

Titelbild1 ANSYS. Customer Portal LogIn

Titelbild1 ANSYS. Customer Portal LogIn Titelbild1 ANSYS Customer Portal LogIn 1 Neuanmeldung Neuanmeldung: Bitte Not yet a member anklicken Adressen-Check Adressdaten eintragen Customer No. ist hier bereits erforderlich HERE - Button Hier nochmal

Mehr

LINUX 4 AIX Ein Überblick. 1 17.03.2014 AIX 2 LINUX Webcast

LINUX 4 AIX Ein Überblick. 1 17.03.2014 AIX 2 LINUX Webcast LINUX 4 AIX Ein Überblick 1 17.03.2014 AIX 2 LINUX Webcast Agenda 00 Voraussetzungen und Vorbereitung 01 Virtualisierung 02 HA High Availability und Cluster 03 System Management Deployment Monitoring 04

Mehr

Effizienz im Vor-Ort-Service

Effizienz im Vor-Ort-Service Installation: Anleitung SatWork Integrierte Auftragsabwicklung & -Disposition Februar 2012 Disposition & Auftragsabwicklung Effizienz im Vor-Ort-Service Disclaimer Vertraulichkeit Der Inhalt dieses Dokuments

Mehr

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2 ReadMe zur Installation der BRICKware for Windows, Version 6.1.2 Seiten 2-4 ReadMe on Installing BRICKware for Windows, Version 6.1.2 Pages 5/6 BRICKware for Windows ReadMe 1 1 BRICKware for Windows, Version

Mehr

IT-Security durch das passende OS. Oracle Solaris 11.2.

IT-Security durch das passende OS. Oracle Solaris 11.2. IT-Security durch das passende OS. Oracle Solaris 11.2. Heiko Stein Senior IT-Architekt etomer GmbH Agenda. Motivation (?) Compliance und Security in Solaris 11.2 Besondere Funktionen und deren Nutzung

Mehr

Rechnernetze. 6. Übung

Rechnernetze. 6. Übung Hochschule für Technik und Wirtschaft Studiengang Kommunikationsinformatik Prof. Dr. Ing. Damian Weber Rechnernetze 6. Übung Aufgabe 1 (TCP Client) Der ECHO Service eines Hosts wird für die Protokolle

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3 User Manual for Marketing Authorisation and Lifecycle Management of Medicines Inhalt: User Manual for Marketing Authorisation and Lifecycle Management of Medicines... 1 1. General information... 2 2. Login...

Mehr

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= Error: "Could not connect to the SQL Server Instance" or "Failed to open a connection to the database." When you attempt to launch ACT! by Sage or ACT by Sage Premium for

Mehr

VPN Client installieren und starten

VPN Client installieren und starten Netzzugang VPN steht für Virtual Private Network und ist für all diejenigen gedacht, die mit ihren Rechnern über einen beliebigen Internet-Zugang von ausserhalb auf spezielle Dienste der Universität Bielefeld

Mehr

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com)

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Inhalt Content Citrix-Anmeldung Login to Citrix Was bedeutet PIN und Token (bei Anmeldungen aus dem Internet)? What does PIN and Token

Mehr

Version/Datum: 1.5 13-Dezember-2006

Version/Datum: 1.5 13-Dezember-2006 TIC Antispam: Limitierung SMTP Inbound Kunde/Projekt: TIC The Internet Company AG Version/Datum: 1.5 13-Dezember-2006 Autor/Autoren: Aldo Britschgi aldo.britschgi@tic.ch i:\products\antispam antivirus\smtp

Mehr

Mac OS X Firewall. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 21. November 2011. Zentrale Services Informationstechnologie

Mac OS X Firewall. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 21. November 2011. Zentrale Services Informationstechnologie Mac OS X Firewall Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de 21. November 2011 Mark Heisterkamp, Mac OS X Firewall, 21. November 2011 Seite 1/20 Lion Seit Mac OS X 10.7 drei Firewalls: Applikationsspezifisch

Mehr

VPN Tracker für Mac OS X

VPN Tracker für Mac OS X VPN Tracker für Mac OS X How-to: Kompatibilität mit DrayTek Vigor Routern Rev. 1.0 Copyright 2003 equinux USA Inc. Alle Rechte vorbehalten. 1. Einführung 1. Einführung Diese Anleitung beschreibt, wie eine

Mehr

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia 3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia Alexander Meisel HP OpenView 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change

Mehr

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich?

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich? KURZANLEITUNG Firmware-Upgrade: Wie geht das eigentlich? Die Firmware ist eine Software, die auf der IP-Kamera installiert ist und alle Funktionen des Gerätes steuert. Nach dem Firmware-Update stehen Ihnen

Mehr

Availability Manager Overview

Availability Manager Overview DECUS Symposium 2007 Availability Manager Overview Günter Kriebel Senior Consultant OpenVMS guenter.kriebel@hp.com GET CONNECTED People. Training. Technology. 2006 Hewlett-Packard Development Company,

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

Softwareanforderungen für Microsoft Dynamics CRM Server 2015

Softwareanforderungen für Microsoft Dynamics CRM Server 2015 Softwareanforderungen für Microsoft Dynamics CRM Server 2015 https://technet.microsoft.com/de-de/library/hh699671.aspx Windows Server-Betriebssystem Microsoft Dynamics CRM Server 2015 kann nur auf Computern

Mehr

Aus Eins mach Viele. Der Einzelplatz Zugang für die ganze WG. Sprecher: Rene cavac Schickbauer

Aus Eins mach Viele. Der Einzelplatz Zugang für die ganze WG. Sprecher: Rene cavac Schickbauer Aus Eins mach Viele Der Einzelplatz Zugang für die ganze WG Sprecher: Rene cavac Schickbauer Die Ausgangslage Internet Modem 10.0.0.138 213.229.50.215 Computer1 10.0.0.140 Computer2 Computer1 Die Zielkonfiguration

Mehr

Die in diesem Dokument aufgelisteten Anforderungen an das Betriebssystem schließen die aktuellen Patches und Servivepacks ein.

Die in diesem Dokument aufgelisteten Anforderungen an das Betriebssystem schließen die aktuellen Patches und Servivepacks ein. Systemanforderungen Die unten angeführten Systemanforderungen für Quark Publishing Platform sind grundlegende Anforderungen, Ihre Benutzerzahl, Asset-Anzahl und Anzahl der Asset-Versionen beeinflussen

Mehr

Scanner, Sniffer und Scanlogger

Scanner, Sniffer und Scanlogger Scanner, Sniffer und Scanlogger Sniffer Sniffer Grundlagen Promiscuous Mode Ethernet Gefahren und Nutzen von Sniffer Praxis mit Buttsniff und Sniffit Sniffer Grundlagen Ein Sniffer ist ein Device, ob Software

Mehr

Ralf M. Schnell. Technical Evangelist Microsoft Deutschland GmbH

Ralf M. Schnell. Technical Evangelist Microsoft Deutschland GmbH Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH Was ist Server Core? Warum Server Core? Was kann man damit machen? Was kann man damit nicht machen? Server Core: Installation Server Core:

Mehr

Employment and Salary Verification in the Internet (PA-PA-US)

Employment and Salary Verification in the Internet (PA-PA-US) Employment and Salary Verification in the Internet (PA-PA-US) HELP.PYUS Release 4.6C Employment and Salary Verification in the Internet (PA-PA-US SAP AG Copyright Copyright 2001 SAP AG. Alle Rechte vorbehalten.

Mehr

Total Security Intelligence. Die nächste Generation von Log Management and SIEM. Markus Auer Sales Director Q1 Labs.

Total Security Intelligence. Die nächste Generation von Log Management and SIEM. Markus Auer Sales Director Q1 Labs. Total Security Intelligence Die nächste Generation von Log Management and SIEM Markus Auer Sales Director Q1 Labs IBM Deutschland 1 2012 IBM Corporation Gezielte Angriffe auf Unternehmen und Regierungen

Mehr

Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts. Womit?

Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts. Womit? Cryx (cryx at h3q dot com), v1.1 Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts - Aufbau der Netze und testen der Funktion ohne

Mehr

Parameter-Updatesoftware PF-12 Plus

Parameter-Updatesoftware PF-12 Plus Parameter-Updatesoftware PF-12 Plus Mai / May 2015 Inhalt 1. Durchführung des Parameter-Updates... 2 2. Kontakt... 6 Content 1. Performance of the parameter-update... 4 2. Contact... 6 1. Durchführung

Mehr

IBM Security Lab Services für QRadar

IBM Security Lab Services für QRadar IBM Security Lab Services für QRadar Serviceangebote für ein QRadar SIEM Deployment in 10 bzw. 15 Tagen 28.01.2015 12015 IBM Corporation Agenda 1 Inhalt der angebotenen Leistungen Allgemeines Erbrachte

Mehr

1.1 Media Gateway - SIP-Sicherheit verbessert

1.1 Media Gateway - SIP-Sicherheit verbessert Deutsch Read Me System Software 7.10.6 PATCH 2 Diese Version unserer Systemsoftware ist für die Gateways der Rxxx2- und der RTxxx2-Serie verfügbar. Beachten Sie, dass ggf. nicht alle hier beschriebenen

Mehr

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe)

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe) Sysadmin Day 2010 Windows & Linux just good friends? friends!!! Ralf Wigand MVP Directory Services KIT (Universität Karlsruhe) Voraussetzungen Sie haben ein Active Directory Sie haben einen Linux Client

Mehr

Mobile Device Management (MDM) Part2

Mobile Device Management (MDM) Part2 Jürg Koller CONSULTANT trueit GMBH juerg.koller@trueit.ch @juergkoller blog.trueit.ch / trueit.ch Pascal Berger CONSULTANT trueit GMBH pascal.berger@trueit.ch @bergerspascal blog.trueit.ch / trueit.ch

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

Instruktionen Mozilla Thunderbird Seite 1

Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Dieses Handbuch wird für Benutzer geschrieben, die bereits ein E-Mail-Konto zusammenbauen lassen im Mozilla Thunderbird und wird

Mehr

Virtualisierung in der Praxis. Thomas Uhl Topalis AG

Virtualisierung in der Praxis. Thomas Uhl Topalis AG Thomas Uhl Topalis AG Firmenübersicht 20.11.07 Thomas Uhl 2 Wikipedia sagt: In computing, virtualization is a broad term that refers to the abstraction of computer resources. One useful definition is "a

Mehr

Ingenics Project Portal

Ingenics Project Portal Version: 00; Status: E Seite: 1/6 This document is drawn to show the functions of the project portal developed by Ingenics AG. To use the portal enter the following URL in your Browser: https://projectportal.ingenics.de

Mehr

Abteilung Internationales CampusCenter

Abteilung Internationales CampusCenter Abteilung Internationales CampusCenter Instructions for the STiNE Online Enrollment Application for Exchange Students 1. Please go to www.uni-hamburg.de/online-bewerbung and click on Bewerberaccount anlegen

Mehr

Projekt Copernicus oder Sophos UTM, quo vadis?

Projekt Copernicus oder Sophos UTM, quo vadis? Projekt Copernicus oder Sophos UTM, quo vadis? Was bisher geschah Sophos kauft im Februar 2014 den indischen Firewall Anbieter Cyberoam Technologies. gegründet 1999, 550 Mitarbeiter Next-Generation Firewall

Mehr

Webmin mit SSL Unterstützung

Webmin mit SSL Unterstützung Webmin mit SSL Unterstützung Installation Für die Installation werden benötigt: Net_SSLeay.pm-1.05.tar.gz webmin-0.80.tar.gz mögliche Zusatzmodule: backup_1.0.wbm ipchains-0.80.1.wbm nettools-0.79.1.wbm

Mehr

BlackBerry Mobile Fusion Universal Device Service. Thomas Dingfelder, Senior Technical Account Manager ubitexx a Subsidiary of Research In Motion

BlackBerry Mobile Fusion Universal Device Service. Thomas Dingfelder, Senior Technical Account Manager ubitexx a Subsidiary of Research In Motion BlackBerry Mobile Fusion Universal Device Service Stefan Mennecke, Director Stefan Mennecke, Director Thomas Dingfelder, Senior Technical Account Manager ubitexx a Subsidiary of Research In Motion RIM

Mehr

Remotely Anywhere Verwendung von Zertifikaten Schritt für Schritt Anleitung zur Implementation von Zertifikaten in Remotely Anywhere

Remotely Anywhere Verwendung von Zertifikaten Schritt für Schritt Anleitung zur Implementation von Zertifikaten in Remotely Anywhere Remotely Anywhere Verwendung von Zertifikaten Schritt für Schritt Anleitung zur Implementation von Zertifikaten in Remotely Anywhere Copyright 1997-2005 Brainware Consulting & Development AG All rights

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Satellite 6. Next Generation System Provisioning, Configuration and Patch Management

Satellite 6. Next Generation System Provisioning, Configuration and Patch Management Peter Mumenthaler Head of System Engineering Senior Systems Architekt Andreas Zuber Senior System Engineer Philipp Gassman System Technician Satellite 6 Next Generation System Provisioning, Configuration

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Firewalling. Michael Mayer IAV0608 Seite 1 von 6 Firewalling Ausgangssituation: Das Netzwerk besteht aus einem Gateway, mehreren Subservern und dessen Subnetzwerken. Aufgabe ist es eine Firewall auf dem Subserver zu installieren, welche das Netzwerk

Mehr

EEX Kundeninformation 2002-08-30

EEX Kundeninformation 2002-08-30 EEX Kundeninformation 2002-08-30 Terminmarkt - Eurex Release 6.0; Versand der Simulations-Kits Kit-Versand: Am Freitag, 30. August 2002, versendet Eurex nach Handelsschluss die Simulations -Kits für Eurex

Mehr

1) JAVA JRE auf der QNAP Box installieren

1) JAVA JRE auf der QNAP Box installieren Hallo, hier eine kleine unvollständige Anleitung wie das CCU-Historian auf der QNAP läuft. Wenn Du eine QNAP hast, solltest Du diesen Weg nur dann beschreiten, wenn Du einmal eine Kommandozeile gesehen

Mehr

Installationsanleitung für DoRIS unter Linux Inhaltsverzeichnis

Installationsanleitung für DoRIS unter Linux Inhaltsverzeichnis Installationsanleitung für DoRIS unter Linux Seite 1 Installationsanleitung für DoRIS unter Linux Inhaltsverzeichnis Installationsanleitung für DoRIS unter Linux... 1 Vorbemerkungen... 1 Benötigte Komponenten

Mehr

VoIP Test mit HST-3000 und T-Online Anschluss Von Sascha Chwalek

VoIP Test mit HST-3000 und T-Online Anschluss Von Sascha Chwalek Application Note VoIP Test mit HST-3000 und T-Online Anschluss Von Sascha Chwalek T-Online bietet jedem T-DSL Kunden einen kostenlosen VoIP-Anschluss unter der Bezeichnung DSL Telefonie an. Der Dienst

Mehr

Software development with continuous integration

Software development with continuous integration Software development with continuous integration (FESG/MPIfR) ettl@fs.wettzell.de (FESG) neidhardt@fs.wettzell.de 1 A critical view on scientific software Tendency to become complex and unstructured Highly

Mehr

Konfiguration einer Firewall mit FireHOL

Konfiguration einer Firewall mit FireHOL Dokumentation Konfiguration einer Firewall mit FireHOL Inhalt: 1. Installation von FireHOL 2. Netzübersicht 3. Konfigurationsoptionen 4. Anpassen der FireHOL Konfiguration 5. FireHOL-Optionen 6. Überprüfen

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 6. FTP Proxy (Anti Virus) 6.1 Einleitung Sie konfigurieren den FTP Proxy, um den Datentransfer übers Internet zu kontrollieren. Ein FTP Server befindet sich vorkonfiguriert im Internet mit der IP-Adresse

Mehr

Anleitung zur Schnellinstallation TFM-560X YO.13

Anleitung zur Schnellinstallation TFM-560X YO.13 Anleitung zur Schnellinstallation TFM-560X YO.13 Table of Contents Deutsch 1 1. Bevor Sie anfangen 1 2. Installation 2 Troubleshooting 6 Version 06.08.2011 1. Bevor Sie anfangen Packungsinhalt ŸTFM-560X

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1 Exercise (Part II) Notes: The exercise is based on Microsoft Dynamics CRM Online. For all screenshots: Copyright Microsoft Corporation. The sign ## is you personal number to be used in all exercises. All

Mehr

Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com. z/os Explorer. 2014 IBM Corporation

Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com. z/os Explorer. 2014 IBM Corporation Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com z/os Explorer Agenda Introduction and Background Why do you want z/os Explorer? What does z/os Explorer do? z/os Resource Management

Mehr

Mac OS X Consoliero: Terminal Solutions Version 1.0

Mac OS X Consoliero: Terminal Solutions Version 1.0 Mac OSX Consoliero Terminal Solution Seite: 1/11 Mac OS X Consoliero Weiterführende Dokumentationen für Administratoren. Mac OS X Consoliero: Terminal Solutions Version 1.0 Christoph Müller, PTS Mac OSX

Mehr

Working Sets for the Principle of Least Privilege in Role Based Access Control (RBAC) and Desktop Operating Systems DISSERTATION

Working Sets for the Principle of Least Privilege in Role Based Access Control (RBAC) and Desktop Operating Systems DISSERTATION UNIVERSITÄT JOHANNES KEPLER LINZ JKU Technisch-Naturwissenschaftliche Fakultät Working Sets for the Principle of Least Privilege in Role Based Access Control (RBAC) and Desktop Operating Systems DISSERTATION

Mehr

BEDIFFERENT ACE G E R M A N Y. aras.com. Copyright 2012 Aras. All Rights Reserved.

BEDIFFERENT ACE G E R M A N Y. aras.com. Copyright 2012 Aras. All Rights Reserved. BEDIFFERENT ACE G E R M A N Y Tech Day: ACE Germany Installation eines Aras- Systems mit Demo-Datenbank Rolf Laudenbach Director Aras Community Aras (Europe) Installations-Video auf YouTube Copyright 2012

Mehr

Delivering services in a user-focussed way - The new DFN-CERT Portal -

Delivering services in a user-focussed way - The new DFN-CERT Portal - Delivering services in a user-focussed way - The new DFN-CERT Portal - 29th TF-CSIRT Meeting in Hamburg 25. January 2010 Marcus Pattloch (cert@dfn.de) How do we deal with the ever growing workload? 29th

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Der LeadershipCompass Das richtige Identity Provisioning für ihr Unternehmen

Der LeadershipCompass Das richtige Identity Provisioning für ihr Unternehmen KuppingerCole Der LeadershipCompass Das richtige Identity Provisioning für ihr Unternehmen Martin Kuppinger Founder and Principal Analyst KuppingerCole mk@kuppingercole.com Identity und Access Management

Mehr

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best.

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best. Oracle VM Support und Lizensierung best Open Systems Day April 2010 Unterföhring Marco Kühn best Systeme GmbH marco.kuehn@best.de Agenda Oracle VM 2.2 Oracle VM 3.0 Oracle DB in virtualisierten Umgebungen

Mehr

TVHD800x0. Port-Weiterleitung. Version 1.1

TVHD800x0. Port-Weiterleitung. Version 1.1 TVHD800x0 Port-Weiterleitung Version 1.1 Inhalt: 1. Übersicht der Ports 2. Ein- / Umstellung der Ports 3. Sonstige Hinweise Haftungsausschluss Diese Bedienungsanleitung wurde mit größter Sorgfalt erstellt.

Mehr

Bayerisches Landesamt für Statistik und Datenverarbeitung Rechenzentrum Süd. z/os Requirements 95. z/os Guide in Lahnstein 13.

Bayerisches Landesamt für Statistik und Datenverarbeitung Rechenzentrum Süd. z/os Requirements 95. z/os Guide in Lahnstein 13. z/os Requirements 95. z/os Guide in Lahnstein 13. März 2009 0 1) LOGROTATE in z/os USS 2) KERBEROS (KRB5) in DFS/SMB 3) GSE Requirements System 1 Requirement Details Description Benefit Time Limit Impact

Mehr

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE MARKUS NÜSSELER-POLKE SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON FÜR SAP UND NON-SAP UMGEBUNGEN WIE MELDEN SIE SICH AN SAP AN? 1 Alltägliche Situation beim Kunden! Nüsseler Pa$$w0rd

Mehr

Windows Server 2003. Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren / 05.06.

Windows Server 2003. Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren / 05.06. Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren / 05.06.2004) Inhalt Inhalt... 2 Konfiguration... 3 Features Konfigurieren... 3 Shutdown Event Tracker...

Mehr

EEX Kundeninformation 2007-09-05

EEX Kundeninformation 2007-09-05 EEX Eurex Release 10.0: Dokumentation Windows Server 2003 auf Workstations; Windows Server 2003 Service Pack 2: Information bezüglich Support Sehr geehrte Handelsteilnehmer, Im Rahmen von Eurex Release

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

Group and Session Management for Collaborative Applications

Group and Session Management for Collaborative Applications Diss. ETH No. 12075 Group and Session Management for Collaborative Applications A dissertation submitted to the SWISS FEDERAL INSTITUTE OF TECHNOLOGY ZÜRICH for the degree of Doctor of Technical Seiences

Mehr

WINDOWS 8 WINDOWS SERVER 2012

WINDOWS 8 WINDOWS SERVER 2012 WINDOWS 8 WINDOWS SERVER 2012 IT Fachforum 2012 :: 24.09.-27.09.2012 Andreas Götzfried IT Fachforum::Agenda Windows 8 Windows Server 2012 Zertifizierung WINDOWS 8 Schöne neue Welt Andreas Götzfried Windows

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher

Mehr

Virtual PBX and SMS-Server

Virtual PBX and SMS-Server Virtual PBX and SMS-Server Software solutions for more mobility and comfort * The software is delivered by e-mail and does not include the boxes 1 2007 com.sat GmbH Kommunikationssysteme Schwetzinger Str.

Mehr

SmartClass Firmware-Update Vorgehensweise

SmartClass Firmware-Update Vorgehensweise Benutzeranweisungen SmartClass Firmware-Update Vorgehensweise 2008.01 (V 1.x.x) Deutsch Please direct all enquiries to your local JDSU sales company. The addresses can be found at: www.jdsu.com/tm-contacts

Mehr

Securing Tru64 UNIX. Agenda

Securing Tru64 UNIX. Agenda Securing Tru64 UNIX Reinhard Stadler HP Services 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Bedrohungen und Maßnahmen Security

Mehr

Next Generation Firewall: Security & Operation Intelligence

Next Generation Firewall: Security & Operation Intelligence Next Generation Firewall: Security & Operation Intelligence Umfassend über unterschiedliche Infrastrukturbereiche (P, DC, RA) Flexible Umsetzung: unterschiedliche Topologien & Plattformen Eine Richtlinie:

Mehr

Security Planning Basics

Security Planning Basics Einführung in die Wirtschaftsinformatik VO WS 2009/2010 Security Planning Basics Gerald.Quirchmayr@univie.ac.at Textbook used as basis for these slides and recommended as reading: Whitman, M. E. & Mattord,

Mehr

1 Linux-Befehlsübersicht

1 Linux-Befehlsübersicht 1 Linux-Befehlsübersicht 1.1 Dateiverwaltung ls Verzeichnisinhalt anzeigen (list) ls -l ausführliche Darstellung ls -a auch versteckte Dateien auisten ls -h verwende besser lesbare Einheiten (humanreadable,

Mehr

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Eine Betrachtung im Kontext der Ausgliederung von Chrysler Daniel Rheinbay Abstract Betriebliche Informationssysteme

Mehr

TSM-Client unter Mac OS X einrichten

TSM-Client unter Mac OS X einrichten TSM-Client unter Mac OS X einrichten Inhaltsverzeichnis TSM-CLIENT UNTER MAC OS X EINRICHTEN 1 1. INSTALLATION DES TSM-CLIENTEN 2 2. KONFIGURATION 5 3. EINRICHTUNG DES SCHEDULERS ZUR AUTOMATISCHEN SICHERUNG

Mehr

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke VMware Server Agenda Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture Virtuelle Netzwerke 2 Einleitung Virtualisierung: Abstrakte Ebene Physikalische Hardware

Mehr

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ Schritt für Schritt Anleitung DI-804HV Firmwarestand 1.41b03 DI-824VUP+ Firmwarestand 1.04b02 Seite 1: Netz 192.168.0.0 / 24 Seite 2: Netz 192.168.1.0

Mehr

Addressing the Location in Spontaneous Networks

Addressing the Location in Spontaneous Networks Addressing the Location in Spontaneous Networks Enabling BOTH: Privacy and E-Commerce Design by Moritz Strasser 1 Disappearing computers Trends Mobility and Spontaneous Networks (MANET = Mobile Ad hoc

Mehr

1REMOTE KONFIGURATION

1REMOTE KONFIGURATION 1REMOTE KONFIGURATION Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk Enterprise

Mehr

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

Konfiguration Zentyal 3.3 Inhaltsverzeichnis Konfiguration Zentyal 3.3 Inhaltsverzeichnis Installation... 2 Grundkomponenten... 5 Grundkonfiguration... 6 Netzwerk... 6 Domain... 7 Updates installieren... 8 DNS konfigurieren... 10 Anpassungen in DNS

Mehr

EEX Kundeninformation 2002-09-11

EEX Kundeninformation 2002-09-11 EEX Kundeninformation 2002-09-11 Terminmarkt Bereitstellung eines Simulations-Hotfixes für Eurex Release 6.0 Aufgrund eines Fehlers in den Release 6.0 Simulations-Kits lässt sich die neue Broadcast-Split-

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Knowlegde Guide Wien, Februar 2004 INHALT Für den Test von zertifikatsbasierten Anwendungen in einer Windowsumgebung benötigt

Mehr

lp4you ein und startet den Webserver neu, so kann man den Webserver nur noch lokal ansprechen.

lp4you ein und startet den Webserver neu, so kann man den Webserver nur noch lokal ansprechen. lp4you Ubuntu 10.04 LTS Lucid Lynx Apache 2.2.14-5unbuntu8 installiert wird: - apache2 Konfiguration Der Apache Webserver lässt sich durch Editieren der Dateien - /etc/apache2/apache2.conf - /etc/apache2/ports.conf

Mehr

Installing OpenBSD. Fabian Heusser; Pascal Näf. April 2002. 1 Einleitung 2 1.1 Aufgabe... 2 1.2 Voraussetzungen... 2

Installing OpenBSD. Fabian Heusser; Pascal Näf. April 2002. 1 Einleitung 2 1.1 Aufgabe... 2 1.2 Voraussetzungen... 2 Installing OpenBSD Fabian Heusser; Pascal Näf April 2002 Inhaltsverzeichnis 1 Einleitung 2 1.1 Aufgabe......................................... 2 1.2 Voraussetzungen....................................

Mehr

Zabbix 2.4. What's new? What's new in Zabbix 2.4. 1 of

Zabbix 2.4. What's new? What's new in Zabbix 2.4. 1 of Zabbix 2.4 What's new? 1 of What's new in Zabbix 2.4 About me Name: Pascal Schmiel Email: Schmiel@dv-loesungen.de WEB: www.dv-loesungen.de Senior Consultant Zabbix Certified Professional 2 of What's new

Mehr

AnyWeb AG 2008 www.anyweb.ch

AnyWeb AG 2008 www.anyweb.ch OMW 8.1- What s new System- Applikations- und Servicemanagement Agenda Was ist OMW HTTPS Agent Remote Agent Installation User Role Based Service View Custom Message Attributes Maintenace Mode Weitere Erweiterungen

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ /XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz

Mehr