SlideShare ist ein Scribd-Unternehmen logo
1 von 28
Downloaden Sie, um offline zu lesen
1
Sicherheit, Compliance, Höchstleistung
alles inklusive in
SPARC/Solaris Architekturen
Marcel Hofstetter
hofstetter@jomasoft.ch
Oracle ACE „Solaris“
Geschäftsführer / Enterprise Consultant
JomaSoft GmbH
2
Agenda
Intro: Marcel Hofstetter & JomaSoft
Solaris 11: Secure by Default
Solaris Compliance
Compliance und Hardening mit VDCF
Effizienter SPARC Life Cycle
3
Marcel Hofstetter
Informatiker seit 25+ Jahren
Solaris seit 20 Jahren
CEO bei der JomaSoft GmbH seit 17 Jahren
Internationaler Speaker:
Oracle OpenWorld, DOAG, UKOUG, SOUG, AOUG
Oracle ACE „Solaris“
https://twitter.com/marcel_jomasoft
SOUG (Swiss Oracle User Group) – Speaker of the Year 2016
Hobby: Familie, Reisen, Wine & Dine, Kino
https://www.jomasoftmarcel.blogspot.ch
4
JomaSoft
Software Unternehmen gegründet im Juli 2000
Spezialisiert im Bereich Solaris,
Software Entwicklung & Services/Beratung
Produkt VDCF (Virtual Datacenter Cloud Framework):
Installation, Management, Betrieb, Monitoring, Security
und DR von Solaris 10/11, sowie Virtualisierung
mittels LDoms und Solaris Zonen
VDCF wird seit 2006 produktiv in Europa genutzt
5
JomaSoft
Flexibel und kundenorientiert
Oracle zertifizierte Mitarbeiter
17 Jahre Solaris- und SPARC-Erfahrung
Wir setzen Projekte erfolgreich um
Regelmässige Oracle Solaris Beta Tester
Gute Beziehungen zu Oracle Solaris &
LDom Engineering Teams
6
Solaris 11 – Secure by Default
Kein direkter root Login (2 Passwörter notwendig)
Auditing ist aktiviert (für Logins)
Unsichere Services sind nicht installiert/aktiv
Services/Daemons als non-root User
Role-based access control (RBAC)
Admins arbeiten selten als Super User
7
Solaris 11 – Secure by Default
Role-based access control (RBAC)
-bash-4.4$ profiles -a | grep ZFS
ZFS File System Management
ZFS Storage Management
# usermod -P+"ZFS File System Management" marcel
-bash-4.4$ zfs create rpool/test1
cannot create 'rpool/test1': permission denied
-bash-4.4$ pfbash
bash-4.4$ zfs create rpool/test1
8
Solaris 11 – pkg verify und fix
Änderungen erkennen
# pkg verify
PACKAGE
STATUS
pkg://solaris/system/core-os
ERROR
file: etc/shadow
ERROR: Mode: 0404 should be 0400
Änderungen zurücksetzen
# pkg fix core-os
Packages to fix: 1
Repairing: pkg://solaris/system/core-os@0.5.11,5.11-
0.175.3.14.0.5.0:20161105T004625Z
PACKAGE STATUS
pkg://solaris/system/core-os ERROR
file: etc/shadow ERROR: Mode: 0404 should be 0400
9
CVE
Common Vulnerabilities and Exposures
Industriestandard
Namenskonvention für Sicherheitslücken
Format: CVE-<jahr>-<nr>
Beispiel: CVE-2014-7187 (Bash/Shellshock)
Scoring: Common Vulnerability Scoring System (CVSS)
Medium 4 – 6.9 / High 7 – 8.9 / Critical 9 – 10
Search u.v.a. https://www.cvedetails.com/
Oracle Solaris 376
Redhat Enterprise Linux 426
Windows 7 820
10
Solaris 11.3 – CVE Metadaten
Ist ein Fix für CVE-2014-7187 (Bash/Shellshock) installiert?
-bash-4.4$ pkg search -l CVE-2014-7187
INDEX ACTION VALUE PACKAGE
info.cve set CVE-2014-7187 pkg:/support/critical-patch-update/solaris-11-
cpu@2017.6-1
Und CVE-2017-3629 (Local Privilege Escalation) installiert?
-bash-4.4$ pkg search -l CVE-2017-3629
-bash-4.4$
Welches Update ist notwendig für CVE-2017-3629?
-bash-4.4$ pkg search CVE-2017-3629: | head -2
INDEX ACTION VALUE
PACKAGE
CVE-2017-3629 set pkg://solaris/network/legacy-remote-utilities@0.5.11,5.11-
0.175.3.22.0.3.0 pkg:/support/critical-patch-update/solaris-11-cpu@2017.7-1
11
Solaris 11.3 – Compliance tool
Prüft Systeme gegen vordefinierte Regeln/Benchmarks
(Solaris Baseline, Recommended und pci-dss)
Damit können Änderungen am System erkannt werden
Werkzeug zeigt Security Schwachstellen auf
Produziert HTML Report
Entdeckt Verletzungen:
- Systeme auf alten Solaris Updates
- Services, welche nicht gestartet sein sollten
- Veränderte Berechtigung
- Veränderte System Files
- …..
12
Solaris 11.3 – Compliance tool
13
VDCF – Virtual Datacenter Cloud Framework
Management Werkzeug für Zonen und LDoms:
Installation, Betrieb, Migration,
Monitoring, Security und DR/Failover
Solaris 10 + 11 / SPARC und X86
Seit 2006 produktiv genutzt
Dynamische Virtualisierung:
Live / Cold Migration und Failover
Ressource Konfiguration, Monitoring und Alarmierung
Agilität für Enterprise Private Clouds
Von Admins für Admins
14
Dynamische Virtualisierung
15
VDCF – Compliance Assess
Automatisierter Compliancecheck übers Datacenter
Zentraler Solaris Compliance Report
Gute Basis für EU GDPR
16
VDCF – Hardening
Standardisiertes Härten von Systemen
Sicherheitslücken werden geschlossen
Individuelle Hardening Profiles basierend
auf Compliance Reports
-bash-4.4$ more /var/opt/jomasoft/vdcf/conf/compliance/baseline.hardening
OSC-12510: Service svc:/network/nfs/fedfs-client:default is in disabled state
OSC-63005: Service svc:/network/rpc/gss is enabled only if Kerberos is configured
OSC-93005: User home directories have appropriate permissions
OSC-34010: Service svc:/application/cups/in-lpd:default is in disabled state
OSC-85000: The maximum number of waiting TCP connections is set to 1024
OSC-99011: Service svc:/system/rad:remote is in enabled state
17
Neue leistungsfähige SPARC CPUs
Neue SPARC Generationen S7, M7, M8 sind äusserst
leistungsfähig
Einsparungen bei Platz, Strom, Kühlung
Virtualisierung nutzen für Konsolidierung
Manueller Setup und Betrieb ist sehr aufwändig und
fehleranfällig → Tools einsetzen
JomaSoft hat zusammen mit Kunden zahlreiche
Life Cycle Projekte erfolgreich implementiert
18
Entwicklung der SPARC Performance
19
SPARC Server Life Cycle
20
Erfolgreiche Projekte müssen nicht Monate dauern
Migration #1 von M5000 auf T5-2
Solaris Zonen Migration in LDom
mit VDCF in ein wenigen Minuten durchgeführt
Performance-Gewinn von ca. 30% auf neuer Hardware
21
Erfolgreiche Projekte müssen nicht Monate dauern
Migration #2 / Sun M5000 ablösen
Sun M5000 ablösen / 5 Jahre alt
Zielsystem: Oracle SPARC T7-2 / 1 TB RAM
Solaris 11 und LDoms werden eingeführt
Oracle DB neu aufbauen auf Solaris 11
Applikationen unverändert mit Solaris 10
übernehmen
22
Erfolgreiche Projekte müssen nicht Monate dauern
Migration #2 / Sun M5000 ablösen
23
Migration #2 / Projektdurchlaufzeit
Hardwarebestellung bis Lieferung 4 Wochen
Vorbereitung Solaris 10 Flash 2 Tage
Patching alte M5000 1 Tag
Aufbau VDCF auf Solaris 11 1 Tag
Setup Hardware 1 Tag
Installation CDoms,GDoms,.. mit VDCF 1 Tag
Migration & Testing 1 Tag
Erfolgreiche Projekte müssen nicht Monate dauern
24
Wo können Sie mit JomaSoft „rechnen“?
Beratung & praktische Unterstützung auf Basis langjähriger
Erfahrung
Standardisierung, Rationalisierung, Qualitäts-Sicherung mit VDCF
Kurzfristige Lösungsrealisierung in allen Solaris-Umgebungen
"Product Life Cycle" und Inbetriebnahme neuer SPARC Server
Risikoarme System-Migrationen
Sicherheits-Überprüfung und Hardening Ihrer Solaris-Umgebung
→ EU GDPR ...
25
Fragen?
Marcel Hofstetter
hofstetter@jomasoft.ch
Oracle ACE „Solaris“
Geschäftsführer / Enterprise Consultant
JomaSoft GmbH
https://twitter.com/marcel_jomasoft
https://www.jomasoftmarcel.blogspot.ch
26
Backup Slides
Marcel Hofstetter
hofstetter@jomasoft.ch
Oracle ACE „Solaris“
Geschäftsführer / Enterprise Consultant
JomaSoft GmbH
https://twitter.com/marcel_jomasoft
https://www.jomasoftmarcel.blogspot.ch
27
VDCF – Mehr Infos
Produkt Dokumentation Online
Komplette Dokumentation und Videos ab Webpage verfügbar
Free Edition
Kostenlose Test-Version in der Anzahl verwaltbare Objekte limitiert.
Testen via POC
Zusammen mit JomaSoft vor Ort eine Installation in Ihrer
Testumgebung.
Webpage
https://www.jomasoft.ch/vdcf
28
VDCF Customer Survey

Weitere ähnliche Inhalte

Was ist angesagt?

OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...OPITZ CONSULTING Deutschland
 
Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...
Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...
Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...netlogix
 
Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben OPITZ CONSULTING Deutschland
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13OPITZ CONSULTING Deutschland
 
Oracle-Lizenzierung bei Virtualisierung und in der Cloud
Oracle-Lizenzierung bei Virtualisierung und in der CloudOracle-Lizenzierung bei Virtualisierung und in der Cloud
Oracle-Lizenzierung bei Virtualisierung und in der CloudOPITZ CONSULTING Deutschland
 
Integrationsszenarien in modernen Anwendungslandschaften - OPITZ CONSULTING -...
Integrationsszenarien in modernen Anwendungslandschaften - OPITZ CONSULTING -...Integrationsszenarien in modernen Anwendungslandschaften - OPITZ CONSULTING -...
Integrationsszenarien in modernen Anwendungslandschaften - OPITZ CONSULTING -...OPITZ CONSULTING Deutschland
 

Was ist angesagt? (9)

OC|Webcast: Grundlagen der Oracle-Lizenzierung
OC|Webcast: Grundlagen der Oracle-LizenzierungOC|Webcast: Grundlagen der Oracle-Lizenzierung
OC|Webcast: Grundlagen der Oracle-Lizenzierung
 
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
 
Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...
Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...
Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...
 
Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben
 
2020 oracle lizenznews
2020 oracle lizenznews2020 oracle lizenznews
2020 oracle lizenznews
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
 
Oracle-Lizenzierung bei Virtualisierung und in der Cloud
Oracle-Lizenzierung bei Virtualisierung und in der CloudOracle-Lizenzierung bei Virtualisierung und in der Cloud
Oracle-Lizenzierung bei Virtualisierung und in der Cloud
 
Integrationsszenarien in modernen Anwendungslandschaften - OPITZ CONSULTING -...
Integrationsszenarien in modernen Anwendungslandschaften - OPITZ CONSULTING -...Integrationsszenarien in modernen Anwendungslandschaften - OPITZ CONSULTING -...
Integrationsszenarien in modernen Anwendungslandschaften - OPITZ CONSULTING -...
 
"OC|Webcast: Grundlagen der Oracle Lizenzierung"
"OC|Webcast: Grundlagen der Oracle Lizenzierung""OC|Webcast: Grundlagen der Oracle Lizenzierung"
"OC|Webcast: Grundlagen der Oracle Lizenzierung"
 

Ähnlich wie Sicherheit, Compliance, Höchsteistung mit SPARC/Solaris

Rapid Deploy von OS, Virtualsierung und Applikation
Rapid Deploy von OS, Virtualsierung und ApplikationRapid Deploy von OS, Virtualsierung und Applikation
Rapid Deploy von OS, Virtualsierung und ApplikationJomaSoft
 
Rapid Deployment mit JomaSoft VDCF
Rapid Deployment mit JomaSoft VDCFRapid Deployment mit JomaSoft VDCF
Rapid Deployment mit JomaSoft VDCFJomaSoft
 
Erfahrungen und Stolpersteine mit Solaris 11.4
Erfahrungen und Stolpersteine mit Solaris 11.4Erfahrungen und Stolpersteine mit Solaris 11.4
Erfahrungen und Stolpersteine mit Solaris 11.4JomaSoft
 
Effizienter Hardware LifeCycle auf Oracle SPARC M7 Server
Effizienter Hardware LifeCycle auf Oracle SPARC M7 ServerEffizienter Hardware LifeCycle auf Oracle SPARC M7 Server
Effizienter Hardware LifeCycle auf Oracle SPARC M7 ServerJomaSoft
 
Wie setzt Swisscom Solaris 11 ein
Wie setzt Swisscom Solaris 11 einWie setzt Swisscom Solaris 11 ein
Wie setzt Swisscom Solaris 11 einJomaSoft
 
Citrix Day 2014: Panalpina - global und doch nah
Citrix Day 2014: Panalpina - global und doch nahCitrix Day 2014: Panalpina - global und doch nah
Citrix Day 2014: Panalpina - global und doch nahDigicomp Academy AG
 
Java magazin9 2012_wls 12c_das_dutzend_ist_voll
Java magazin9 2012_wls 12c_das_dutzend_ist_vollJava magazin9 2012_wls 12c_das_dutzend_ist_voll
Java magazin9 2012_wls 12c_das_dutzend_ist_vollWolfgang Weigend
 
German: Softwareprodukte aus einem Source Code mit Javascript
German: Softwareprodukte aus einem Source Code mit JavascriptGerman: Softwareprodukte aus einem Source Code mit Javascript
German: Softwareprodukte aus einem Source Code mit JavascriptRalf Schwoebel
 
Anwendungsmodernisierung mit Oracle Application Express (APEX)
Anwendungsmodernisierung mit Oracle Application Express (APEX)Anwendungsmodernisierung mit Oracle Application Express (APEX)
Anwendungsmodernisierung mit Oracle Application Express (APEX)Niels de Bruijn
 
DOAG 2018 / Was bringt Solaris 11.4
DOAG 2018 / Was bringt Solaris 11.4DOAG 2018 / Was bringt Solaris 11.4
DOAG 2018 / Was bringt Solaris 11.4JomaSoft
 
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungOSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungNETWAYS
 
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?Swiss IPv6 Council
 
Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017oraclebudb
 
Suse in der neuen Welt des Rechenzentrums - ein Beispiel
Suse in der neuen Welt des Rechenzentrums - ein BeispielSuse in der neuen Welt des Rechenzentrums - ein Beispiel
Suse in der neuen Welt des Rechenzentrums - ein BeispielATIX AG
 
Logical Data Warehouse - SQL mit Oracle DB und Hadoop
Logical Data Warehouse - SQL mit Oracle DB und HadoopLogical Data Warehouse - SQL mit Oracle DB und Hadoop
Logical Data Warehouse - SQL mit Oracle DB und HadoopOPITZ CONSULTING Deutschland
 
Solaris im Datacenter - Architektur, Implementation und Betrieb
Solaris im Datacenter - Architektur, Implementation und BetriebSolaris im Datacenter - Architektur, Implementation und Betrieb
Solaris im Datacenter - Architektur, Implementation und BetriebMarco Stadler
 
Artikel eHealthcare Kompendium: Service Orientierte Architekturen für Healthcare
Artikel eHealthcare Kompendium: Service Orientierte Architekturen für HealthcareArtikel eHealthcare Kompendium: Service Orientierte Architekturen für Healthcare
Artikel eHealthcare Kompendium: Service Orientierte Architekturen für HealthcarePeter Affolter
 
Microprofile-Anwendungen mit Quarkus
Microprofile-Anwendungen mit Quarkus Microprofile-Anwendungen mit Quarkus
Microprofile-Anwendungen mit Quarkus gedoplan
 

Ähnlich wie Sicherheit, Compliance, Höchsteistung mit SPARC/Solaris (20)

Rapid Deploy von OS, Virtualsierung und Applikation
Rapid Deploy von OS, Virtualsierung und ApplikationRapid Deploy von OS, Virtualsierung und Applikation
Rapid Deploy von OS, Virtualsierung und Applikation
 
Rapid Deployment mit JomaSoft VDCF
Rapid Deployment mit JomaSoft VDCFRapid Deployment mit JomaSoft VDCF
Rapid Deployment mit JomaSoft VDCF
 
Erfahrungen und Stolpersteine mit Solaris 11.4
Erfahrungen und Stolpersteine mit Solaris 11.4Erfahrungen und Stolpersteine mit Solaris 11.4
Erfahrungen und Stolpersteine mit Solaris 11.4
 
Effizienter Hardware LifeCycle auf Oracle SPARC M7 Server
Effizienter Hardware LifeCycle auf Oracle SPARC M7 ServerEffizienter Hardware LifeCycle auf Oracle SPARC M7 Server
Effizienter Hardware LifeCycle auf Oracle SPARC M7 Server
 
Wie setzt Swisscom Solaris 11 ein
Wie setzt Swisscom Solaris 11 einWie setzt Swisscom Solaris 11 ein
Wie setzt Swisscom Solaris 11 ein
 
Citrix Day 2014: Panalpina - global und doch nah
Citrix Day 2014: Panalpina - global und doch nahCitrix Day 2014: Panalpina - global und doch nah
Citrix Day 2014: Panalpina - global und doch nah
 
Infrastructure Solution Day | Core
Infrastructure Solution Day | CoreInfrastructure Solution Day | Core
Infrastructure Solution Day | Core
 
Java magazin9 2012_wls 12c_das_dutzend_ist_voll
Java magazin9 2012_wls 12c_das_dutzend_ist_vollJava magazin9 2012_wls 12c_das_dutzend_ist_voll
Java magazin9 2012_wls 12c_das_dutzend_ist_voll
 
German: Softwareprodukte aus einem Source Code mit Javascript
German: Softwareprodukte aus einem Source Code mit JavascriptGerman: Softwareprodukte aus einem Source Code mit Javascript
German: Softwareprodukte aus einem Source Code mit Javascript
 
Anwendungsmodernisierung mit Oracle Application Express (APEX)
Anwendungsmodernisierung mit Oracle Application Express (APEX)Anwendungsmodernisierung mit Oracle Application Express (APEX)
Anwendungsmodernisierung mit Oracle Application Express (APEX)
 
DOAG 2018 / Was bringt Solaris 11.4
DOAG 2018 / Was bringt Solaris 11.4DOAG 2018 / Was bringt Solaris 11.4
DOAG 2018 / Was bringt Solaris 11.4
 
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungOSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
 
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
 
Enterprise APEX
Enterprise APEXEnterprise APEX
Enterprise APEX
 
Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017
 
Suse in der neuen Welt des Rechenzentrums - ein Beispiel
Suse in der neuen Welt des Rechenzentrums - ein BeispielSuse in der neuen Welt des Rechenzentrums - ein Beispiel
Suse in der neuen Welt des Rechenzentrums - ein Beispiel
 
Logical Data Warehouse - SQL mit Oracle DB und Hadoop
Logical Data Warehouse - SQL mit Oracle DB und HadoopLogical Data Warehouse - SQL mit Oracle DB und Hadoop
Logical Data Warehouse - SQL mit Oracle DB und Hadoop
 
Solaris im Datacenter - Architektur, Implementation und Betrieb
Solaris im Datacenter - Architektur, Implementation und BetriebSolaris im Datacenter - Architektur, Implementation und Betrieb
Solaris im Datacenter - Architektur, Implementation und Betrieb
 
Artikel eHealthcare Kompendium: Service Orientierte Architekturen für Healthcare
Artikel eHealthcare Kompendium: Service Orientierte Architekturen für HealthcareArtikel eHealthcare Kompendium: Service Orientierte Architekturen für Healthcare
Artikel eHealthcare Kompendium: Service Orientierte Architekturen für Healthcare
 
Microprofile-Anwendungen mit Quarkus
Microprofile-Anwendungen mit Quarkus Microprofile-Anwendungen mit Quarkus
Microprofile-Anwendungen mit Quarkus
 

Mehr von JomaSoft

SOUG - Experiences with Oracle Solaris 11.4
SOUG - Experiences with Oracle Solaris 11.4SOUG - Experiences with Oracle Solaris 11.4
SOUG - Experiences with Oracle Solaris 11.4JomaSoft
 
JomaSoft VDCF - Solaris Private Cloud
JomaSoft VDCF - Solaris Private CloudJomaSoft VDCF - Solaris Private Cloud
JomaSoft VDCF - Solaris Private CloudJomaSoft
 
Praktische Erfahrungen mit den kleinen SPARC S7-2 Servern
Praktische Erfahrungen mit den kleinen SPARC S7-2 ServernPraktische Erfahrungen mit den kleinen SPARC S7-2 Servern
Praktische Erfahrungen mit den kleinen SPARC S7-2 ServernJomaSoft
 
UKOUG - What is Delivered with Solaris 11.4
UKOUG - What is Delivered with Solaris 11.4UKOUG - What is Delivered with Solaris 11.4
UKOUG - What is Delivered with Solaris 11.4JomaSoft
 
Experiences with Oracle SPARC S7-2 Server
Experiences with Oracle SPARC S7-2 ServerExperiences with Oracle SPARC S7-2 Server
Experiences with Oracle SPARC S7-2 ServerJomaSoft
 
Increase Efficiency of Solaris Operations & SPARC Life Cycle
Increase Efficiency of Solaris Operations & SPARC Life CycleIncrease Efficiency of Solaris Operations & SPARC Life Cycle
Increase Efficiency of Solaris Operations & SPARC Life CycleJomaSoft
 
DOAG 2018 / Praktische Erfahrungen mit SPARC S7-2 Server
DOAG 2018 / Praktische Erfahrungen mit SPARC S7-2 ServerDOAG 2018 / Praktische Erfahrungen mit SPARC S7-2 Server
DOAG 2018 / Praktische Erfahrungen mit SPARC S7-2 ServerJomaSoft
 
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFSDOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFSJomaSoft
 
Wie gehts weiter mit Oracle Solaris?
Wie gehts weiter mit Oracle Solaris?Wie gehts weiter mit Oracle Solaris?
Wie gehts weiter mit Oracle Solaris?JomaSoft
 
UKOUG Tech17 - Stay Secure With Oracle Solaris
UKOUG Tech17 - Stay Secure With Oracle SolarisUKOUG Tech17 - Stay Secure With Oracle Solaris
UKOUG Tech17 - Stay Secure With Oracle SolarisJomaSoft
 
Increase Efficiency of Solaris Operations & Hardware Life Cycle
Increase Efficiency of Solaris Operations & Hardware Life CycleIncrease Efficiency of Solaris Operations & Hardware Life Cycle
Increase Efficiency of Solaris Operations & Hardware Life CycleJomaSoft
 
JomaSoft & VDCF Overview
JomaSoft & VDCF OverviewJomaSoft & VDCF Overview
JomaSoft & VDCF OverviewJomaSoft
 
VDCF Overview
VDCF OverviewVDCF Overview
VDCF OverviewJomaSoft
 

Mehr von JomaSoft (13)

SOUG - Experiences with Oracle Solaris 11.4
SOUG - Experiences with Oracle Solaris 11.4SOUG - Experiences with Oracle Solaris 11.4
SOUG - Experiences with Oracle Solaris 11.4
 
JomaSoft VDCF - Solaris Private Cloud
JomaSoft VDCF - Solaris Private CloudJomaSoft VDCF - Solaris Private Cloud
JomaSoft VDCF - Solaris Private Cloud
 
Praktische Erfahrungen mit den kleinen SPARC S7-2 Servern
Praktische Erfahrungen mit den kleinen SPARC S7-2 ServernPraktische Erfahrungen mit den kleinen SPARC S7-2 Servern
Praktische Erfahrungen mit den kleinen SPARC S7-2 Servern
 
UKOUG - What is Delivered with Solaris 11.4
UKOUG - What is Delivered with Solaris 11.4UKOUG - What is Delivered with Solaris 11.4
UKOUG - What is Delivered with Solaris 11.4
 
Experiences with Oracle SPARC S7-2 Server
Experiences with Oracle SPARC S7-2 ServerExperiences with Oracle SPARC S7-2 Server
Experiences with Oracle SPARC S7-2 Server
 
Increase Efficiency of Solaris Operations & SPARC Life Cycle
Increase Efficiency of Solaris Operations & SPARC Life CycleIncrease Efficiency of Solaris Operations & SPARC Life Cycle
Increase Efficiency of Solaris Operations & SPARC Life Cycle
 
DOAG 2018 / Praktische Erfahrungen mit SPARC S7-2 Server
DOAG 2018 / Praktische Erfahrungen mit SPARC S7-2 ServerDOAG 2018 / Praktische Erfahrungen mit SPARC S7-2 Server
DOAG 2018 / Praktische Erfahrungen mit SPARC S7-2 Server
 
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFSDOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
 
Wie gehts weiter mit Oracle Solaris?
Wie gehts weiter mit Oracle Solaris?Wie gehts weiter mit Oracle Solaris?
Wie gehts weiter mit Oracle Solaris?
 
UKOUG Tech17 - Stay Secure With Oracle Solaris
UKOUG Tech17 - Stay Secure With Oracle SolarisUKOUG Tech17 - Stay Secure With Oracle Solaris
UKOUG Tech17 - Stay Secure With Oracle Solaris
 
Increase Efficiency of Solaris Operations & Hardware Life Cycle
Increase Efficiency of Solaris Operations & Hardware Life CycleIncrease Efficiency of Solaris Operations & Hardware Life Cycle
Increase Efficiency of Solaris Operations & Hardware Life Cycle
 
JomaSoft & VDCF Overview
JomaSoft & VDCF OverviewJomaSoft & VDCF Overview
JomaSoft & VDCF Overview
 
VDCF Overview
VDCF OverviewVDCF Overview
VDCF Overview
 

Sicherheit, Compliance, Höchsteistung mit SPARC/Solaris

  • 1. 1 Sicherheit, Compliance, Höchstleistung alles inklusive in SPARC/Solaris Architekturen Marcel Hofstetter hofstetter@jomasoft.ch Oracle ACE „Solaris“ Geschäftsführer / Enterprise Consultant JomaSoft GmbH
  • 2. 2 Agenda Intro: Marcel Hofstetter & JomaSoft Solaris 11: Secure by Default Solaris Compliance Compliance und Hardening mit VDCF Effizienter SPARC Life Cycle
  • 3. 3 Marcel Hofstetter Informatiker seit 25+ Jahren Solaris seit 20 Jahren CEO bei der JomaSoft GmbH seit 17 Jahren Internationaler Speaker: Oracle OpenWorld, DOAG, UKOUG, SOUG, AOUG Oracle ACE „Solaris“ https://twitter.com/marcel_jomasoft SOUG (Swiss Oracle User Group) – Speaker of the Year 2016 Hobby: Familie, Reisen, Wine & Dine, Kino https://www.jomasoftmarcel.blogspot.ch
  • 4. 4 JomaSoft Software Unternehmen gegründet im Juli 2000 Spezialisiert im Bereich Solaris, Software Entwicklung & Services/Beratung Produkt VDCF (Virtual Datacenter Cloud Framework): Installation, Management, Betrieb, Monitoring, Security und DR von Solaris 10/11, sowie Virtualisierung mittels LDoms und Solaris Zonen VDCF wird seit 2006 produktiv in Europa genutzt
  • 5. 5 JomaSoft Flexibel und kundenorientiert Oracle zertifizierte Mitarbeiter 17 Jahre Solaris- und SPARC-Erfahrung Wir setzen Projekte erfolgreich um Regelmässige Oracle Solaris Beta Tester Gute Beziehungen zu Oracle Solaris & LDom Engineering Teams
  • 6. 6 Solaris 11 – Secure by Default Kein direkter root Login (2 Passwörter notwendig) Auditing ist aktiviert (für Logins) Unsichere Services sind nicht installiert/aktiv Services/Daemons als non-root User Role-based access control (RBAC) Admins arbeiten selten als Super User
  • 7. 7 Solaris 11 – Secure by Default Role-based access control (RBAC) -bash-4.4$ profiles -a | grep ZFS ZFS File System Management ZFS Storage Management # usermod -P+"ZFS File System Management" marcel -bash-4.4$ zfs create rpool/test1 cannot create 'rpool/test1': permission denied -bash-4.4$ pfbash bash-4.4$ zfs create rpool/test1
  • 8. 8 Solaris 11 – pkg verify und fix Änderungen erkennen # pkg verify PACKAGE STATUS pkg://solaris/system/core-os ERROR file: etc/shadow ERROR: Mode: 0404 should be 0400 Änderungen zurücksetzen # pkg fix core-os Packages to fix: 1 Repairing: pkg://solaris/system/core-os@0.5.11,5.11- 0.175.3.14.0.5.0:20161105T004625Z PACKAGE STATUS pkg://solaris/system/core-os ERROR file: etc/shadow ERROR: Mode: 0404 should be 0400
  • 9. 9 CVE Common Vulnerabilities and Exposures Industriestandard Namenskonvention für Sicherheitslücken Format: CVE-<jahr>-<nr> Beispiel: CVE-2014-7187 (Bash/Shellshock) Scoring: Common Vulnerability Scoring System (CVSS) Medium 4 – 6.9 / High 7 – 8.9 / Critical 9 – 10 Search u.v.a. https://www.cvedetails.com/ Oracle Solaris 376 Redhat Enterprise Linux 426 Windows 7 820
  • 10. 10 Solaris 11.3 – CVE Metadaten Ist ein Fix für CVE-2014-7187 (Bash/Shellshock) installiert? -bash-4.4$ pkg search -l CVE-2014-7187 INDEX ACTION VALUE PACKAGE info.cve set CVE-2014-7187 pkg:/support/critical-patch-update/solaris-11- cpu@2017.6-1 Und CVE-2017-3629 (Local Privilege Escalation) installiert? -bash-4.4$ pkg search -l CVE-2017-3629 -bash-4.4$ Welches Update ist notwendig für CVE-2017-3629? -bash-4.4$ pkg search CVE-2017-3629: | head -2 INDEX ACTION VALUE PACKAGE CVE-2017-3629 set pkg://solaris/network/legacy-remote-utilities@0.5.11,5.11- 0.175.3.22.0.3.0 pkg:/support/critical-patch-update/solaris-11-cpu@2017.7-1
  • 11. 11 Solaris 11.3 – Compliance tool Prüft Systeme gegen vordefinierte Regeln/Benchmarks (Solaris Baseline, Recommended und pci-dss) Damit können Änderungen am System erkannt werden Werkzeug zeigt Security Schwachstellen auf Produziert HTML Report Entdeckt Verletzungen: - Systeme auf alten Solaris Updates - Services, welche nicht gestartet sein sollten - Veränderte Berechtigung - Veränderte System Files - …..
  • 12. 12 Solaris 11.3 – Compliance tool
  • 13. 13 VDCF – Virtual Datacenter Cloud Framework Management Werkzeug für Zonen und LDoms: Installation, Betrieb, Migration, Monitoring, Security und DR/Failover Solaris 10 + 11 / SPARC und X86 Seit 2006 produktiv genutzt Dynamische Virtualisierung: Live / Cold Migration und Failover Ressource Konfiguration, Monitoring und Alarmierung Agilität für Enterprise Private Clouds Von Admins für Admins
  • 15. 15 VDCF – Compliance Assess Automatisierter Compliancecheck übers Datacenter Zentraler Solaris Compliance Report Gute Basis für EU GDPR
  • 16. 16 VDCF – Hardening Standardisiertes Härten von Systemen Sicherheitslücken werden geschlossen Individuelle Hardening Profiles basierend auf Compliance Reports -bash-4.4$ more /var/opt/jomasoft/vdcf/conf/compliance/baseline.hardening OSC-12510: Service svc:/network/nfs/fedfs-client:default is in disabled state OSC-63005: Service svc:/network/rpc/gss is enabled only if Kerberos is configured OSC-93005: User home directories have appropriate permissions OSC-34010: Service svc:/application/cups/in-lpd:default is in disabled state OSC-85000: The maximum number of waiting TCP connections is set to 1024 OSC-99011: Service svc:/system/rad:remote is in enabled state
  • 17. 17 Neue leistungsfähige SPARC CPUs Neue SPARC Generationen S7, M7, M8 sind äusserst leistungsfähig Einsparungen bei Platz, Strom, Kühlung Virtualisierung nutzen für Konsolidierung Manueller Setup und Betrieb ist sehr aufwändig und fehleranfällig → Tools einsetzen JomaSoft hat zusammen mit Kunden zahlreiche Life Cycle Projekte erfolgreich implementiert
  • 20. 20 Erfolgreiche Projekte müssen nicht Monate dauern Migration #1 von M5000 auf T5-2 Solaris Zonen Migration in LDom mit VDCF in ein wenigen Minuten durchgeführt Performance-Gewinn von ca. 30% auf neuer Hardware
  • 21. 21 Erfolgreiche Projekte müssen nicht Monate dauern Migration #2 / Sun M5000 ablösen Sun M5000 ablösen / 5 Jahre alt Zielsystem: Oracle SPARC T7-2 / 1 TB RAM Solaris 11 und LDoms werden eingeführt Oracle DB neu aufbauen auf Solaris 11 Applikationen unverändert mit Solaris 10 übernehmen
  • 22. 22 Erfolgreiche Projekte müssen nicht Monate dauern Migration #2 / Sun M5000 ablösen
  • 23. 23 Migration #2 / Projektdurchlaufzeit Hardwarebestellung bis Lieferung 4 Wochen Vorbereitung Solaris 10 Flash 2 Tage Patching alte M5000 1 Tag Aufbau VDCF auf Solaris 11 1 Tag Setup Hardware 1 Tag Installation CDoms,GDoms,.. mit VDCF 1 Tag Migration & Testing 1 Tag Erfolgreiche Projekte müssen nicht Monate dauern
  • 24. 24 Wo können Sie mit JomaSoft „rechnen“? Beratung & praktische Unterstützung auf Basis langjähriger Erfahrung Standardisierung, Rationalisierung, Qualitäts-Sicherung mit VDCF Kurzfristige Lösungsrealisierung in allen Solaris-Umgebungen "Product Life Cycle" und Inbetriebnahme neuer SPARC Server Risikoarme System-Migrationen Sicherheits-Überprüfung und Hardening Ihrer Solaris-Umgebung → EU GDPR ...
  • 25. 25 Fragen? Marcel Hofstetter hofstetter@jomasoft.ch Oracle ACE „Solaris“ Geschäftsführer / Enterprise Consultant JomaSoft GmbH https://twitter.com/marcel_jomasoft https://www.jomasoftmarcel.blogspot.ch
  • 26. 26 Backup Slides Marcel Hofstetter hofstetter@jomasoft.ch Oracle ACE „Solaris“ Geschäftsführer / Enterprise Consultant JomaSoft GmbH https://twitter.com/marcel_jomasoft https://www.jomasoftmarcel.blogspot.ch
  • 27. 27 VDCF – Mehr Infos Produkt Dokumentation Online Komplette Dokumentation und Videos ab Webpage verfügbar Free Edition Kostenlose Test-Version in der Anzahl verwaltbare Objekte limitiert. Testen via POC Zusammen mit JomaSoft vor Ort eine Installation in Ihrer Testumgebung. Webpage https://www.jomasoft.ch/vdcf