首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > 其它操作系统 > Solaris安全手册 > 正文

Solaris安全手册

出处:北京大学计算中心 作者:北京大学计算中心 时间:2006-10-25 11:38:00

内容:

1,Preparation

2,Initial OS installation

3,Stripping/configuring OS: 1st pass

4,Connect to test network

5,Installing tools & sysadmin software

6,Stripping/configuring OS: 2nd pass

7,Create Tripwire image, backup, test

8,Install, test, harden applications.

9,Install on live network, test

1. Preparation

最小限度保证安全的方法是只在主机上运行一个或两个服务。使用一个机器比只

使用一个拥有所有权利的机器安全的多,因为这样可以隔离,方便查找问题所在。

总之:在你的机器上运行你一些最必要的服务。考虑拆除键盘,屏幕,这样可以

避免使用X11和知道命令行所示,在一个隔离的信任的网络段中进行测试。明确你

的系统和硬件配置能产生什么样的结果,如在安装SUN的Disksuite时要考虑你是否

需要RPC服务,因为DISKSUITE必须使用RPC服务。明确各种应用程序是怎样工作的

如:使用什么端口和文件.

2,初始化安装操作系统。

连接串口控制台,开机,当出现OK提示时发送Stop-A信息(~#,~%b,或者F5,主要取决

于你使用tip,cu或者vt100终端),然后开始安装过程-"boot cdrom - install"使用最

小安装 end user bundle(除非你要额外的server/developer工具),设置主机名,终端,

IP参数,时区等等,不要激活NIS或者NFS及不要激活电源管理。选择手工划分分区:把

/usr和/opt和ROOT分离开来以便这些分区可以以只读方式挂(mount)起来。考虑把大的

/var文件系统和拥有较多的数据量如(web,ftp)划分为独立的分区。

如果硬盘是2GB建议200MB / (+var), 200MB swap, 600MB /usr 及 1GB 给 /opt

如果硬盘是2GB建议300MB / (+var+opt), 200MB swap, 500MB /usr

给ROOT设置一个7到8字符大小写结合等比较强壮的密码,再重启动。

接着安全由SUN的安全补丁。一般的在CD上就包含这些安全补丁包。重启动及作为ROOT重

启动后,你可以使用showrev -p查看补丁列表。

3,配置操作系统

磁盘共享(mount):为了减少木马和不授权的修改,在/etc/vfstab,在mount /时请使

用"remount,nosuid"选项;在/var上请带上"nosuid"选项;在/tmp后加上"size=100m,nosuid"选

项(允许/tmp只能使用100M空间及不允许执行SUID程序);如果软盘不需要的话再把"/dev/fd"行

注释掉。(下面的命令假定你使用的是c-shell)使NFS无效:

rm /etc/rc2.d/{S73nfs.client,K28nfs.server}

/etc/rc3.d/S15nfs.server /etc/dfs/dfstab使Sendmail守护程序无效,虽然sendmail不是

作为一个守护程序来运行的,但两进制程序是依然存在的,EMAIL还可以通过它了发送(但不能接

受)。设定只要一个主机来接受EMAIL,另必须使用smap或其他等同命令来把sendmail危险程度

降低到最底。

rm /etc/rc2.d/S88sendmail

再在cron行中增加处理邮件队列的命令:

0 * * * * /usr/lib/sendmail -q

在关闭一些其他的服务:

rm

/etc/rc2.d/{S74autofs,S30sysid.net,S71sysid.sys,S72autoinstall}

rm

/etc/rc2.d/{S93cacheos.finish,S73cachefs.daemon,S80PRESERVE}

rm /etc/rc2.d/{S85power,K07dmi}

rm /etc/rc3.d/S77dmi

If you have server/developer packages:

rm /etc/rc2.d/{S47asppp,S89bdconfig,S70uucp}

使RPC无效:这一般来说是建议关闭此功能的,但一些程序如DISKSUITE会开启RPC服务,所以一般

建议不使用DISKSUITE工具。如果你不想使RPC无效,则一定要使用信息包过滤器。

rm /etc/rc2.d/S71rpc

使打印服务无效(除非有一个本地打印机存在):

rm /etc/rc2.d/{S80lp,S80spc}

使naming Services Caching Daemon(名字服务缓冲守护程序)服务无效:

mv /etc/rc2.d/S76nscd /etc/rc2.d/.S76nscd

使CDE程序无效(除非你坚持要使用图形控制台):

rm /etc/rc2.d/S99dtlogin

使NTP-NETWORK TIME PROTOCOL无效(NTP会增加带宽和不安全的因素,建议使用

rdate到一台使用NTP的机器来获得精确时间):

rm /etc/rc2.d/S74xntpd

使SNMP无效:

rm /etc/rc2.d/K07snmpdx /etc/rc3.d/S76snmpdx

在Inetinit中是IP forwarding和sourec routing(源路)由无效(假如有超过一个网络接口的

话)。在/etc/init.d/inetinit中增加下面所示设置:

ndd -set /dev/ip ip_forward_directed_broadcasts 0

ndd -set /dev/ip ip_forward_src_routed 0

ndd -set /dev/ip ip_forwarding 0

根据RFC1948建议在/etc/default/inetinit中增加如下的生成初始化序列号设置来防止TCP序列号

预测攻击(ip欺骗):

TCP_STRONG_ISS=2

在/etc/system中增加如下设置来防止某些缓冲溢出攻击。这些保护是那些需在堆栈中执行的攻击

方式。但需要硬件的支持(只在sun4u/sun4d/sun4m系统中有效):

set noexec_user_stack=1

set noexec_user_stack_log=1

使用默认路由:在/etc/defaultrouter中增加IP地址,或使用"route"在/etc/rc2.d/S99static_routes

中建立启动文件。为了使动态路由无效:

touch /etc/notrouter

为了使多路广播(multicasting)无效请在/etc/init.d/inetsvc中注解掉

"route add 224.0.0.0"周围的几行。

为了记录INETD连接的所有信息,在inetd低端的启动行中增加"-t"参数,

即:: /usr/sbin/inetd -s -t

在/etc/hosts中配置一些你想取舍的主机(一些你不想通过DNS解析的)。

/etc/inetd.conf:

先使所有服务无效;

配置你真正需要的服务,但必须使用FWTK netacl或tcpwrappers来允许最小限度的IP地址访问和各种记录

4,连接并测试网络

系统通过上面的安全剥离和筛选,你必须肯定系统能正常工作,把它连接到一个安全隔离的网络。

重起并以ROOT身份登录控制台,检查控制台启动时的错误信息并根据需要进行修改。

5,安装系统管理工具软件

这部分将安装标准的工具和实用程序。最重要的是SSH,这些工具必须在其他机器上编译和精心测试过的。

环境:

DNS客户端:在/etc/resolv.conf中增加域名和DNS服务;

在/etc/nsswitch.conf中增加DNS入口的主机。

EMAIL:如果主机不需要在子网外发送EMAIL,就不需要使用mailhost的别名。否则的话必须编

辑/etc/mail/aliases,在/etc/hosts中设置mailhost,在/etc/mail/sendmail.cf取消Dj行的

注释并把它设置为Dj$w.YOURDOMAIN.COM.如果DNS没有配置,就在 /etc/hosts中增加这太机器

的别名hostname.YOURDOMAIN.COM。

现在发送一封测试EMAIL:mailx -v -s test_email root

/dev/null 2>&1

#30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] &&

/usr/lib/gss/gsscred_clean

Pruning of login & other logs:

## Empty login/logout records at year end

0 0 31 12 * /secure/wtrim.pl wtmp

0 0 31 12 * /secure/wtrim.pl wtmpx 20

# Solaris 2.x logs:

0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M

440 -c -s -n 30 loginlog

0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M

440 -c -s -n 30 sulog

0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M

440 -c -s -n 2 vold.log

0 4 * * 6 /secure/rotate_cron

crons

删除不需要的crons:rm

/var/spool/cron/crontabs/{lp,sys,adm}

Root cron 条目:

通过可信赖的来源使用rdate设定日期(你或许使用NTP协议,这将使时间精确一些,但

正向上面所说的增加带宽和不必要的安全问题):

## Synchronise the time(同步时间):

0 * * * * /usr/bin/rdate YOURTIMEHOST >/dev/null 2>&1

文件权限

必须限制一些有关ROOT操作的权限或干脆使其无效:

chmod 0500 /usr/sbin/snoop /usr/sbin/devinfo

chmod o-r /var/spool/cron/crontabs/*

chmod 000 /bin/rdist

chmod o-rx /etc/security

chmod og-rwx /var/adm/vold.log

chmod u-s /usr/lib/sendmail #Except for

mailgateways

chmod 400 /.shosts /etc/sshd_config /etc/ssh_known_hosts

再在登录信息上设置警告用户非授权登录的信息(如果要起诉侵入者你就需要这些信息)。如

在Telnet和SSH,在/etc/motd中设置警告语句:

ATTENTION: You have logged onto a secured XXXX

Corporation server.

Access by non YYYY administrators is forbidden.

For info contact YYYY@XXX.com

重新启动,通过SSH登录,现在使用ps -e来显示进程列表:

PID TTY TIME CMD

0 ? 0:00 sched

1 ? 0:00 init

2 ? 0:00 pageout

3 ? 0:09 fsflush

156 ? 0:00 ttymon

152 ? 0:00 sac

447 ? 0:06 sshd

88 ? 0:00 inetd

98 ? 0:00 cron

136 ? 0:00 utmpd

605 ? 0:00 syslogd

175 console 0:00 ttymon

469 pts/1 0:00 csh

466 ? 0:01 sshd

625 pts/1 0:00 ps

及使用netstat -a 将显示最小的网络连接(如只有SSH):

UDP

Local Address Remote Address State

-------------------- -------------------- -------

*.syslog Idle

*.* Unbound

TCP

Local Address Remote Address Swind Send-Q Rwind Recv-Q

State

-------------------- -------------------- ----- ------

----- ------ -------

*.* *.* 0 0 0 0 IDLE

*.22 *.* 0 0 0 0 LISTEN

*.* *.* 0 0 0 0 IDLE

7,建立Tripwire映象,备份和测试

-测试 SSH和标准工具是否能正常工作?检查LOG条目,检查控制台信息来了解系统是

否按照你设想的计划实现。

-当所有工作运行的正常时,就freeze(冻结)/usr有可能的话冻结/opt:

在/etc/vfstab中增加"ro"选项以只读方式挂上(mount)/usr和/opt分区,这样减少木马

程序和非认证的修改。以nosuid方式mount其他分区。

重启-如果CD-ROMS不需要的话,是卷管理无效,使用如下命令可以在你需要时重新启用:

mv /etc/rc2.d/S92volmgt /etc/rc2.d/.S92volmgt

-最后安全TRIPWIRE(或者其他使用hashing算法的文件检查工具),初始化它的数据库和运

行常规的检查来检测文件的改变。如果可能的话使TRIPWIRE的数据库安装在另一个机器上

或一次性写入介质。如果还需要更安全的措施,那么就拷贝TRIPWIRE和它的数据库并使用SSH

远程运行。这将使入侵者很难知道TRIPWIRE在使用。

8,安装,测试应用程序

应该考虑把应用程序安装在独立的分区或者在/opt分区,如果使用/opt,在安装时必须以读写

方式来挂起此分区,在安装和测试后必须再设置回只读方式。根据服务器的功能,选择你所需

要的如:ftpd,BIND,proxies等等,在安装应用程序时遵照以下的规则来安装:

--在应用程序启动之前umask是否设置好如(如:022)

--应用程序是不是能以非ROOT身份运行?是否很好的设置密码若最少8位加标点,字符大小写.

--注意是否所有文件的权限设置正确,即是不是只能有应用程序用户自己拥有读写权限,有没

有全局能读写的文件

--当应用程序在写LOG记录时是否安全?有没有可能把密码写到安装LOG中去(不用感到好笑,

这很普遍)下面是一些安装常用服务所需要的安全问题

1,FTP服务(ftp)

-如果你使用Western University wu-ftpd,必须知道它存在一些历史BUG,如

(请参看 CERT advisories CA-93:06, CA-94:07,

CA-95:16 and Auscert AA-97.03 and AA-1999.02),最起码使用V2.6.0或以后的版本。

2,配置/etc/ftpusers的系统帐号使其不能用来FTP,如使以ROOT身份登录FTP无效,把"root"增

加到/etc/ftpusers.要想把所有系统帐号加入到你的新系统中去可使用如下方法:

awk -F: '{print $1}' /etc/passwd > /etc/ftpusers

-FTP可以通过/etc/ftpusers选择性的激活每个用户;也可以使用下面的方法:

对于那些不能通过FTP访问此机器的,提供他们一些不正规的SHELL(如BASH和TCSH),但不把新

的SHELL加入到/etc/shells,这样FTP访问将被拒绝。相反,要把一个非标准的SHELL加入到

/etc/shells才能使FTP正常工作。

-使LOGGING有效:把"-l"选项增加到/etc/inetd.conf中去,另外"-d"选项将增加debug输出。

-FTP可以限制IP地址或基于tcp wrappers的主机名。

-如果需要匿名FTP访问,必须非常谨慎,一个chroot的环境是必须的。

具体请参看in.ftpd 手册。避免允许上传文件权利。如果需要上传文件的权利,需不允许下载上

载了的文件,隐藏上载文件名及不允许他们覆盖方式操作。

-使用FTP强烈建议使用chroot.

-把FTP数据放在独立的磁盘分区,以nosuid方式mount。

2,DNS服务:

-使用最新的BIND(Berkeley Internet Name Server)来代替SUN的named,BIND有很多好的特征,

若容易DEBUG和当有安全问题发现时很快更新。

具体请参看网站:

www.isc.org/view.cgi?/products/BIND/index.phtml.

-使用8.1.2或以后的版本

-使用测试工具www.uniplus.ch/direct/testtool/dnstest.html来测试DNS。

-使用nslookup和dig来检查服务结果。

-如果在DNS客户端存在问题检查/etc/nsswitch.conf和/etc/resolv.conf,使用nslookup -d2来

获得DEBUG的信息。尝试杀掉nscd守护程序。

-如果服务器端有问题使用named -d来读console LOG,一般这LOG在syslog文件中的"daemon"段。

-要获得name服务的统计使用

kill -ABRT `cat /etc/named.pid` 将会把统计信息记录到

/usr/tmp/named.stats.

-要查看改变设置后的配置信息使用HUP信号

kill -HUP `cat /etc/named.pid`

更多的请参看www.ebsinc.com/solaris/dns.html

3,有关chroot环境请参看如下网站:

www.sunworld.com/swol-01-1999/swol-01-security.html

以下准备正式运行系统

如果可能请使用多人进行最后测试,以便忘记某些重要的东西。使用网络漏洞扫描器扫描系统,

保证只有你想使用的服务在运行。

如商用扫描器IIS和免费扫描 器nmap或Satan.

检查/opt和/usr分区是否为只读状态。

初始化Tripwire(或等同的检查工具)

最后测试什么在工作,什么是禁止的,检查console/log条目,

开始时经常查看LOG记录。

9,系统正式运行

详细检查;使用不同的人以不同的观点及在不同的网络点登录测试应用软件。

10,常规维护

下面是根据你系统的重要程度决定你要每小时,每天,每星期,每个月要做的事情:

-检查SUN公司的pathdiag来不断升级系统,特别注意系统内核的补丁。

-检查所有错误和不寻常的活动记录:

syslog (/var/adm/messages or /var/log/*, depending on

syslog.conf),

/var/cron/log, last, /var/adm/sulog, /var/adm/loginlog,

application/server logs.

-运行tripwire

-注意一些新的漏洞及安全建议,订阅CERT,CIAC的安全公告和供应商的安全列表如(Sun, Microsoft)

其他附加信息:

Free Tools

SSH notes: www.boran.com/security/ssh_stuff.html

TCP Wrappers www.cert.org/ftp/tools/tcp_wrappers

SMAP & FWTK www.fwtk.org

Top, gzip, lsof, traceroute, perl: www.sunfreeware.com

Rdist www.magnicomp.com/rdist/rdist.shtml

Sample tools for analysing logs:

Logcheck www.psionic.com/abacus/logcheck

Swatch

ftp://ftp.stanford.edu/general/security-tools/swatch

Security Portal Research Centre:

Firewall products

www.securityportal.com/research/center.cgi?Category=firewalls

Firewall white papers

www.securityportal.com/research/center.cgi?Category=whitefaqfire

Tripwire:

Commercial Version www.tripwiresecurity.com (starts at

$495.-/server)

Free version V1.2 www.cert.org/ftp/tools/tripwire (last

updated in 1994).

Sunworld security columns

www.sunworld.com/sunworldonline/common/swol-backissues-columns.html

Padded Cells:

www.sunworld.com/swol-01-1999/swol-01-security.html

相关文章 热门文章
  • Solaris中vi命令详解
  • Solaris 10 文件系统磁盘配额攻略
  • Solaris2.6上安装配置Sendmail V8
  • 从Solaris上移除Netscape Message Server
  • Solaris 8 启动时,sendmail 报错的处理
  • SOLARIS+QMAIL+VPOPMAIL+IGENUS+QMAILAMDIN
  • Solaris下Domino数据的移植
  • Solaris内核目录
  • Solaris 2.6下面安装qmail十步搞定
  • 在Solaris下面安装Qmail十步搞定
  • Solaris8 下邮件系统的建立
  • Lotus Domino从Windows 2000平台向Solaris平台的迁移过程与配置
  • NetBSD操作系统在VMware下的安装指南
  • OpenBSD入门
  • SCO UNIX系统安装全图解
  • 怎样选择服务器操作系统?
  • Netware 6.5操作系统安装全程图解
  • 在Fedora core 4.0 加载NTFS和FAT32分区详述
  • IBM专家解析UNIX和Windows之间区别
  • Gentoo 完整的USE参数清单中文详解
  • Fedora Core下声卡驱动全功略
  • 建立针对arm-linux的交叉编译环境
  • Debian服务器设置入门教程之一
  • OpenBSD2.8服务器配置实务手册
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号