solaris安全操作指南

1、Solaris平安操作指南第一章Solaris系統(tǒng)平安安裝1.1 安裝步驟下面將以安裝Solaris8為例，描繪系統(tǒng)安裝的過程及相關(guān)的平安本卷須知。請系統(tǒng)管理員在安裝系統(tǒng)前，認(rèn)真閱讀Sun公司提供的系統(tǒng)安裝指南和參考手冊，理解系統(tǒng)安裝的根本操作步驟。斷開網(wǎng)絡(luò)連接請確定網(wǎng)絡(luò)是斷開，即網(wǎng)線沒有接入網(wǎng)絡(luò)中。假設(shè)用戶希望自動配置NIS效勞，那么需要網(wǎng)絡(luò)處于連通狀態(tài)，但是這樣做會帶來一些平安隱患，因為在安裝期間，RPC效勞處于啟動狀態(tài)，存在潛在的平安威脅。建議在系統(tǒng)處于平安保護狀態(tài)下，才將系統(tǒng)聯(lián)入網(wǎng)絡(luò)。Openboot口令和平安請首先插入CD。為了防止無關(guān)人員執(zhí)行EEPROM上的命令，請在OK提示符下，

2、使用命令"setenv"設(shè)置EEPROM的平安形式為"command",并設(shè)置相應(yīng)的口令，要求口令至少為8位，必須有字母、數(shù)字和標(biāo)點，不能使用名字、完好的英文單詞或生日作為口令。下面是一個例如：oksetenvsecurity-modecommandsecurity-mode=command請再次確定已經(jīng)設(shè)置了EEPROM的平安形式和口令，并且口令滿足一定的復(fù)雜讀要求。OKbootcdrom在OK狀態(tài)下，設(shè)置系統(tǒng)啟動設(shè)備為CD-ROM。開始Solaris安裝程序進入系統(tǒng)安裝初期，請系統(tǒng)管理員按照SUN公司提供安裝手冊所描繪的步驟進展。在系統(tǒng)安裝min-r

3、oot,并進入StartWeb安裝環(huán)境后，系統(tǒng)管理員注意以下平安事項：1. 設(shè)置root口令設(shè)置一個強壯的root的口令，使其符合復(fù)雜性要求，即口令長度必須為8位，包含數(shù)字、字母和標(biāo)點，不能為完好的英文單詞或句子。2. 選擇系統(tǒng)安裝的類型選擇系統(tǒng)安裝的類型是系統(tǒng)安裝中關(guān)鍵一步，系統(tǒng)管理員需要根據(jù)系統(tǒng)安裝的策略和最小化原那么選擇相應(yīng)的系統(tǒng)軟件包。強烈建議：系統(tǒng)安裝選擇自定義核心組coregroup軟件包，并且不安裝附帶軟件和附加產(chǎn)品。下一步是選擇群集和包，在自定義核心組的默認(rèn)選擇的軟件包根底上，可以增加如下軟件包：軟件包編號軟件包描繪備注SUNWast通過監(jiān)視或限制對系統(tǒng)文件和目錄的訪問來進步系

4、統(tǒng)平安性的管理公用程序此為SUN提供的平安工具，詳細使用可以參閱有關(guān)手冊關(guān)于Solaris8系統(tǒng)安裝的軟件包信息，請系統(tǒng)管理員參閱附錄3，以便根據(jù)詳細應(yīng)用選取相應(yīng)的軟件包。3. 網(wǎng)絡(luò)配置假設(shè)系統(tǒng)需要DHCP或NIS，那么需要將系統(tǒng)接入網(wǎng)絡(luò)，注意接入網(wǎng)絡(luò)的時間要盡可能短，假設(shè)配置DHCP或NIS完畢，請暫時將網(wǎng)絡(luò)再次斷開。下一步是選擇IP或DHCP，這里會詢問是否安裝IPv6，除非必要，否那么禁用。同時，SUN的建議是安裝所需要的所有效勞，因為效勞平安的，但是不要采用這個選項。后期在配置效勞和網(wǎng)絡(luò)的時候會證明前者的做法是會帶來平安問題的，因為在默認(rèn)安裝后，系統(tǒng)將開放RPC、aotumount、N

5、FS等可能不必要且有潛在危險的效勞。4. 名字效勞配置下一步是配置NIS，建議最好不要使用NIS，除非必要。不要在安裝中配置DNS，因為在安裝時，系統(tǒng)要求聯(lián)網(wǎng)以便校驗DNS效勞。系統(tǒng)就暴露在不平安的網(wǎng)絡(luò)環(huán)境下了。建議在系統(tǒng)完成安裝，并且根據(jù)本手冊提供的方法完成系統(tǒng)加固之后，才對DNS進展配置。同樣的，假設(shè)DNS效勞的配置是必要的，那么系統(tǒng)接入網(wǎng)絡(luò)的時間要盡可能的短，配置完畢立即斷開網(wǎng)絡(luò)連接。5. 磁盤分區(qū)首先將/var分區(qū)與root分區(qū)分開，以防止日志文件耗盡root分區(qū)的空間。確保root分區(qū)足夠大，建立一個/var分區(qū)用于存放系統(tǒng)記錄文件和Email文件等。Swap分區(qū)為RAM的2倍。通常

6、使用SUN的默認(rèn)配置，需要進展一些調(diào)整。建議分為三個區(qū)，即/、/opt和/var?？梢栽?opt區(qū)創(chuàng)立/usr/local，以方便備份管理。6. 注意其它版本的Solaris系統(tǒng)安裝的順序可能略有不同，系統(tǒng)管理員可根據(jù)詳細情況，在上述相應(yīng)的安裝步驟中做好平安配置工作。安裝效勞越少的軟件，潛在的平安破綻就越少，盡量選擇最小安裝，進步效率。理解更多關(guān)于建立最小安裝的信息，請觀察SolarisMinimizationforSecurity。1.2 安裝后的工作關(guān)閉不必要的效勞系統(tǒng)在安裝coregroup后，默認(rèn)開放如下不必要的效勞：1 、NFS2 、RPC3 、automount4 、echo、ti

7、me、chargen等TCP/IP簡單效勞備份系統(tǒng)根本信息系統(tǒng)安裝完成后，系統(tǒng)管理員應(yīng)該查看和備份系統(tǒng)關(guān)鍵信息，包括系統(tǒng)進程、網(wǎng)絡(luò)效勞信息、suid/sgid文件或目錄、系統(tǒng)用戶等。安裝和啟用輔助平安工具為了進步系統(tǒng)的平安性以及可維護性，建議安裝建議的平安輔助工具。安裝補丁程序在安裝完其他系統(tǒng)軟件和第三方軟件后，馬上更新系統(tǒng)補丁程序。并更新Tripwire數(shù)據(jù)庫假設(shè)使用了該軟件的話。第二章Solaris系統(tǒng)平安配置2.1 系統(tǒng)平安配置的原那么Solaris的平安配置可以從以下幾個方面來考慮:2.1.1 本地平安增強包括限制某些命令的訪問、設(shè)置正確的文件權(quán)限、應(yīng)用組和用戶的概念、suid/sgi

8、d的文件最少、rw-rw-rw的文件最少等。2.1.2 網(wǎng)絡(luò)平安增強包括使用平安的協(xié)議來管理、制止所有不需要的效勞、制止系統(tǒng)間的信任關(guān)系、制止不需要的帳號、增強認(rèn)證需要的密碼、保護存在危險的網(wǎng)絡(luò)效勞、限制訪問等。2.1.3 應(yīng)用平安增強包括限制用戶的權(quán)限、限制進程所有者的權(quán)限、檢查應(yīng)用相關(guān)文件權(quán)限、限制訪問其他系統(tǒng)資源、應(yīng)用所依賴的suid/sgid文件最少、使用應(yīng)用本身的平安特性、刪除samples和其他無用的組件等。2.1.4 監(jiān)控與警報包括日志、完好性、入侵檢測等一些使用工具等。2.2 主機的根本平安配置主機的根本平安配置包括以下主要內(nèi)容：1 、系統(tǒng)補丁更新2 、控制臺平安3 、文件系統(tǒng)

9、平安4 、用戶管理5 、系統(tǒng)啟動與關(guān)閉6 、內(nèi)核調(diào)整7 、日志與審核8 、其它9 .2.1系統(tǒng)補丁更新及時更新系統(tǒng)補丁是系統(tǒng)管理員做好日常維護的一項重要工作。更新系統(tǒng)補丁的目的，除了滿足某些兼容性的要求外，它的主要目的是修補系統(tǒng)的平安破綻，防止系統(tǒng)破綻被入侵者所利用。系統(tǒng)補丁包括操作系統(tǒng)的補丁，以及其它應(yīng)用效勞軟件的補丁，諸如WEB效勞、DNS效勞、郵件效勞、數(shù)據(jù)庫等等。1 、強烈建議定期從操作系統(tǒng)提供商或應(yīng)用軟件提供商的官方網(wǎng)站下載最新的系統(tǒng)補丁集，SUN的操作系統(tǒng)補丁列表可以以下網(wǎng)站獲?。篺tp:/sunsolve1.sun/pub/patches/:/sunsolve1.sun/2 、完

10、好性檢查，使用校驗工具檢查下載的補丁軟件是否被篡改，以防止補丁軟件感染病毒或植入木馬程序。建議使用MD5檢驗工具一般的SUN提供的補丁包內(nèi)會有一個MD5校驗數(shù)據(jù)文件，可以使用MD5校驗工具計算文件的MD5值與之對照。3 、假設(shè)條件允許的情況下，建議最好先做補丁修補實驗，因為某些補丁可能會影響部分效勞的正常運行；4 、在安裝系統(tǒng)補丁軟件后，建議按照本手冊提供的方法和步驟對系統(tǒng)配置進展平安檢查，因為某些系統(tǒng)補丁安裝后可能會啟動系統(tǒng)的默認(rèn)配置，使系統(tǒng)狀態(tài)發(fā)生變化，可能會導(dǎo)致系統(tǒng)效勞異?；蛘呤瓜到y(tǒng)開放了某些不必要的效勞而違犯系統(tǒng)最小化原那么。另外，系統(tǒng)管理員可以使用showrev-p命令查看系統(tǒng)補丁修

11、補情況，例如如下：root$showrev-pPatch:106541-16Obsoletes:106832-03，106976-01，107029-01，107030-01，107334-uPatch:106793-07Obsoletes:Requires:Incompatibles:Packages:SUNWcsu，SUNWaPatch:107544-03Obsoletes:Requires:Incompatibles:Packages:SUNWcsu，SUNWrPatch:107451-05Obsoletes:Requires:107117-03Incompatibles:Package

12、s:SUNWuPatch:107454-05Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:107792-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108301-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsu，SUNWaPatch:108482-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:106950-13Obsoletes:Requir

13、es:Incompatibles:Packages:SUNWcsu，SUNWxPatch:107018-03Obsoletes:Requires:106938-01Incompatibles:Packages:SUNWuPatch:109253-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108798-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108838-02Obsoletes:Requires:Incompatibles:Packages:SUNWc

14、suPatch:109744-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:107443-13Obsoletes:Requires:Incompatibles:Packages:SUNWcsu，SUNWcPatch:107477-03Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108748-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108760-01Obsoletes:Requires:In

15、compatibles:Packages:SUNWcsuPatch:108764-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsu2.2.2控制臺平安1. 設(shè)置OpenBoot的平安級別設(shè)置OpenBoot的平安級別主要是防止可以物理接觸系統(tǒng)的人任意修改系統(tǒng)OpenBoot參數(shù)，到達完全控制系統(tǒng)的目的。一方面，可以訪問OpenBoot的用戶可以從外部硬盤或光盤上啟動系統(tǒng)，從而完全控制系統(tǒng)；另一方面，可以用Stop-A停頓系統(tǒng)的用戶可以修改所有OpenBoot環(huán)境變量。Openboot的平安級別有3種：none、command和full。 N

16、one是不需要任何口令，所有的OpenBoot設(shè)置都可以修改包括系統(tǒng)啟動的硬盤分區(qū)，所有的OpenBoot命令都可以執(zhí)行。任何可以物理接觸系統(tǒng)的人就完全控制了系統(tǒng)。 Command是除了boot和go之外的所有命令都需要口令。系統(tǒng)可以從默認(rèn)的啟動設(shè)備啟動。Go命令在按下Stop-A或者發(fā)送中斷序列之后繼續(xù)系統(tǒng)操作可以執(zhí)行。對于任何其它命令，用戶都必須輸入OpenBoot命令； Full是除了go命令在按下Stop-A或者發(fā)送中斷序列之后繼續(xù)系統(tǒng)操作之外的所以命令都需要OpenBoot口令。建議把平安級別設(shè)為command。因為設(shè)置為full的話，假設(shè)忘記了OpenBoot口令，就只好更換PRO

17、M了。設(shè)置方法有兩種：a) 在root下，下面是一個配置例如：#eepromsecurity-mode=commandChangingPROMpassword:Newpassword:passwordRetypenewpassword:passwordb) 在OpenBootPROM下，下面是一個配置例如：oksetenvsecurity-modecommandsecurity-mode=commandoksetenvsecurity-passwordpasswordsecurity-password=假設(shè)希望修改OpenBoot口令可以使用如下命令。#eepromsecurity-passw

18、ord=ChangingPROMpassword:Newpassword:passwordRetypenewpassword:password注意：“=不要忘記鍵入了，否那么會出現(xiàn)錯誤信息：security-password：datanotavailable；在修改口令時，不會詢問以前的口令。假設(shè)希望禁用該項平安功能只需要將security-mode設(shè)置為none。方法同上。2. 監(jiān)視EEPROM口令假設(shè)用戶敲錯了OpenBoot的口令將被記錄下來，使用下面的命令可以查看總共有多少次錯誤的嘗試：# eepromsecurity-#badloginssecurity-#badlogins=3可以

19、使用以下命令初始化它的計數(shù)器：# eepromsecurity-#badlogins=0security-#badlogins=02.2.3文件系統(tǒng)平安文件系統(tǒng)是計算機系統(tǒng)的重要組成部分，用于存儲和管理計算機中的信息，包括操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)等。管理系統(tǒng)文件的工作主要包括設(shè)置訪問權(quán)限、控制用戶訪問文件的方式讀、寫、執(zhí)行。一文件權(quán)限由于具備suid/sgid位的可執(zhí)行文件可能會被入侵者利用獲得系統(tǒng)最高權(quán)限r(nóng)oot，因此，假設(shè)該文件或目錄不需要suid/sgid權(quán)限的話，應(yīng)該去除其相應(yīng)的suid/sgid位。1. 刪除所有不使用的suid文件大多數(shù)setuid程序都只是由root運行的，或者是

20、由某些特定用戶或組運行，那就可以將其setuid位移去，系統(tǒng)管理員應(yīng)該根據(jù)實際需要的情況進展增減。請系統(tǒng)管理員參看SUN網(wǎng)站或CERT的平安公告，假設(shè)發(fā)現(xiàn)有破綻的的程序還存在setuid位，請及時下載補丁進展補丁更新。假設(shè)目前暫時無法獲得相應(yīng)補丁程序時，一個簡單的臨時解決方案是將該程序的setuid位去掉。而且還應(yīng)該建立一個setuid/setgid程序的列表，以便作為系統(tǒng)審核的根據(jù)之一，這樣可以通過比照發(fā)現(xiàn)是否有新的setuid程序出現(xiàn)。假設(shè)發(fā)現(xiàn)來歷不明的帶有setuid位的程序，就把它刪掉?？赡苄枰玫降牟僮髅罾缛缦拢毫谐鱿到y(tǒng)中所有suid文件Find/-typef(-perm-400

21、0)-execls-al;find/-typef(-perm-4000)-execls-al;>$HOME/search-4-suid-files.txt首先備份suid文件:mkdir/opt/backup/suidfind/-typef(-perm-4000)-print|cpio-pudm/opt/backup/suid刪除前建立tar備份，不要刪除suid-files.tar!cd/opt/backup;tar-cvpfsuid-files.tar/opt/backup/suid/*rm-r/opt/backup/suid去除所有suid文件中的suid位find/-typef(

22、-perm-4000)-execchmod-s;再查一遍find/-typef(-perm-4000)-execls-al;對一些常用文件建立suid位chmodu+s/usr/bin/suchmodu+s/usr/bin/passwdchmodu+s/usr/bin/ps2. 變更不必要sgid文件的權(quán)限可能需要用到的操作命令例如如下：列出系統(tǒng)中所有sgid文件find/-typef(-perm-2000)-execls-al;find/-typef(-perm-2000)-execls-al;>$HOME/search-4-sgid-files.txt備份sgid文件：mkdir/o

23、pt/backup/sgidfind/-typef(-perm-2000)-print|cpio-pudm/opt/backup/sgid對一些常用且必要的文件建立sgid位。一般的是系統(tǒng)管理員在理論中根據(jù)應(yīng)用的需要而設(shè)置，通常不必設(shè)置。3. 去掉/etc下不必要的組可寫文件的寫權(quán)限可能需要用到的操作命令例如如下：列出所有組可寫的文件find/etc-typef(-perm-20)-execls-al;find/etc-typef(-perm-20)-execls-al;>search-4-group-writeable-in-etc.txtfind/etc-typef(-perm-20

24、)-execchmodgw;結(jié)合上述所列文件信息，系統(tǒng)管理員可以視詳細需要，更改文件權(quán)限。4. 去掉/etc下不必要的所有人可寫文件的寫權(quán)限可能需要用到的操作命令例如如下：列出所有人可寫的文件find/etc-typef-perm-2-execxargsls-als;find/etc-typef-perm-2-execxargsls-als;>search-4-world-writeable-in-etc.txt結(jié)合上述所列文件信息，系統(tǒng)管理員可以視詳細需要，更改文件權(quán)限。5. 可以將不必要權(quán)限為所有人都可以讀寫rw-rw-rw-的文件改為權(quán)限為所有人可讀僅屬主可寫rw-r-r-的文件可

25、能需要用到的操作命令例如如下：find/-typef-perm666|xargsls-al>perm-666-before-change.txt結(jié)合上述所列文件信息，系統(tǒng)管理員可以視詳細需要，更改文件權(quán)限。6. 改變所有人可讀寫執(zhí)行rwxrwxrwx文件的權(quán)限為所有人可讀可執(zhí)行僅屬主可寫的rwxr-xr-x文件可能需要用到的操作命令例如如下：find/-typef-perm777-execxargsls-al;>perm-777-before-change.txt結(jié)合上述所列文件信息，系統(tǒng)管理員可以視詳細需要，更改文件權(quán)限。7. 查找world，group可寫的目錄操作命令例如如下

26、：find/-typed-perm2-print>search-4-world-writeable-directories.txtfind/etc-typef-perm-20-print>search-4-group-writeable-dir.txt8. 確保每個root啟動的腳本屬于root首先查找所有啟動腳本的屬主find/etc-typef-print|greprc|egrep-v"skel|tty|mail|snmp|Mail"|xargsls-al>rc_files_before_change_txt改變屬主find/etc-typef-pri

27、nt|greprc|egrep-v"skel|tty|mail|snmp|Mail"|xargschownroot:rootfind/etc-typef-print|greprc|egrep-v"skel|tty|mail|snmp|Mail"|xargsls-al>rc-files-after-change.txtls-al/etc/init.d>etc-init.d-before.change.txtchownroot:root/etc/init.dls-al/etc/init.d>etc-init.d-after-change.t

28、xt9.確保所有cron行為有記錄在/etc/default/cron中CRONLOG=YES刪除/var/spool/cron/crontabs目錄中除了root文件外所有文件10. 查找無用戶的文件操作命令例如如下：find/-typef-nouser>files-nouser-before-change11. 查找無組的文件操作命令例如如下：find/-typef-nogroup>files-nogroup-before-change12. 改變/var/cron權(quán)限chmod700/var/cron&&chownroot/var/cron&&

29、chgrpsys/var/cron13. 改變utmpwtmp的權(quán)限utmp文件記錄當(dāng)前登錄到系統(tǒng)中的所有用戶，wtmp文件記錄用戶登錄和退出事件，假設(shè)這些文件是所有用戶可寫，那就可以輕松地修改或刪除訪問系統(tǒng)的記錄。所以/var/adm/utmp、/var/adm/utmpx、/var/adm/wtmp、/var/adm/wtmpx的文件權(quán)限都應(yīng)該設(shè)為644。chmod644/var/adm/utmp&&/var/adm/utmpx&&/var/adm/wtmp&&/var/adm/wtmpx下面總結(jié)了常用系統(tǒng)目錄的權(quán)限分配情況：文件權(quán)限或?qū)僦?

30、etc/utmp644/var/adm/wtmp644/etc/syslog.pid或/var/run/syslog.pid644/etc，/usr/etc，/bin，/usr/bin，/sbin，/usr/sbin，/tmpand/var/tmp由root所擁有/tmp和/var/tmp設(shè)置sticky-bit粘滯位日志/var/log/只能由root寫入二mount選項在mount選項設(shè)置為nosuid的分區(qū)內(nèi)的文件即使有suid位也不會被入侵者用以提升權(quán)限。假設(shè)mount選項設(shè)置為只讀ro那么可以防止用戶修改該分區(qū)內(nèi)的關(guān)鍵數(shù)據(jù)文件，因此，推薦按照下表修改/etc/vfstab文件。#de

31、vicedevicemountFSfsckmountmount#tomounttofsckpointtypepassatbootoptions/dev/dsk/c0t3d0s0/dev/rdsk/c0t3d0s0/ufs1no-/dev/dsk/c0t3d0s4/dev/rdsk/c0t3d0s4/usrufs1noro/dev/dsk/c0t3d0s5/dev/rdsk/c0t3d0s5/varufs1nonosuid/dev/dsk/c0t3d0s6/dev/rdsk/c0t3d0s6/optufs2yesnosuid，ro注意：/usr分區(qū)建議設(shè)置為只讀，但是不要設(shè)置為nosuid，因為

32、該分區(qū)下的部分命令有nosuid位。需要把NFS效勞器共享的目錄裝入到系統(tǒng)中時，建議加上nosuid和ro的選項，這樣目錄就會以只讀的方式裝入，并且以setuid運行也是不允許的。三卷管理Solaris的卷管理可以方便簡單地管理可挪動介質(zhì)設(shè)備，在有CD-ROM、軟驅(qū)等設(shè)備接入時會自動安裝到系統(tǒng)中，而不需要超級用戶的介入。但是這樣容易被入侵者所利用，入侵者只需要在CD-ROM、軟盤等介質(zhì)中存儲有suid的命令，便可用以提升權(quán)限到達完全控制系統(tǒng)的目的。因此，建議效勞器不要使用自動mount的功能，而工作站假設(shè)需要使用自動mount功能，需要修改/etc/rmmount.conf使mount的文件系

33、統(tǒng)具備nosuid的選項。在/etc/rmmount.conf參加如下信息：mounthsfs-onosuidmountufs-onosuid四其它1、確定EXINIT的環(huán)境變量禁用了.exrc文件功能，并且刪除了系統(tǒng)內(nèi)不必要.exrc文件?？梢允褂萌缦旅畈檎?exrc文件：#/bin/find/-name'.exrc'-exec/bin/cat;-print2、確定用戶HOME目錄下的.forward文件不能被非授權(quán)命令或程序所執(zhí)行，郵件效勞可能會由于錯誤配置導(dǎo)致普通用戶的擁有root特權(quán)?？梢允褂萌缦旅畈檎?forward文件：#/bin/find/-name'

34、.forward'-exec/bin/cat;-print2.2.4用戶管理1 、制止所有不需要的系統(tǒng)帳戶管理性的帳號應(yīng)該被封鎖起來，防止被入侵者所利用。這些帳號包括daemon、bin、sys、adm、lp、uucp、nuucp、listen、nobody和noaccess封鎖方法為在/etc/passwd文件中，斗各其對應(yīng)的shell置為/bin/false。假設(shè)系統(tǒng)沒有shadow文件，那么編輯/etc/passwd,將需要制止帳戶的*用NP代替Example:noaccess:NP:60002:60002:NoAccessUser:/:/sbin/noshell假設(shè)系統(tǒng)有sha

35、dow文件，那么編輯shadow文件，在用戶名后面直接參加：NP。daemon:NP:6445:bin:NP:6445:sys:NP:6445:adm:NP:6445:lp:NP:6445:uucp:NP:6445:nuucp:NP:6445:2、口令及口令策略 長度至少為8位，必須包括數(shù)字、字母和標(biāo)點。 設(shè)置密碼相關(guān)參數(shù)，編輯/etc/default/passwd設(shè)置：MINWEEKS=1#最短改變時間MAXWEEKS=4#密碼最長有效時間PASSLENTH=8#最短密碼長度 確保提示輸入密碼可以在直接鍵入如下命令：#passreq=YES或者編輯/etc/login/文件，更改相應(yīng)條目。檢

36、查是否每個用戶都設(shè)置了密碼檢查/etc/passwd和/etc/shadow,每個用戶的密碼欄是否為空。3、修改登錄login配置文件防止root遠程登錄建議超級用戶不要直接登錄，設(shè)置方法為在/etc/default/login文件中設(shè)置CONSOLE=/dev/null。這樣任何需要成為超級用戶的系統(tǒng)管理員都必須先用普通帳號登錄，然后用su命令切換成超級用戶，因為系統(tǒng)會記錄下用戶使用su命令的情況，以便審計的用戶行為。編輯/etc/default/login，加上：#IfCONSOLEisset，rootcanonlyloginonthatdevice.CONSOLE=/dev/consol

37、e記錄所有root登錄嘗試編輯/etc/default/login#SYSLOGdetermineswhetherthesyslog(3)LOG_AUTHfacilityshouldbeused#tologallrootloginsatlevelLOG_NOTICEandmultiplefailedlogin#attemptsatLOG_CSYSLOG=YES設(shè)置session超時時間編輯/etc/default/login，加上：#TIMEOUTsetsthenumberofseconds(between0and900)towaitbefore#abandoningaloginsession

38、.TIMEOUT=120設(shè)置缺省umask編輯/etc/default/login，加上：#UMASKsetstheinitialshellfilecreationmodemask.Seeumask(1).UMASK=027權(quán)限設(shè)置為750."rw-r"對于如下文件，同樣加上缺省umask:/etc/.login，/etc/profile，/etc/skel/local.cshrc/etc/skel/local.login，/etc/skel/file設(shè)置Shell環(huán)境變量編輯/etc/default/login，加上：#ALTSHELLdetermine

39、siftheSHELLenvironmentvariableshouldbesetALTSHELL=YES4、設(shè)置root的umask檢查root的.profile，確保umask為027或077。5、在所有path中，去掉所有"."途徑。檢查所有缺省啟動腳本和root啟動腳本，在所有途徑變量中刪除"."途徑，包括以下文件：/.login，/etc/.login，/etc/default/login，/.cshrc，/etc/skel/local.cshrc，/etc/skel/local.login，/etc/skel/file，/.

40、profile，/etc/profile6、使用sugroup來限制su,將可以su的用戶添加到這個組在/etc/group中創(chuàng)立特殊的組sugroup將系統(tǒng)管理員帳號加到這個組；改變/bin/su的權(quán)限為：r-sr-sr-x1rootsugroup#chmod550/bin/su#chmod+s/bin/su#chownroot:sugroup/bin/su#ls-al/bin/su-r-sr-s-1rootsugroup18360Jan151998/bin/su#grepsugroup/etc/groupsugroup:600:root，adm，wspher這樣，只有sugroup組中的用

41、戶可以使用su,提升為超級用戶，另外一個可行的方法是使用sudo來替代su。2.2.5系統(tǒng)啟動與關(guān)閉一系統(tǒng)啟動和關(guān)閉1 、檢查系統(tǒng)的啟動和關(guān)閉程序也就是/etc/init.d、/etc/rc.X目錄和/etc/inittab文件，將這些文件和目錄的權(quán)限設(shè)為只有超級用戶可寫。2 、在rc.x目錄中將不需要的效勞禁用，可以采取一定的格式進展更名處理，以便在有需要的時候可以重新啟動效勞。更名舉例如下：mv/etc/rc3.d/S92volmgt/etc/rc3.d/no_use_S92volmgt以下效勞原那么上應(yīng)該禁用，但是系統(tǒng)管理員可以根據(jù)系統(tǒng)應(yīng)用需求，按照系統(tǒng)最小化原那么進展取舍：snmpdx

42、autofs(Automounter)volmgt(VolumeDeamon)lpsched(LPprintservice)nscd(NameServiceCacheDaemon）Sendmail（注意，假設(shè)確要使用sendmail處理郵件信息，那么請參照“網(wǎng)絡(luò)效勞平安配置的相關(guān)內(nèi)容進展配置）keyserv（注意KeyservDeamon在安裝了NIS+或NFS才使用，假設(shè)啟動時使用了-d的選項，那么默認(rèn)的"nobody"key是禁用的）另外，rpcbind提供遠程呼叫，依靠遠程系統(tǒng)的IP地址和遠程用戶的ID進展驗證，這樣很容易偽造和改變。建議關(guān)閉rpcbind效勞。3 、

43、制止所有DMI效勞制止所有DMI效勞：mv/etc/rc3.d/S?dmi/etc/rc3.d/no_use?dmi/etc/init.d/init.dmi中啟動的dmi效勞有：/usr/lib/dmi/dmispd/usr/lib/dmi/snmpXdmid/etc/dmi/ciagent/ciinvoke4、檢查所有的.rhosts文件.rhosts允許不要密碼遠程訪問,預(yù)先生成$HOME/.rhosts文件，并且設(shè)置為0000,防止被寫入+。攻擊者經(jīng)常使用類似符號鏈接或者利用ROOTSHELL寫入。注：這種情況會導(dǎo)致一些如SSH的RCP命令無法使用需要使用$HOME/.rhosts文件的

44、一些命令touch/.rhosts；chmod0/.rhosts.rhosts可以被普通用戶所創(chuàng)立在個人目錄下。推薦使用腳本來發(fā)現(xiàn).rhosts文件。并且利用cron自動檢查,報告給特定用戶。ScriptforFind.rhost:#!/bin/sh/usr/bin/find/home-name.rhosts|（cat<<EOFthisonlyfind.rhost:EOFcat）|/bin/mailx-s"Contentof.rhostsfileauditreport"yourmailbox5、制止使用.rhosts認(rèn)證在/etc/pam.conf中刪除rlog

45、inauthsufficient/usr/lib/security/pam_rhosts_auth.so.1將rsh的行改為:rshauthrequired/usr/lib/security/pam_unix.so.16、檢查信任關(guān)系檢查/etc/hosts.equiv文件，確保為空二審核啟動和關(guān)閉機制由于在系統(tǒng)啟動和關(guān)閉階段，系統(tǒng)的保護措施暫時沒有運行或訪問，因此，提請系統(tǒng)管理員需要特別關(guān)注系統(tǒng)啟動和關(guān)閉腳本的完好性?？梢越柚ぞ邔徍讼到y(tǒng)的啟動和關(guān)閉腳本，如Tripwire。需要審核的文件和目錄包括：/etc/rc*.X、/etc/inetd.conf等。2.2.6 內(nèi)核調(diào)整修正堆棧錯誤，防

46、止溢出2.6以后版本已修正把堆棧設(shè)置為不可執(zhí)行。步驟方法為：把下面兩行參加/etc/system中setnoexec_user_stack=1setnoexec_user_stack_log=1然后改變文件權(quán)限：#chmod644/etc/system不可執(zhí)行堆?？梢栽谝欢ǔ潭壬系钟跅tack的緩沖區(qū)溢出攻擊，但是，緩沖區(qū)溢出的攻擊手段可以有多種方式實現(xiàn)，基于棧的溢出攻擊只是其中的一種攻擊手段，因此，設(shè)置不可執(zhí)行堆棧不能抵御其它類型的緩沖區(qū)溢出攻擊，如基于堆Heap的溢出攻擊、基于函數(shù)指針的溢出攻擊等。系統(tǒng)管理員應(yīng)該時常關(guān)注系統(tǒng)平安破綻信息，及時采取補救措施。建議制止系統(tǒng)進展核心轉(zhuǎn)儲co

47、redump，因為它會占用大量磁盤空間，并且可能會泄露某些敏感信息。設(shè)置方法為：在/etc/system中參加setsys:coredumpsize=0注意：以上三項配置都要重啟系統(tǒng)后才能生效。2.2.7 日志和審核1 、設(shè)置適宜cronlogfiles編輯配置文件/etc/cron.d/logchecker中LIMIT項。系統(tǒng)管理員可以根據(jù)實際經(jīng)歷設(shè)置，一般要考慮的因素是日志查看的周期與通常情況下日志產(chǎn)生的信息量大小，建議對cron日志的審核以7天為一個周期。2 、記錄所有inetd效勞編輯/etc/init.d/inetsvc，查找inetd的啟動選項，例如如下：/usr/sbin/ine

48、td-s-t&3、修改syslog.conf編輯syslog.conf，增加*.debug/var/adm/compass.messages#記錄debug信息/var/log/authlog4、創(chuàng)立/var/adm/loginlog來記錄登錄失敗信息touch/var/adm/loginlogchmod600/var/adm/loginlogchownroot/var/adm/loginlogchgrpsys/var/adm/loginlog5、輔助工具建議使用Tripwire對系統(tǒng)文件進展完好性檢查，這樣能有效防止木馬。詳細Tripwire的安裝與使用，請參見附錄

49、。建議安裝日志檢測工具，比方swatch，以進步日志分析的效率。詳細swatch的安裝和使用，請參見附錄。2.2.8其它1、cron和at是定時執(zhí)行命令。因此要嚴(yán)格限制可以執(zhí)行cronat命令的用戶，以防止被入侵者所利用。設(shè)置方法為：創(chuàng)立一個空的/etc/cron.d/cron.deny/etc/cron.d/at.deny文件，然后把可以執(zhí)行cronat命令的用戶加到/etc/cron.d/cron.allow/etc/cron.d/at.allow文件中。2、不要使用crontab-e命令來配置cron，因為它會把用戶的crontab文件的一份所有用戶都可讀的副本放在/tmp目錄下，入侵者

50、就可以根據(jù)這個副本探究出與cron項有關(guān)的可能的平安缺陷。建議的設(shè)置方法為：首先輸入命令crontab-l>mycronfile；編輯mycronfile文件，完成所有需要的修改；最后輸入命令crontab<mycrontab。2.3系統(tǒng)網(wǎng)絡(luò)效勞平安配置2.3.1 網(wǎng)絡(luò)接口的平安配置利用ndd命令，可以檢測或者更改網(wǎng)絡(luò)設(shè)備驅(qū)動程序的特性。在/etc/init.d/inetinit啟動腳本中增加以下各條命令，然后重啟系統(tǒng)，可以進步網(wǎng)絡(luò)的平安性。1. 忽略并且不發(fā)送ICMP重定向報文假設(shè)系統(tǒng)使用了動態(tài)路由機制，那么攻擊者可能會利用ICMP重定向報文更改路由信息，導(dǎo)致IP數(shù)據(jù)包流向轉(zhuǎn)變，

51、形成回絕效勞攻擊或者被監(jiān)聽。忽略ICMP重定向報文/usr/sbin/ndd-set/dev/ipip_ignore_redirect1默認(rèn)值為0制止發(fā)送ICMP重定向報文/usr/sbin/ndd-set/dev/ipip_send_redirects0默認(rèn)值為12. 關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)除非系統(tǒng)需要路由轉(zhuǎn)發(fā)功能，否那么應(yīng)該關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)。/usr/sbin/ndd-set/dev/ipip_forwarding03. 不轉(zhuǎn)發(fā)源路由數(shù)據(jù)包源路由數(shù)據(jù)包是指由發(fā)送方指定傳送途徑的數(shù)據(jù)包。假設(shè)系統(tǒng)轉(zhuǎn)發(fā)源路由數(shù)據(jù)包，那么會帶來潛在的平安隱患，入侵者可以將大量數(shù)據(jù)流引向攻擊目的形成回絕效勞攻擊。/usr/s

52、bin/ndd-set/dev/ipip_forward_src_routed04. 設(shè)置更平安的TCP初始序列號產(chǎn)生方式TCP_STRONG_ISS的值決定TCP初始序列號的產(chǎn)生方式，它的可能取值有三個： 0:舊式的序列號產(chǎn)生方式 1:經(jīng)過改進的序列號產(chǎn)生方式，每次建立新TCP連接的初始序列號不再連續(xù)取值，而是在此根底上增加一個隨機的分量，這樣就增大了TCP初始序列號猜測攻擊的難度。 2:使用新型的序列號產(chǎn)生方法，杜絕根據(jù)一個初始序列號猜測下一次連接初始序列號的可能性。/usr/sbin/ndd-set/dev/tcptcp_strong_iss2默認(rèn)值為15. 縮短ARP緩存有效期ARP緩

53、存有效期假設(shè)太長，遭受ARP欺騙攻擊后需要更長時間恢復(fù)。雖然縮短ARP緩存有效期不能真正阻止ARP欺騙攻擊，但是加大了攻擊難度。/usr/sbin/ndd-set/dev/arparp_cleanup_interval60000以毫秒為單位，缺省值為300000，60000只是建議值，也可以根據(jù)自己需要取其它值。2.3.2 網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)系統(tǒng)的平安建立在這個根本原理之上：去掉不必要的網(wǎng)絡(luò)訪問，在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。一停頓運行不必要的網(wǎng)絡(luò)效勞1 、停頓由inetd啟動的網(wǎng)絡(luò)效勞由internet效勞器過程inetd啟動的網(wǎng)絡(luò)效勞是由兩個配置文件/etc/inet/services

54、和/etc/inet/inetd.conf來配置的。/etc/inet/services文件指定每個效勞的端口號和端口類型，該配置文件的部分例如如下：ftp21/tcptelnet23/tcpsmtp25/tcpmail/etc/inet/inetd.conf文件指定效勞所對應(yīng)的系統(tǒng)效勞程序，該配置文件的部分例如如下：ftpstreamtcpnowaitroot/usr/sbin/in.ftpdin.ftpdtelnetstreamtcpnowaitroot/usr/sbin/in.telnetdin.telnetd當(dāng)要停頓某個效勞，如ftp、telnet等時，只要注釋掉文件/etc/inet

55、/services和/etc/inet/inetd.con中的相應(yīng)條目，也就是在那一行的開頭加上字符，然后讓inetd重新讀配置文件，過程例如如下：#ps-ef|grepinetdroot14910Jan18?0:00/usr/sbin/inetd-sroot2462124605015:53:01pts/10:00grepinetd#kill-HUP149以上第一條命令是為了獲得inetd的進程號，例如中輸出的第二列內(nèi)容就是進程號(149)，然后將該進程號填入第二條命令的相應(yīng)位置。2 、停頓由rc腳本啟動的網(wǎng)絡(luò)效勞有些網(wǎng)絡(luò)效勞不是由inetd來啟動，而是由自己的rc文件來啟動的，如：sendm

56、ail/etc/rc2.d/S88sendmailautomounter/etc/rc2.d/S74autofsntp/etc/rc2.d/S74xntpdsyslog/etc/rc2.d/S74syslog打印效勞/etc/rc2.d/S80lpapache/etc/rc3.d/S50apache要停頓以上效勞，只需用mv命令把它們的啟動文件改名，如把/etc/rc2.d/S88sendmail改名為/etc/rc2.d/X88sendmail，然后先查找出相應(yīng)的進程號進程號查找方法同上，以下不再贅述，再用“kill-9進程號停頓相應(yīng)的進程。要停頓DNS效勞時，在文件/etc/rc2.d/S72inetsvc中把運行d的一項注釋掉，然后再停頓相應(yīng)的進程。要停頓NFS效勞器時，首先注釋掉/etc/dfs/dfstab文件中的所有條目，然后用mv命令把/etc/rc3.d/S15nfs.server文件改名為/etc/rc3.d/X15nfs.server，最后停頓nfsd進程。要停頓NFS客戶端時，首先注釋掉/etc/vfstab文件中fstype為nfs的所有條目，接著用umount命令釋放所有NFS裝入的文件