solaris安全操作指南

1、Solaris平安操作指南第一章Solaris系統(tǒng)平安安裝1.1 安裝步驟下面將以安裝Solaris8為例，描繪系統(tǒng)安裝的過程及相關的平安本卷須知。請系統(tǒng)管理員在安裝系統(tǒng)前，認真閱讀Sun公司提供的系統(tǒng)安裝指南和參考手冊，理解系統(tǒng)安裝的根本操作步驟。斷開網(wǎng)絡連接請確定網(wǎng)絡是斷開，即網(wǎng)線沒有接入網(wǎng)絡中。假設用戶希望自動配置NIS效勞，那么需要網(wǎng)絡處于連通狀態(tài)，但是這樣做會帶來一些平安隱患，因為在安裝期間，RPC效勞處于啟動狀態(tài)，存在潛在的平安威脅。建議在系統(tǒng)處于平安保護狀態(tài)下，才將系統(tǒng)聯(lián)入網(wǎng)絡。Openboot口令和平安請首先插入CD。為了防止無關人員執(zhí)行EEPROM上的命令，請在OK提示符下，

2、使用命令"setenv"設置EEPROM的平安形式為"command",并設置相應的口令，要求口令至少為8位，必須有字母、數(shù)字和標點，不能使用名字、完好的英文單詞或生日作為口令。下面是一個例如：oksetenvsecurity-modecommandsecurity-mode=command請再次確定已經(jīng)設置了EEPROM的平安形式和口令，并且口令滿足一定的復雜讀要求。OKbootcdrom在OK狀態(tài)下，設置系統(tǒng)啟動設備為CD-ROM。開始Solaris安裝程序進入系統(tǒng)安裝初期，請系統(tǒng)管理員按照SUN公司提供安裝手冊所描繪的步驟進展。在系統(tǒng)安裝min-r

3、oot,并進入StartWeb安裝環(huán)境后，系統(tǒng)管理員注意以下平安事項：1. 設置root口令設置一個強壯的root的口令，使其符合復雜性要求，即口令長度必須為8位，包含數(shù)字、字母和標點，不能為完好的英文單詞或句子。2. 選擇系統(tǒng)安裝的類型選擇系統(tǒng)安裝的類型是系統(tǒng)安裝中關鍵一步，系統(tǒng)管理員需要根據(jù)系統(tǒng)安裝的策略和最小化原那么選擇相應的系統(tǒng)軟件包。強烈建議：系統(tǒng)安裝選擇自定義核心組coregroup軟件包，并且不安裝附帶軟件和附加產(chǎn)品。下一步是選擇群集和包，在自定義核心組的默認選擇的軟件包根底上，可以增加如下軟件包：軟件包編號軟件包描繪備注SUNWast通過監(jiān)視或限制對系統(tǒng)文件和目錄的訪問來進步系

4、統(tǒng)平安性的管理公用程序此為SUN提供的平安工具，詳細使用可以參閱有關手冊關于Solaris8系統(tǒng)安裝的軟件包信息，請系統(tǒng)管理員參閱附錄3，以便根據(jù)詳細應用選取相應的軟件包。3. 網(wǎng)絡配置假設系統(tǒng)需要DHCP或NIS，那么需要將系統(tǒng)接入網(wǎng)絡，注意接入網(wǎng)絡的時間要盡可能短，假設配置DHCP或NIS完畢，請暫時將網(wǎng)絡再次斷開。下一步是選擇IP或DHCP，這里會詢問是否安裝IPv6，除非必要，否那么禁用。同時，SUN的建議是安裝所需要的所有效勞，因為效勞平安的，但是不要采用這個選項。后期在配置效勞和網(wǎng)絡的時候會證明前者的做法是會帶來平安問題的，因為在默認安裝后，系統(tǒng)將開放RPC、aotumount、N

5、FS等可能不必要且有潛在危險的效勞。4. 名字效勞配置下一步是配置NIS，建議最好不要使用NIS，除非必要。不要在安裝中配置DNS，因為在安裝時，系統(tǒng)要求聯(lián)網(wǎng)以便校驗DNS效勞。系統(tǒng)就暴露在不平安的網(wǎng)絡環(huán)境下了。建議在系統(tǒng)完成安裝，并且根據(jù)本手冊提供的方法完成系統(tǒng)加固之后，才對DNS進展配置。同樣的，假設DNS效勞的配置是必要的，那么系統(tǒng)接入網(wǎng)絡的時間要盡可能的短，配置完畢立即斷開網(wǎng)絡連接。5. 磁盤分區(qū)首先將/var分區(qū)與root分區(qū)分開，以防止日志文件耗盡root分區(qū)的空間。確保root分區(qū)足夠大，建立一個/var分區(qū)用于存放系統(tǒng)記錄文件和Email文件等。Swap分區(qū)為RAM的2倍。通常

6、使用SUN的默認配置，需要進展一些調整。建議分為三個區(qū)，即/、/opt和/var?？梢栽?opt區(qū)創(chuàng)立/usr/local，以方便備份管理。6. 注意其它版本的Solaris系統(tǒng)安裝的順序可能略有不同，系統(tǒng)管理員可根據(jù)詳細情況，在上述相應的安裝步驟中做好平安配置工作。安裝效勞越少的軟件，潛在的平安破綻就越少，盡量選擇最小安裝，進步效率。理解更多關于建立最小安裝的信息，請觀察SolarisMinimizationforSecurity。1.2 安裝后的工作關閉不必要的效勞系統(tǒng)在安裝coregroup后，默認開放如下不必要的效勞：1 、NFS2 、RPC3 、automount4 、echo、ti

7、me、chargen等TCP/IP簡單效勞備份系統(tǒng)根本信息系統(tǒng)安裝完成后，系統(tǒng)管理員應該查看和備份系統(tǒng)關鍵信息，包括系統(tǒng)進程、網(wǎng)絡效勞信息、suid/sgid文件或目錄、系統(tǒng)用戶等。安裝和啟用輔助平安工具為了進步系統(tǒng)的平安性以及可維護性，建議安裝建議的平安輔助工具。安裝補丁程序在安裝完其他系統(tǒng)軟件和第三方軟件后，馬上更新系統(tǒng)補丁程序。并更新Tripwire數(shù)據(jù)庫假設使用了該軟件的話。第二章Solaris系統(tǒng)平安配置2.1 系統(tǒng)平安配置的原那么Solaris的平安配置可以從以下幾個方面來考慮:2.1.1 本地平安增強包括限制某些命令的訪問、設置正確的文件權限、應用組和用戶的概念、suid/sgi

8、d的文件最少、rw-rw-rw的文件最少等。2.1.2 網(wǎng)絡平安增強包括使用平安的協(xié)議來管理、制止所有不需要的效勞、制止系統(tǒng)間的信任關系、制止不需要的帳號、增強認證需要的密碼、保護存在危險的網(wǎng)絡效勞、限制訪問等。2.1.3 應用平安增強包括限制用戶的權限、限制進程所有者的權限、檢查應用相關文件權限、限制訪問其他系統(tǒng)資源、應用所依賴的suid/sgid文件最少、使用應用本身的平安特性、刪除samples和其他無用的組件等。2.1.4 監(jiān)控與警報包括日志、完好性、入侵檢測等一些使用工具等。2.2 主機的根本平安配置主機的根本平安配置包括以下主要內(nèi)容：1 、系統(tǒng)補丁更新2 、控制臺平安3 、文件系統(tǒng)

9、平安4 、用戶管理5 、系統(tǒng)啟動與關閉6 、內(nèi)核調整7 、日志與審核8 、其它9 .2.1系統(tǒng)補丁更新及時更新系統(tǒng)補丁是系統(tǒng)管理員做好日常維護的一項重要工作。更新系統(tǒng)補丁的目的，除了滿足某些兼容性的要求外，它的主要目的是修補系統(tǒng)的平安破綻，防止系統(tǒng)破綻被入侵者所利用。系統(tǒng)補丁包括操作系統(tǒng)的補丁，以及其它應用效勞軟件的補丁，諸如WEB效勞、DNS效勞、郵件效勞、數(shù)據(jù)庫等等。1 、強烈建議定期從操作系統(tǒng)提供商或應用軟件提供商的官方網(wǎng)站下載最新的系統(tǒng)補丁集，SUN的操作系統(tǒng)補丁列表可以以下網(wǎng)站獲?。篺tp:/sunsolve1.sun/pub/patches/:/sunsolve1.sun/2 、完

10、好性檢查，使用校驗工具檢查下載的補丁軟件是否被篡改，以防止補丁軟件感染病毒或植入木馬程序。建議使用MD5檢驗工具一般的SUN提供的補丁包內(nèi)會有一個MD5校驗數(shù)據(jù)文件，可以使用MD5校驗工具計算文件的MD5值與之對照。3 、假設條件允許的情況下，建議最好先做補丁修補實驗，因為某些補丁可能會影響部分效勞的正常運行；4 、在安裝系統(tǒng)補丁軟件后，建議按照本手冊提供的方法和步驟對系統(tǒng)配置進展平安檢查，因為某些系統(tǒng)補丁安裝后可能會啟動系統(tǒng)的默認配置，使系統(tǒng)狀態(tài)發(fā)生變化，可能會導致系統(tǒng)效勞異?；蛘呤瓜到y(tǒng)開放了某些不必要的效勞而違犯系統(tǒng)最小化原那么。另外，系統(tǒng)管理員可以使用showrev-p命令查看系統(tǒng)補丁修

11、補情況，例如如下：root$showrev-pPatch:106541-16Obsoletes:106832-03，106976-01，107029-01，107030-01，107334-uPatch:106793-07Obsoletes:Requires:Incompatibles:Packages:SUNWcsu，SUNWaPatch:107544-03Obsoletes:Requires:Incompatibles:Packages:SUNWcsu，SUNWrPatch:107451-05Obsoletes:Requires:107117-03Incompatibles:Package

12、s:SUNWuPatch:107454-05Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:107792-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108301-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsu，SUNWaPatch:108482-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:106950-13Obsoletes:Requir

13、es:Incompatibles:Packages:SUNWcsu，SUNWxPatch:107018-03Obsoletes:Requires:106938-01Incompatibles:Packages:SUNWuPatch:109253-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108798-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108838-02Obsoletes:Requires:Incompatibles:Packages:SUNWc

14、suPatch:109744-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:107443-13Obsoletes:Requires:Incompatibles:Packages:SUNWcsu，SUNWcPatch:107477-03Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108748-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsuPatch:108760-01Obsoletes:Requires:In

15、compatibles:Packages:SUNWcsuPatch:108764-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsu2.2.2控制臺平安1. 設置OpenBoot的平安級別設置OpenBoot的平安級別主要是防止可以物理接觸系統(tǒng)的人任意修改系統(tǒng)OpenBoot參數(shù)，到達完全控制系統(tǒng)的目的。一方面，可以訪問OpenBoot的用戶可以從外部硬盤或光盤上啟動系統(tǒng)，從而完全控制系統(tǒng)；另一方面，可以用Stop-A停頓系統(tǒng)的用戶可以修改所有OpenBoot環(huán)境變量。Openboot的平安級別有3種：none、command和full。 N

16、one是不需要任何口令，所有的OpenBoot設置都可以修改包括系統(tǒng)啟動的硬盤分區(qū)，所有的OpenBoot命令都可以執(zhí)行。任何可以物理接觸系統(tǒng)的人就完全控制了系統(tǒng)。 Command是除了boot和go之外的所有命令都需要口令。系統(tǒng)可以從默認的啟動設備啟動。Go命令在按下Stop-A或者發(fā)送中斷序列之后繼續(xù)系統(tǒng)操作可以執(zhí)行。對于任何其它命令，用戶都必須輸入OpenBoot命令； Full是除了go命令在按下Stop-A或者發(fā)送中斷序列之后繼續(xù)系統(tǒng)操作之外的所以命令都需要OpenBoot口令。建議把平安級別設為command。因為設置為full的話，假設忘記了OpenBoot口令，就只好更換PRO

17、M了。設置方法有兩種：a) 在root下，下面是一個配置例如：#eepromsecurity-mode=commandChangingPROMpassword:Newpassword:passwordRetypenewpassword:passwordb) 在OpenBootPROM下，下面是一個配置例如：oksetenvsecurity-modecommandsecurity-mode=commandoksetenvsecurity-passwordpasswordsecurity-password=假設希望修改OpenBoot口令可以使用如下命令。#eepromsecurity-passw

18、ord=ChangingPROMpassword:Newpassword:passwordRetypenewpassword:password注意：“=不要忘記鍵入了，否那么會出現(xiàn)錯誤信息：security-password：datanotavailable；在修改口令時，不會詢問以前的口令。假設希望禁用該項平安功能只需要將security-mode設置為none。方法同上。2. 監(jiān)視EEPROM口令假設用戶敲錯了OpenBoot的口令將被記錄下來，使用下面的命令可以查看總共有多少次錯誤的嘗試：# eepromsecurity-#badloginssecurity-#badlogins=3可以

19、使用以下命令初始化它的計數(shù)器：# eepromsecurity-#badlogins=0security-#badlogins=02.2.3文件系統(tǒng)平安文件系統(tǒng)是計算機系統(tǒng)的重要組成部分，用于存儲和管理計算機中的信息，包括操作系統(tǒng)、應用程序和數(shù)據(jù)等。管理系統(tǒng)文件的工作主要包括設置訪問權限、控制用戶訪問文件的方式讀、寫、執(zhí)行。一文件權限由于具備suid/sgid位的可執(zhí)行文件可能會被入侵者利用獲得系統(tǒng)最高權限r(nóng)oot，因此，假設該文件或目錄不需要suid/sgid權限的話，應該去除其相應的suid/sgid位。1. 刪除所有不使用的suid文件大多數(shù)setuid程序都只是由root運行的，或者是

20、由某些特定用戶或組運行，那就可以將其setuid位移去，系統(tǒng)管理員應該根據(jù)實際需要的情況進展增減。請系統(tǒng)管理員參看SUN網(wǎng)站或CERT的平安公告，假設發(fā)現(xiàn)有破綻的的程序還存在setuid位，請及時下載補丁進展補丁更新。假設目前暫時無法獲得相應補丁程序時，一個簡單的臨時解決方案是將該程序的setuid位去掉。而且還應該建立一個setuid/setgid程序的列表，以便作為系統(tǒng)審核的根據(jù)之一，這樣可以通過比照發(fā)現(xiàn)是否有新的setuid程序出現(xiàn)。假設發(fā)現(xiàn)來歷不明的帶有setuid位的程序，就把它刪掉?？赡苄枰玫降牟僮髅罾缛缦拢毫谐鱿到y(tǒng)中所有suid文件Find/-typef(-perm-400

21、0)-execls-al;find/-typef(-perm-4000)-execls-al;>$HOME/search-4-suid-files.txt首先備份suid文件:mkdir/opt/backup/suidfind/-typef(-perm-4000)-print|cpio-pudm/opt/backup/suid刪除前建立tar備份，不要刪除suid-files.tar!cd/opt/backup;tar-cvpfsuid-files.tar/opt/backup/suid/*rm-r/opt/backup/suid去除所有suid文件中的suid位find/-typef(

22、-perm-4000)-execchmod-s;再查一遍find/-typef(-perm-4000)-execls-al;對一些常用文件建立suid位chmodu+s/usr/bin/suchmodu+s/usr/bin/passwdchmodu+s/usr/bin/ps2. 變更不必要sgid文件的權限可能需要用到的操作命令例如如下：列出系統(tǒng)中所有sgid文件find/-typef(-perm-2000)-execls-al;find/-typef(-perm-2000)-execls-al;>$HOME/search-4-sgid-files.txt備份sgid文件：mkdir/o

23、pt/backup/sgidfind/-typef(-perm-2000)-print|cpio-pudm/opt/backup/sgid對一些常用且必要的文件建立sgid位。一般的是系統(tǒng)管理員在理論中根據(jù)應用的需要而設置，通常不必設置。3. 去掉/etc下不必要的組可寫文件的寫權限可能需要用到的操作命令例如如下：列出所有組可寫的文件find/etc-typef(-perm-20)-execls-al;find/etc-typef(-perm-20)-execls-al;>search-4-group-writeable-in-etc.txtfind/etc-typef(-perm-20

24、)-execchmodgw;結合上述所列文件信息，系統(tǒng)管理員可以視詳細需要，更改文件權限。4. 去掉/etc下不必要的所有人可寫文件的寫權限可能需要用到的操作命令例如如下：列出所有人可寫的文件find/etc-typef-perm-2-execxargsls-als;find/etc-typef-perm-2-execxargsls-als;>search-4-world-writeable-in-etc.txt結合上述所列文件信息，系統(tǒng)管理員可以視詳細需要，更改文件權限。5. 可以將不必要權限為所有人都可以讀寫rw-rw-rw-的文件改為權限為所有人可讀僅屬主可寫rw-r-r-的文件可

25、能需要用到的操作命令例如如下：find/-typef-perm666|xargsls-al>perm-666-before-change.txt結合上述所列文件信息，系統(tǒng)管理員可以視詳細需要，更改文件權限。6. 改變所有人可讀寫執(zhí)行rwxrwxrwx文件的權限為所有人可讀可執(zhí)行僅屬主可寫的rwxr-xr-x文件可能需要用到的操作命令例如如下：find/-typef-perm777-execxargsls-al;>perm-777-before-change.txt結合上述所列文件信息，系統(tǒng)管理員可以視詳細需要，更改文件權限。7. 查找world，group可寫的目錄操作命令例如如下

26、：find/-typed-perm2-print>search-4-world-writeable-directories.txtfind/etc-typef-perm-20-print>search-4-group-writeable-dir.txt8. 確保每個root啟動的腳本屬于root首先查找所有啟動腳本的屬主find/etc-typef-print|greprc|egrep-v"skel|tty|mail|snmp|Mail"|xargsls-al>rc_files_before_change_txt改變屬主find/etc-typef-pri

27、nt|greprc|egrep-v"skel|tty|mail|snmp|Mail"|xargschownroot:rootfind/etc-typef-print|greprc|egrep-v"skel|tty|mail|snmp|Mail"|xargsls-al>rc-files-after-change.txtls-al/etc/init.d>etc-init.d-before.change.txtchownroot:root/etc/init.dls-al/etc/init.d>etc-init.d-after-change.t

28、xt9.確保所有cron行為有記錄在/etc/default/cron中CRONLOG=YES刪除/var/spool/cron/crontabs目錄中除了root文件外所有文件10. 查找無用戶的文件操作命令例如如下：find/-typef-nouser>files-nouser-before-change11. 查找無組的文件操作命令例如如下：find/-typef-nogroup>files-nogroup-before-change12. 改變/var/cron權限chmod700/var/cron&&chownroot/var/cron&&

29、chgrpsys/var/cron13. 改變utmpwtmp的權限utmp文件記錄當前登錄到系統(tǒng)中的所有用戶，wtmp文件記錄用戶登錄和退出事件，假設這些文件是所有用戶可寫，那就可以輕松地修改或刪除訪問系統(tǒng)的記錄。所以/var/adm/utmp、/var/adm/utmpx、/var/adm/wtmp、/var/adm/wtmpx的文件權限都應該設為644。chmod644/var/adm/utmp&&/var/adm/utmpx&&/var/adm/wtmp&&/var/adm/wtmpx下面總結了常用系統(tǒng)目錄的權限分配情況：文件權限或屬主/

30、etc/utmp644/var/adm/wtmp644/etc/syslog.pid或/var/run/syslog.pid644/etc，/usr/etc，/bin，/usr/bin，/sbin，/usr/sbin，/tmpand/var/tmp由root所擁有/tmp和/var/tmp設置sticky-bit粘滯位日志/var/log/只能由root寫入二mount選項在mount選項設置為nosuid的分區(qū)內(nèi)的文件即使有suid位也不會被入侵者用以提升權限。假設mount選項設置為只讀ro那么可以防止用戶修改該分區(qū)內(nèi)的關鍵數(shù)據(jù)文件，因此，推薦按照下表修改/etc/vfstab文件。#de

31、vicedevicemountFSfsckmountmount#tomounttofsckpointtypepassatbootoptions/dev/dsk/c0t3d0s0/dev/rdsk/c0t3d0s0/ufs1no-/dev/dsk/c0t3d0s4/dev/rdsk/c0t3d0s4/usrufs1noro/dev/dsk/c0t3d0s5/dev/rdsk/c0t3d0s5/varufs1nonosuid/dev/dsk/c0t3d0s6/dev/rdsk/c0t3d0s6/optufs2yesnosuid，ro注意：/usr分區(qū)建議設置為只讀，但是不要設置為nosuid，因為

32、該分區(qū)下的部分命令有nosuid位。需要把NFS效勞器共享的目錄裝入到系統(tǒng)中時，建議加上nosuid和ro的選項，這樣目錄就會以只讀的方式裝入，并且以setuid運行也是不允許的。三卷管理Solaris的卷管理可以方便簡單地管理可挪動介質設備，在有CD-ROM、軟驅等設備接入時會自動安裝到系統(tǒng)中，而不需要超級用戶的介入。但是這樣容易被入侵者所利用，入侵者只需要在CD-ROM、軟盤等介質中存儲有suid的命令，便可用以提升權限到達完全控制系統(tǒng)的目的。因此，建議效勞器不要使用自動mount的功能，而工作站假設需要使用自動mount功能，需要修改/etc/rmmount.conf使mount的文件系

33、統(tǒng)具備nosuid的選項。在/etc/rmmount.conf參加如下信息：mounthsfs-onosuidmountufs-onosuid四其它1、確定EXINIT的環(huán)境變量禁用了.exrc文件功能，并且刪除了系統(tǒng)內(nèi)不必要.exrc文件?？梢允褂萌缦旅畈檎?exrc文件：#/bin/find/-name'.exrc'-exec/bin/cat;-print2、確定用戶HOME目錄下的.forward文件不能被非授權命令或程序所執(zhí)行，郵件效勞可能會由于錯誤配置導致普通用戶的擁有root特權。可以使用如下命令查找.forward文件：#/bin/find/-name'

34、.forward'-exec/bin/cat;-print2.2.4用戶管理1 、制止所有不需要的系統(tǒng)帳戶管理性的帳號應該被封鎖起來，防止被入侵者所利用。這些帳號包括daemon、bin、sys、adm、lp、uucp、nuucp、listen、nobody和noaccess封鎖方法為在/etc/passwd文件中，斗各其對應的shell置為/bin/false。假設系統(tǒng)沒有shadow文件，那么編輯/etc/passwd,將需要制止帳戶的*用NP代替Example:noaccess:NP:60002:60002:NoAccessUser:/:/sbin/noshell假設系統(tǒng)有sha

35、dow文件，那么編輯shadow文件，在用戶名后面直接參加：NP。daemon:NP:6445:bin:NP:6445:sys:NP:6445:adm:NP:6445:lp:NP:6445:uucp:NP:6445:nuucp:NP:6445:2、口令及口令策略 長度至少為8位，必須包括數(shù)字、字母和標點。 設置密碼相關參數(shù)，編輯/etc/default/passwd設置：MINWEEKS=1#最短改變時間MAXWEEKS=4#密碼最長有效時間PASSLENTH=8#最短密碼長度 確保提示輸入密碼可以在直接鍵入如下命令：#passreq=YES或者編輯/etc/login/文件，更改相應條目。檢

36、查是否每個用戶都設置了密碼檢查/etc/passwd和/etc/shadow,每個用戶的密碼欄是否為空。3、修改登錄login配置文件防止root遠程登錄建議超級用戶不要直接登錄，設置方法為在/etc/default/login文件中設置CONSOLE=/dev/null。這樣任何需要成為超級用戶的系統(tǒng)管理員都必須先用普通帳號登錄，然后用su命令切換成超級用戶，因為系統(tǒng)會記錄下用戶使用su命令的情況，以便審計的用戶行為。編輯/etc/default/login，加上：#IfCONSOLEisset，rootcanonlyloginonthatdevice.CONSOLE=/dev/consol

37、e記錄所有root登錄嘗試編輯/etc/default/login#SYSLOGdetermineswhetherthesyslog(3)LOG_AUTHfacilityshouldbeused#tologallrootloginsatlevelLOG_NOTICEandmultiplefailedlogin#attemptsatLOG_CSYSLOG=YES設置session超時時間編輯/etc/default/login，加上：#TIMEOUTsetsthenumberofseconds(between0and900)towaitbefore#abandoningaloginsession

38、.TIMEOUT=120設置缺省umask編輯/etc/default/login，加上：#UMASKsetstheinitialshellfilecreationmodemask.Seeumask(1).UMASK=027權限設置為750."rw-r"對于如下文件，同樣加上缺省umask:/etc/.login，/etc/profile，/etc/skel/local.cshrc/etc/skel/local.login，/etc/skel/file設置Shell環(huán)境變量編輯/etc/default/login，加上：#ALTSHELLdetermine

39、siftheSHELLenvironmentvariableshouldbesetALTSHELL=YES4、設置root的umask檢查root的.profile，確保umask為027或077。5、在所有path中，去掉所有"."途徑。檢查所有缺省啟動腳本和root啟動腳本，在所有途徑變量中刪除"."途徑，包括以下文件：/.login，/etc/.login，/etc/default/login，/.cshrc，/etc/skel/local.cshrc，/etc/skel/local.login，/etc/skel/file，/.

40、profile，/etc/profile6、使用sugroup來限制su,將可以su的用戶添加到這個組在/etc/group中創(chuàng)立特殊的組sugroup將系統(tǒng)管理員帳號加到這個組；改變/bin/su的權限為：r-sr-sr-x1rootsugroup#chmod550/bin/su#chmod+s/bin/su#chownroot:sugroup/bin/su#ls-al/bin/su-r-sr-s-1rootsugroup18360Jan151998/bin/su#grepsugroup/etc/groupsugroup:600:root，adm，wspher這樣，只有sugroup組中的用

41、戶可以使用su,提升為超級用戶，另外一個可行的方法是使用sudo來替代su。2.2.5系統(tǒng)啟動與關閉一系統(tǒng)啟動和關閉1 、檢查系統(tǒng)的啟動和關閉程序也就是/etc/init.d、/etc/rc.X目錄和/etc/inittab文件，將這些文件和目錄的權限設為只有超級用戶可寫。2 、在rc.x目錄中將不需要的效勞禁用，可以采取一定的格式進展更名處理，以便在有需要的時候可以重新啟動效勞。更名舉例如下：mv/etc/rc3.d/S92volmgt/etc/rc3.d/no_use_S92volmgt以下效勞原那么上應該禁用，但是系統(tǒng)管理員可以根據(jù)系統(tǒng)應用需求，按照系統(tǒng)最小化原那么進展取舍：snmpdx

42、autofs(Automounter)volmgt(VolumeDeamon)lpsched(LPprintservice)nscd(NameServiceCacheDaemon）Sendmail（注意，假設確要使用sendmail處理郵件信息，那么請參照“網(wǎng)絡效勞平安配置的相關內(nèi)容進展配置）keyserv（注意KeyservDeamon在安裝了NIS+或NFS才使用，假設啟動時使用了-d的選項，那么默認的"nobody"key是禁用的）另外，rpcbind提供遠程呼叫，依靠遠程系統(tǒng)的IP地址和遠程用戶的ID進展驗證，這樣很容易偽造和改變。建議關閉rpcbind效勞。3 、

43、制止所有DMI效勞制止所有DMI效勞：mv/etc/rc3.d/S?dmi/etc/rc3.d/no_use?dmi/etc/init.d/init.dmi中啟動的dmi效勞有：/usr/lib/dmi/dmispd/usr/lib/dmi/snmpXdmid/etc/dmi/ciagent/ciinvoke4、檢查所有的.rhosts文件.rhosts允許不要密碼遠程訪問,預先生成$HOME/.rhosts文件，并且設置為0000,防止被寫入+。攻擊者經(jīng)常使用類似符號鏈接或者利用ROOTSHELL寫入。注：這種情況會導致一些如SSH的RCP命令無法使用需要使用$HOME/.rhosts文件的

44、一些命令touch/.rhosts；chmod0/.rhosts.rhosts可以被普通用戶所創(chuàng)立在個人目錄下。推薦使用腳本來發(fā)現(xiàn).rhosts文件。并且利用cron自動檢查,報告給特定用戶。ScriptforFind.rhost:#!/bin/sh/usr/bin/find/home-name.rhosts|（cat<<EOFthisonlyfind.rhost:EOFcat）|/bin/mailx-s"Contentof.rhostsfileauditreport"yourmailbox5、制止使用.rhosts認證在/etc/pam.conf中刪除rlog

45、inauthsufficient/usr/lib/security/pam_rhosts_auth.so.1將rsh的行改為:rshauthrequired/usr/lib/security/pam_unix.so.16、檢查信任關系檢查/etc/hosts.equiv文件，確保為空二審核啟動和關閉機制由于在系統(tǒng)啟動和關閉階段，系統(tǒng)的保護措施暫時沒有運行或訪問，因此，提請系統(tǒng)管理員需要特別關注系統(tǒng)啟動和關閉腳本的完好性?？梢越柚ぞ邔徍讼到y(tǒng)的啟動和關閉腳本，如Tripwire。需要審核的文件和目錄包括：/etc/rc*.X、/etc/inetd.conf等。2.2.6 內(nèi)核調整修正堆棧錯誤，防

46、止溢出2.6以后版本已修正把堆棧設置為不可執(zhí)行。步驟方法為：把下面兩行參加/etc/system中setnoexec_user_stack=1setnoexec_user_stack_log=1然后改變文件權限：#chmod644/etc/system不可執(zhí)行堆?？梢栽谝欢ǔ潭壬系钟跅tack的緩沖區(qū)溢出攻擊，但是，緩沖區(qū)溢出的攻擊手段可以有多種方式實現(xiàn)，基于棧的溢出攻擊只是其中的一種攻擊手段，因此，設置不可執(zhí)行堆棧不能抵御其它類型的緩沖區(qū)溢出攻擊，如基于堆Heap的溢出攻擊、基于函數(shù)指針的溢出攻擊等。系統(tǒng)管理員應該時常關注系統(tǒng)平安破綻信息，及時采取補救措施。建議制止系統(tǒng)進展核心轉儲co

47、redump，因為它會占用大量磁盤空間，并且可能會泄露某些敏感信息。設置方法為：在/etc/system中參加setsys:coredumpsize=0注意：以上三項配置都要重啟系統(tǒng)后才能生效。2.2.7 日志和審核1 、設置適宜cronlogfiles編輯配置文件/etc/cron.d/logchecker中LIMIT項。系統(tǒng)管理員可以根據(jù)實際經(jīng)歷設置，一般要考慮的因素是日志查看的周期與通常情況下日志產(chǎn)生的信息量大小，建議對cron日志的審核以7天為一個周期。2 、記錄所有inetd效勞編輯/etc/init.d/inetsvc，查找inetd的啟動選項，例如如下：/usr/sbin/ine

48、td-s-t&3、修改syslog.conf編輯syslog.conf，增加*.debug/var/adm/compass.messages#記錄debug信息/var/log/authlog4、創(chuàng)立/var/adm/loginlog來記錄登錄失敗信息touch/var/adm/loginlogchmod600/var/adm/loginlogchownroot/var/adm/loginlogchgrpsys/var/adm/loginlog5、輔助工具建議使用Tripwire對系統(tǒng)文件進展完好性檢查，這樣能有效防止木馬。詳細Tripwire的安裝與使用，請參見附錄

49、。建議安裝日志檢測工具，比方swatch，以進步日志分析的效率。詳細swatch的安裝和使用，請參見附錄。2.2.8其它1、cron和at是定時執(zhí)行命令。因此要嚴格限制可以執(zhí)行cronat命令的用戶，以防止被入侵者所利用。設置方法為：創(chuàng)立一個空的/etc/cron.d/cron.deny/etc/cron.d/at.deny文件，然后把可以執(zhí)行cronat命令的用戶加到/etc/cron.d/cron.allow/etc/cron.d/at.allow文件中。2、不要使用crontab-e命令來配置cron，因為它會把用戶的crontab文件的一份所有用戶都可讀的副本放在/tmp目錄下，入侵者

50、就可以根據(jù)這個副本探究出與cron項有關的可能的平安缺陷。建議的設置方法為：首先輸入命令crontab-l>mycronfile；編輯mycronfile文件，完成所有需要的修改；最后輸入命令crontab<mycrontab。2.3系統(tǒng)網(wǎng)絡效勞平安配置2.3.1 網(wǎng)絡接口的平安配置利用ndd命令，可以檢測或者更改網(wǎng)絡設備驅動程序的特性。在/etc/init.d/inetinit啟動腳本中增加以下各條命令，然后重啟系統(tǒng)，可以進步網(wǎng)絡的平安性。1. 忽略并且不發(fā)送ICMP重定向報文假設系統(tǒng)使用了動態(tài)路由機制，那么攻擊者可能會利用ICMP重定向報文更改路由信息，導致IP數(shù)據(jù)包流向轉變，

51、形成回絕效勞攻擊或者被監(jiān)聽。忽略ICMP重定向報文/usr/sbin/ndd-set/dev/ipip_ignore_redirect1默認值為0制止發(fā)送ICMP重定向報文/usr/sbin/ndd-set/dev/ipip_send_redirects0默認值為12. 關閉數(shù)據(jù)包轉發(fā)除非系統(tǒng)需要路由轉發(fā)功能，否那么應該關閉數(shù)據(jù)包轉發(fā)。/usr/sbin/ndd-set/dev/ipip_forwarding03. 不轉發(fā)源路由數(shù)據(jù)包源路由數(shù)據(jù)包是指由發(fā)送方指定傳送途徑的數(shù)據(jù)包。假設系統(tǒng)轉發(fā)源路由數(shù)據(jù)包，那么會帶來潛在的平安隱患，入侵者可以將大量數(shù)據(jù)流引向攻擊目的形成回絕效勞攻擊。/usr/s

52、bin/ndd-set/dev/ipip_forward_src_routed04. 設置更平安的TCP初始序列號產(chǎn)生方式TCP_STRONG_ISS的值決定TCP初始序列號的產(chǎn)生方式，它的可能取值有三個： 0:舊式的序列號產(chǎn)生方式 1:經(jīng)過改進的序列號產(chǎn)生方式，每次建立新TCP連接的初始序列號不再連續(xù)取值，而是在此根底上增加一個隨機的分量，這樣就增大了TCP初始序列號猜測攻擊的難度。 2:使用新型的序列號產(chǎn)生方法，杜絕根據(jù)一個初始序列號猜測下一次連接初始序列號的可能性。/usr/sbin/ndd-set/dev/tcptcp_strong_iss2默認值為15. 縮短ARP緩存有效期ARP緩

53、存有效期假設太長，遭受ARP欺騙攻擊后需要更長時間恢復。雖然縮短ARP緩存有效期不能真正阻止ARP欺騙攻擊，但是加大了攻擊難度。/usr/sbin/ndd-set/dev/arparp_cleanup_interval60000以毫秒為單位，缺省值為300000，60000只是建議值，也可以根據(jù)自己需要取其它值。2.3.2 網(wǎng)絡訪問控制網(wǎng)絡系統(tǒng)的平安建立在這個根本原理之上：去掉不必要的網(wǎng)絡訪問，在所需要的網(wǎng)絡訪問周圍建立訪問控制。一停頓運行不必要的網(wǎng)絡效勞1 、停頓由inetd啟動的網(wǎng)絡效勞由internet效勞器過程inetd啟動的網(wǎng)絡效勞是由兩個配置文件/etc/inet/services

54、和/etc/inet/inetd.conf來配置的。/etc/inet/services文件指定每個效勞的端口號和端口類型，該配置文件的部分例如如下：ftp21/tcptelnet23/tcpsmtp25/tcpmail/etc/inet/inetd.conf文件指定效勞所對應的系統(tǒng)效勞程序，該配置文件的部分例如如下：ftpstreamtcpnowaitroot/usr/sbin/in.ftpdin.ftpdtelnetstreamtcpnowaitroot/usr/sbin/in.telnetdin.telnetd當要停頓某個效勞，如ftp、telnet等時，只要注釋掉文件/etc/inet

55、/services和/etc/inet/inetd.con中的相應條目，也就是在那一行的開頭加上字符，然后讓inetd重新讀配置文件，過程例如如下：#ps-ef|grepinetdroot14910Jan18?0:00/usr/sbin/inetd-sroot2462124605015:53:01pts/10:00grepinetd#kill-HUP149以上第一條命令是為了獲得inetd的進程號，例如中輸出的第二列內(nèi)容就是進程號(149)，然后將該進程號填入第二條命令的相應位置。2 、停頓由rc腳本啟動的網(wǎng)絡效勞有些網(wǎng)絡效勞不是由inetd來啟動，而是由自己的rc文件來啟動的，如：sendm

56、ail/etc/rc2.d/S88sendmailautomounter/etc/rc2.d/S74autofsntp/etc/rc2.d/S74xntpdsyslog/etc/rc2.d/S74syslog打印效勞/etc/rc2.d/S80lpapache/etc/rc3.d/S50apache要停頓以上效勞，只需用mv命令把它們的啟動文件改名，如把/etc/rc2.d/S88sendmail改名為/etc/rc2.d/X88sendmail，然后先查找出相應的進程號進程號查找方法同上，以下不再贅述，再用“kill-9進程號停頓相應的進程。要停頓DNS效勞時，在文件/etc/rc2.d/S72inetsvc中把運行d的一項注釋掉，然后再停頓相應的進程。要停頓NFS效勞器時，首先注釋掉/etc/dfs/dfstab文件中的所有條目，然后用mv命令把/etc/rc3.d/S15nfs.server文件改名為/etc/rc3.d/X15nfs.server，最后停頓nfsd進程。要停頓NFS客戶端時，首先注釋掉/etc/vfstab文件中fstype為nfs的所有條目，接著用umount命令釋放所有NFS裝入的文件