教你怎么设置安全的SOLARIS系统一、帐号和口令安全策略1.1更改口令文件、影像文件、组文件的权限/etc/passwd 必须所有用户都可读,root用户可写?rw-r?r?/etc/shadow 只有root可读?r--------/etc/group 必须所有用户都可读,root用户可写?rw-r?r?1.2修改不必要的系统帐号移去或锁定那些系统帐号,比如sys、uucp、nuucp、listen、lp、adm等等,简单的办法是在/etc/shadow的password域中放上NP字符。
还能考虑将/etc/passwd文件中的shell 域设置成/bin/false1.3修改口令策略修改/etc/default/passwd文件MAXWEEKS=4 口令至少每隔4星期更改一次MINWEEKS=1 口令至多每隔1星期更改一次WARNWEEKS=3 修改口令后第三个星期会收到快要修改口令的信息PASSLENGTH=6 用户口令长度不少于6个字符二、用户授权安全策略2.1移去组及其他用户对/etc的写权限。
执行命令#chmod -R go-w /etc2.2禁止root远程登录在/etc/default/login中设置CONSOLE=/dev/concle2.3setuid和setgid特别权限。
Setuid是指设置程式的有效执行用户身份(uid)为该文件的属主,而不是调用该程式进程的用户身份。
Setgid和之类似。
Setuid和setgid用1s -1显示出来为s权限,存在于主人和属组的执行权限的位置上。
系统设置特别权限,使用户执行某些命令时,具有root的执行权限, 命令执行完成, root身份也随之消失。
因此特别权限关系系统的安全,可执行命令#find / -perm -4000 -print 寻找系统中具有setuid权限的文件,存为列表文件,定时检查有没有这之外的文件被设置了setuid权限。
2.4审计并日志所有以root身份的登陆情况添加或编辑/etc/default/login文件如下:SYSLOG= YESsyslog记录root的登陆失败,成功的情况。
2.5设置远程登陆会话超时时间添加或编辑/etc/default/login文件如下:TIMEOUT= 3002.6确定登陆需要密码验证添加或编辑/etc/default/login文件如下:PASSREQ= YES2.7 UMASK设置umask命令设置用户文件和目录的文件创建缺省屏蔽值,若将此命令放入.profile文件,就可控制该用户后续所建文件的存取许可.umask命令和chmod命令的作用正好相反,他告诉系统在创建文件时不给予什么存取许可.安装设置完操作系统之后确认root的umask设置是077或027,执行/usr/bin/umask [-S] 确认。
2.7.1增加或修改/etc/default/login文件中如下行UMASK=0272.7.2并增加上行到如下的文件中:/etc/.login /etc/.profile /etc/skel/local.cshre/etc/skel/local.login /etc/skel/local.profile2.8用户环境设置文件的PATH或LD_LIBRARY_PATH中移去“.” 。
从如下的文件中移走”.”,确认root的PATH环境变量设置是安全的,应该只包含/usr/bin:/sbin:/usr/sbin,避免当前工作目录.出目前PATH环境变量中,这有助于对抗特洛伊木马。
#echo $PATH | grep ":." 确认/.login /etc/.login /etc/default/login/.cshrc /etc/skel/local.profile /etc/skel/local.cshrc/.profile/etc/skel/local.login /etc/profile三、网络和服务安全策略3.1关闭不用的服务3.1.1在inetd.conf中关闭不用的服务首先复制/etc/inet/inetd.conf。
#cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup然后用vi编辑器编辑inetd.conf文件,对于需要注释掉的服务在相应行开头标记“#”字符即可。
3.1.2在Services中关闭不用的服务首先复制/etc/inet/services。
#cp /etc/inet/services /etc/inet/services.backup然后用vi编辑器编辑Services文件,对于需要注释掉的服务在相应行开头标记“#”字符即可。
在inetd.conf、services中进行修改后,找到inetd进程的ID号,用kill向其发送HUP信号进行刷新。
举例如下。
#ps -ef | grep inetd#kill -HUP 进程号或/usr/sbin/inetd ?s ?t增加-t选项以加强网络访问控制3.1.3根据需要关闭不用的服务可关闭如下服务:tftp、ypupdate(NIS程式)、dtspcd(邮件收发程式) 、rquotad、name、uucp(网络实用系统)、snmp(简单网络管理协议)等。
3.2关闭系统的自启动服务在系统/etc/rc*.d的目录下,根据需要停用以下服务:sendmail 把/etc/rc2.d/S88sendmai更名为tc/rc2.d/X88sendmailDNS 将/etc/rc2.d/S72inetsv注释掉d一项lp 把/etc/rc2.d/S80lp更名为/etc/rc2.d/X80lpuucp 把/etc/rc2.d/S70uucp更名为/etc/rc2.d/x70uucpsnmp把/etc/rc3.d/S76snmpdx和/etc/rc3.d/S77dmi 更名为/etc/rc3.d/s76snmpdx和/etc/rc3.d/s77dmiautoinstall 把/etc/rc2.d/S72autoinstallg更名为/etc/rc2.d/s72autoinstall3.3加强FTP服务安全3.3.1禁止系统用户的FTP服务把所有的系统账户加入到/etc/ftpusers(solaris 9的该文件现更改为/etc/ftpd/ftpusers)文件:root 、daemon、sys、bin、adm、lp、uucp、nuucp、listen、nobody3.3.2禁止FTP&服务暴露系统敏感信息编辑/etc/default/ftpd文件,如果文件不存在就新建一个,在文件中的加进入下一项: BANNER=XXXX(XXXX能任意改动为所有一个版本信息),将该系统版本信息屏蔽.3.3.3ftp服务会话日志记录/etc/inet/inetd.conf中的ftpd为(记录)ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd ?dl3.4加强Telnet服务安全3.4.1禁止Telnet服务暴露系统敏感信息防止telnetd banner泄露信息,修改/etc/default/telnetd文件,加入以下一项:BANNER=XXXX(XXXX能任意改动为所有一个版本信息),将该系统版本信息屏蔽.3.4.2更改Telnet服务端口号修改文件/etc/services的Telnet一项,将端口号改为非23,使用Telnet服务时需注明端口号。
3.5加强NFS服务安全检查/etc/dfs/dfstab文件share语句,缺省时共享目录为可读可写,加入“-o”选项增加安全,“-o rw”可读可写,“-o ro”只读,可授权某系统和某用户。
3.6防止TCP序列号预测攻击(ip欺骗)在/etc/default/inetinit中增加设置来防止TCP序列号预测攻击(ip欺骗)TCP_STRONG_ISS=23.7系统路由安全如果Solaris机器有超过一块的网卡的话,他将会在不同网卡间转发数据包,这一行为能在/etc/init.d/inetinit中得到控制。
要在Solaris 2.4或更低版本机器下关闭他,能将ndd -set /dev/ip ip_forwarding 0添加于在inetinit文件未尾。
在Solaris 2.5以上,只要touch/etc/notrouter.网络系统用静态路由比较安全。
3.8调整网络参数,加强网络安全使IP forwarding和sourec routing(源路)由无效在Inetinit中使IP forwarding和sourec routing(源路)由无效(如果有超过一个网络接口的话)。
在/etc/init.d/inetinit中增加下面所示设置:禁止系统转发定向广播包#ndd -set /dev/ip ip_forward_directed_broadcasts 0关闭原路由寻址:#ndd -set /dev/ip ip_forward_src_routed 0禁止系统转发IP包:#ndd -set /dev/ip ip_forwarding 0缩短ARP的cache保存时间: (default is 5 min)#ndd -set /dev/arp arp_cleanup_interval 2 min关闭echo广播来防止ping攻击(# default is 1 )#ndd -set /dev/ip ip_respond_to_echo_broadcast 0四、防止堆栈缓冲益出安全策略入侵者常常使用的一种利用系统漏洞的方式是堆栈溢出,他们在堆栈里巧妙地插入一段代码,利用他们的溢出来执行,以获得对系统的某种权限。
要让你的系统在堆栈缓冲溢出攻击中更不易受侵害,你能在/etc/system里加上如下语句:set noexec_user_stack=1set noexec_user_stack_log =1第一句能防止在堆栈中执行插入的代码,第二句则是在入侵者想运行exploit的时候会做记录。
五、日志系统安全策略5.1定时检查系统日志文件Solaris系统通过syslogd进程运行日志系统,设置文件/etc/syslog.conf,可编辑此文件让日志系统记录更多信息,需重启/usr/sbin/syslogd进程,重读取设置文件。
通常日志系统的文件分别存放在两个位置,/var/adm保存本地系统日志,/var/log保存登录其他系统时日志。
5.2设置utmpx和wtmpx文件权限,确保日志系统安全。