《Solaris安全设置和日志管理》由会员分享,可在线阅读,更多相关《Solaris安全设置和日志管理(23页珍藏版)》请在金锄头文库上搜索。
1、Solaris安全设置和日志管理PROMOpenBoot安全级别nNone:不需要任何口令nCommand:除了boot和go之外所有命令都需要口令nFull:除了go命令之外所有命令都需要口令设置OpenBoot口令eepromsecurity-password改变安全级别setenvsecurity-mode=command防止堆栈的缓冲区溢出n#cp/etc/system/etc/system.backupn#vi/etc/systemsetnoexec_user_stack=1setnoexec_user_stack_log=1SUID/SGIDnrealuserID用户登录IDwho
2、amineffectiveuserID用户会话过程IDwhoamiE.g.获得bash的rootSUID#cp/bin/bash/home/badman/.bash#chmod4777/home/badman/.bash定期察看系统中SUID和SGID文件系统的启动和关闭n更改不必要的启动文件检查所有在/etc/rc2.d和/etc/rc3.d以S开头的文件,去掉不必要的服务以下/etc/init.d/中的服务是必须的:K15rrcdS05RMTMPFILESK15solvedS20sysetupS72inetsvcS99auditS21perfS99dtloginK25snmpdSS99ne
3、tconfigK50pop3S74syslogS75cronS92rtvc-configK60nfs.serverK65nfs.clientS69inetK92volmgtREADMES95SUNWmd.syncS01MOUNTFSYSS71sysid.sysS88utmpdS95rrcd备份n系统初装时的备份n定期备份n增量式备份n特别备份tarufsdumpe.g.Performafulllevel0backupofthe/export/homefilesystem#umount/export/home#fsck/export/home#ufsdump0uf/dev/rmt/0/expor
4、t/homeufsrestore用户账号和环境安全n口令管理passwd-n30user#强迫用户每30天修改一次密码passwd-fuser#强迫用户在下一次登录时修改口令passwd-n2-x1user#禁止用户修改口令passwd-luser#封锁用户账号,禁止登录n删除不必要的帐号sysuucpnuucplisten等等n在/etc/shadow的password域中放上NP字符n取消ROOT的远程登陆/etc/default/login/etc/ftpusers/etc/shellsn配置ROOT的环境将umask设为077或者027查看用户环境中路径设置情况,不要有./nNIS的安
5、全问题/var/yp/securenets加入信任主机采用NIS+用户账号和环境安全(cont.)nTelnet和ftpinetd守护进程/etc/inetd.confftpstreamtcpnowaitroot/usr/local/bin/tcpd/usr/local/bin/wu-ftpdtelnetstreamtcpnowaitroot/usr/local/bin/tcpd/usr/sbin/in.telnetd/etc/servicesftp21/tcptelnet23/tcp取消不必要的服务,然后killHUPinetdPID网络服务网络服务(cont.)nr服务(见下页图)1)/e
6、tc/hosts.equiv2)$HOME/.rhosts3)修改/etc/inetd.confntcpd的访问控制firstcheck/etc/hosts.allowe.g.ALL:172.16.3.0/255.255.255.0secondcheck/etc/hosts.denye.g.ALL:/usr/bin/mailx-s%d:connectionattemptfrom%网络服务(cont.)网络服务(cont.)n取消NFS服务修改/etc/dfs/dfstabNFSserver启动脚本:/etc/rc3.d/S15nfs.serverNFSclient启动脚本:/etc/rc2.d
7、/S73nfs.clientnrpcbind安全依靠远程系统的IP地址和远程用户的UID来验证/etc/rc2.d/S71RPCnddn修改核心和TCP/IP的设备参数ndd/dev/arp?ndd/dev/icmp?ndd/dev/ip?ndd/dev/tcp?#ndd-set/dev/arparp_debug00:代表特性禁止#ndd-set/dev/arparp_debug11:代表特性允许ndd(cont.)n减少ARP过期时间#ndd-set/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval600
8、0060000=60000ms默认是300000n建立静态ARP表#08:00:20:ba:a1:08:00:20:ee:de:1f#arp-ffile1n禁止ARP#ifconfiginterface-arp(前提是使用静态的ARP表)ndd(cont.)n关闭IP转发#ndd-set/dev/ipip_forwarding0n严格限定多主宿主机#ndd-set/dev/ipip_strict_dst_multihoning1n关闭转发包广播#ndd-set/dev/ipip-forward_directed_broadcasts0n关闭转发源路由包#ndd-set/dev/ipip_for
9、ward_src_routed0ndd(cont.)n关闭对echo广播的响应#ndd-set/dev/ipip_respond_to_echo_boadcast0n关闭响应时间戳广播#ndd-set/dev/ipip_respond_to_timestamp_broadcast0n关闭地址掩码广播#ndd-set/dev/ipip_respind_to_address_mask_broadcast0n忽略ICMP重定向错误报文#ndd-set/dev/ipip_ignore_redirect1ndd(cont.)n禁止本机发送错误重定向报文#ndd-set/dev/ipip_send_red
10、irects0n关闭时间戳响应#ndd-set/dev/ipip_respond_to_timestamp0n提高未连接队列大小(SYNfloodattack)#ndd-set/dev/tcptcp_conn_req_max_q04096n提高连接队列大小(连接耗尽攻击)#ndd-set/dev/tcptcp_conn_req_max_q1024IP欺骗n攻击过程1)使被信任主机的网络暂时瘫痪2)连接到目标机的某个端口来猜测ISN基值和增加规律3)把源址址伪装成被信任主机,发送带有SYN标志的数据段请求连接4)等待目标机发送SYN+ACK包给已经瘫痪的主机5)再次伪装成被信任主机向目标机发送的
11、ACK,此时发送的数据段带有预测的目标机的ISN+16)连接建立,发送命令请求n改进办法修改/etc/default/inetinit使用更好的随机ISN生成方法TCP_STRONG_ISS=2cron和atn查看所有的cron任务#crontabl/var/spool/cron/crontabsncron日志/etc/default/cron里设置CRONLOG=yesncron用户配置/etc/cron.d/cron.allow和/etc/cron.d/cron.denynat用户配置/etc/cron.d/at.allow和/etc/cron.d/at.deny系统日志n/etc/sys
12、log.confExample:*.err/var/adm/messages*.erristheselectorfield;*isthefacility,.isthedelimiter,anderristhelevelofthemessage/var/adm/messagesIstheactionfieldnNotecanusethe*toselectallfacilities(forexample*.err);cannotuseittoselectalllevelsforafacility(forexample,kern.*)系统日志(cont.)nAnothersample/etc/sys
13、log.conf#user1anduser2receivealertmessagesiftheyareloggedin.*.alertuser1,user2#Alllogged-inuserswillreceiveemergmessages.*.emerg*#IftheLOGHOSTvariablewasevaluatedasTRUE,messagesare#forwardedtothesyslogdoftheremotesystem.mail.debugifdef(LOGHOST,/var/log/authlog,loghost)nLOGHOSTexampleinhost1#more/etc
14、/hosts192.9.200.1host1loghost/LOGHOSTisTRUE系统日志(cont.)nEnablesTCPtracing#grepinetd/etc/init.d/inetsvc/usr/sbin/inetd-s-t& /Addthetoption#grepdaemon.notice/etc/syslog.conf*.err;kern.debug;daemon.notice;mail.crit/var/adm/messages#/etc/init.d/syslogstop#/etc/init.d/syslogstart/restartthesyslogddaemonnF
15、orwardthemessagestotheprinter#vi/etc/syslog.conf*.err;kern.debug;daemon.notice;mail.crit /dev/lp0系统日志(cont.)ExampleofsyslogLoggedEntry补丁管理n显示系统中安装的所有patch及版本showrevppatchaddpn安装patchpatchaddNote:-doptioninstructsthecommandsnottosavecopiesofthefilesbeingupdatedorreplacedinthe/var/sadm/patchdirectory.However,italsopreventsbeingabletobackoutorremoveapatchfromthesystem.n删除patchpatchrm
