Solaris安全FAQ
参考资料:The Solaris Security FAQ by Peter Baer Galvin
1) (概述--略) 2) 怎样将Solaris配置得更加强壮? 2.1) 哪些文件的许可权限需要改变? 有个叫fix-modes的软件(ftp://ftp.fwi.uva.nl/pub/solaris/fix-modes.tar.gz)可以在 Solaris 2.4和2.5上运行并改变系统文件及目录的存取权限,这样会使非ROOT的用户更难 于更改系统文件或者取得ROOT权限。 2.2) 如何对ROOT的环境加以配置? 将umask设为077或者027. 查看你的环境中路径设置情况,不要有./ 2.3) 我该更改哪些启动文件? 通常情况下,你要检查所有在/etc/rc2.d和/etc/rc3.d以S开头的文件,所有并非必要的设备 或者服务都可以重命名(不要再以S开头),然后你可以重新启动,从/var/adm/messages中来 观察自启动的情况,并且从ps -elf的输出中加以检查。 2.4) 如何将ROOT的远程登陆取消? 在/etc/default/login里加上 "CONSOLE"行,在/etc/ftpusers里加上root。 2.5) 如何取消rlogin/rsh服务? 移去/etc/hosts.equiv和/.rhosts以及各home目录下的.rhosts,并且在/etc/inetd.conf中 把r系列服务都杀掉,然后找出inetd的进程号,重启它。 2.6) 哪些帐号是不必须的? 移去或者锁定那些不是必须的帐号,比如sys\uucp\nuucp\listen等等,简单的办法是在 /etc/shadow的password域中放上NP字符。 2.7) 怎样保护我的设备? 在文件/etc/logindevperm中包含了对系统设备的许可权限配置信息,应该检视里面的各项 设定并且手动赋予你所想要的许可权限。 对于抽取式的BSM设备需要设定只有single user允许进入。 2.8) 我应该将/etc的存取权限改为什么才安全? 用chmod -R g-w /etc命令来移去组用户对/etc的写权限。 2.9) Solaris机器充当路由器? 默认情况下,如果Solaris机器有超过一块的网卡的话,它将会在不同网卡间转发数据包,这一行为可 以在/etc/init.d/inetinit中得到控制。要在Solaris 2.4或者更低版本机器下关闭它,可以将 ndd -set /dev/ip ip_forwarding 0添加于/etc/init.d/inetinit的未尾。在Solaris 2.5 中,只要touch /etc/notrouter. 2.10) 如何取消automounter? Automounter是由/etc/auto_*这些配置文件控制的,要取消它,只要简单地移去这些文件, 并且/或者将/etc/rc2.d/S74autofs改名。 2.11) 如何取消NFS服务? NFS的共享输出是由/etc/dfs/dfstab文件管理的.可以删除它。要将NFS服务器的守护进程关闭 则可以重命名/etc/rc3.d/S15nfs.server。要防止一台机器成为NFS客户机,可以重命名文件 /etc/rc2.d/S73nfs.client——当重命名这些自启动文件时,要注意不要将文件的首字母设为 “S”。 2.12) 对cron任务我该注意些什么? 你得查看所有的cron任务——在/var/spool/cron/crontabs文件中你可以找到它们。还必须在 /etc/default/cron里设置了"CRONLOG=yes" 来记录corn的动作。 2.13) 使用动态路由有什么风险吗? 使用动态路由守护进程的机器用in.routed及in.rdisc来维护路由,这可能会大大增加路由协议的复杂程 度,而且路由更新会消耗相当大比便的可用带宽,因此在可能的情况下,还是建议你使用静态路由。 2.14) 何时及如何运用静态ARP? ARP是联系IP地址和以太网的协议(地址转换协议) 。默认地,Solaris机器动态地确定ARP地址,arp命令 可以用来静态地设定ARP表并且刷新它,如果你的系统里仅有少量无需更改的机器,那么这是一个很好的工具。 为了防止ARP欺骗,最好将受托机器的硬件地址作为永久条目保存在ARP的高速缓存中。 2.15) 运行rpcbind是不安全的吗? rpcbind是允许rpc请求和rpc服务之间相互连接的程序,但标准的rpc是不安全的:(,它使用的是"AUTH_UNIX" 验证, 也就是说它依靠的是远程系统的IP地址和远程用户的UID来验证。一般的系统可能需要某些rpc存在,但 对各种服务器如Web servers, ftp servers, mail servers, etc)最好将rpc服务关闭,你也可以通过 一些安全工具来确定rpc服务是否会影响到你系统的安全性。可以通过将/etc/rc2.d/S71RPC改名来禁止rpc。 2.16) /etc/utmp的权限应该如何设定? # chmod 644 /etc/utmp 2.17) 哪些程序可以去掉SUID位? 许多setgid和setuid程序都只是由root运行的,或者是由某些特定用户或组运行,那就可以将其setuid位 移去,下面是一个Solaris 2.6上setuid程序的列表,你应该根据自己的情况进行增减。 # find / -perm -4000 -print /usr/lib/lp/bin/netpr /usr/lib/fs/ufs/quota /usr/lib/fs/ufs/ufsdump /usr/lib/fs/ufs/ufsrestore /usr/lib/fs/vxfs/vxdump /usr/lib/fs/vxfs/vxquota /usr/lib/fs/vxfs/vxrestore /usr/lib/exrecover /usr/lib/pt_chmod /usr/lib/sendmail /usr/lib/utmp_update /usr/lib/acct/accton /usr/lib/uucp/remote.unknown /usr/lib/uucp/uucico /usr/lib/uucp/uusched /usr/lib/uucp/uuxqt /usr/lib/sendmail.orig /usr/openwin/lib/mkcookie /usr/openwin/bin/xlock /usr/openwin/bin/ff.core /usr/openwin/bin/kcms_configure /usr/openwin/bin/kcms_calibrate /usr/openwin/bin/sys-suspend /usr/dt/bin/dtaction /usr/dt/bin/dtappgather /usr/dt/bin/sdtcm_convert /usr/dt/bin/dtprintinfo /usr/dt/bin/dtsession /usr/bin/at /usr/bin/atq 上一篇:SUN系统的基本安全配置 下一篇:从Solaris上移除Netscape Message Server 更多相关文章
|
推荐文章
精彩文章
|
