Solaris安全加固和Bind安装配置.docx
《Solaris安全加固和Bind安装配置.docx》由会员分享,可在线阅读,更多相关《Solaris安全加固和Bind安装配置.docx(13页珍藏版)》请在冰豆网上搜索。
Solaris安全加固和Bind安装配置
Solaris安全加固和Bind安装配置
一.安全配置
1禁用系统帐号并修改相关文件的访问权限
修改/etc/passwd文件让系统帐号没有shell
chmod644/etc/passwd
600/etc/shadow
644/etc/group
644/etc/system
chmod–Rg-w/etc
2修改配置文件
/etc/default/passwd
PASSLENGTH=6
/etc/default/login
LCONSOLE=/dev/console
LSYSLOG=YES
LTIMEOUT=120
LPASSREQ=YES#确定登陆需要密码验证
UMASK=027
/etc/default/cron
CRONLOG=YES
3配置并且限制su
/etc/default/su
SYSLOG=YES
SULOG=/var/adm/sulog
chmod550/bin/su
chmod+s/bin/su
groupaddsugroup
chownroot.sugroup/bin/su
4修改/etc/inetd.conf文件,关闭超级进程
使用#注释不用的服务,只留下:
ftpstreamtcpnowaitroot/usr/sbin/in.ftpdin.ftpd//
telnetstreamtcpnowaitroot/usr/sbin/in.telnetdin.telnetd//如启动ssh则注释掉
timestreamtcpnowaitrootinternal
timedgramudpwaitrootinternal
echostreamtcpnowaitrootinternal
echodgramudpwaitrootinternal
discardstreamtcpnowaitrootinternal
discarddgramudpwaitrootinternal
daytimestreamtcpnowaitrootinternal
daytimedgramudpwaitrootinternal
rstatd/2-4tlirpc/datagram_vwaitroot/usr/lib/netsvc/rstat/rpc.rstatdrpc.rstatd//性能监测也可去掉
fsstreamtcpwaitnobody/usr/openwin/lib/fs.autofs
100083/1tlirpc/tcpwaitroot/usr/dt/bin/rpc.ttdbserverdrpc.ttdbserverd
在只需要不多图形操作的服务器或是要保证相当的安全,你也许应该关掉字体服务fs,也可以关掉系统性能监视器rstatd和tooltalk服务器ttdbserverd。
事实上在确实需要安全的机器上
你甚至应该注释掉telnet和ftp。
你可以用grep找出机器能过inetd所提供的服务:
grep-v"^#"/etc/inetd.conf
这将返回/etc/inetd.conf中所有没被注释掉的行。
在/etc/inetd.conf中做出改变之后,找到inetd进程的id号,用kill向它发送HUP信号来刷新
它。
一定要确保kill了inetd进程后,它还在运行,例如:
root@multics:
ps-ef|grepinetd
root1961015:
32:
14?
0:
00/usr/sbin/inetd-s
root@multics:
kill-HUP196
root@multics:
ps-ef|grepinetd
root1961015:
32:
14?
0:
00/usr/sbin/inetd-s
5.修改文件:
/etc/rcx.d关闭不需要的服务
去掉:
S01MOUNTFSYS+加载文件系统/******启动
S05RMTMPFILES+清空/tmp文件系统过程按数字大小的顺序为准
S10lu=当运行liveupdate后清理系统
S15nfs.server-启动nfs服务器NFS网络文件服务器
S13kdc.master-启动Kerberos服务器
S14kdc-启动Kerberos服务器Kerberos认证服务器
S16boot.server-启动bootp服务器
S20sysetup+设置系统初始参数
S21perf=性能记账服务(无效)
S+配置基本网络参数
S34dhcp=启动dhcp
S40llc2+启动ClassIIlogicallinkcontroldriver逻辑链路控制程序驱动
S42ncakmod=启动SolarisNetworkCacheandAccelerator(NCA)NCA网络缓存加速驱动,可以提高HTTPServer吞吐率
S47pppd-启动拨号访问服务器进程串行线拨号访问服务器
S50apache-启动apache服务器
S69inet=启动inetd进程Internet服务超级进程,配置文件/etc/inetd.conf,启动一系列
服务,如telnet/ftp等。
s70uucp-启动uucpuucp服务,无用
S71rpc+启动rpcbind服务rpcbind(RPCPortmap服务),如果需要CDE的话,这个进程是必需的
S71sysid.sys+配置一些系统参数
S71ldap.client-启动LDAP客户端
S72directory-启动目录服务
S72inetsvc+启动inetserver,包含named/nis启动名字解析服务,包含named和nis两部分
s72slpd-启动slpd打印服务系统的一部分
S72autoinstall=启动自动安装守护进程当放入sun兼容的媒体介质时,会自动启动安装脚本
S73cachefs.daemon-启动cachefsdNFS缓存服务,可以提高NFS吞吐率
S73nfs.client=启动nfs客户端NFS客户端程序
S74syslog+启动syslog系统日志守护进程,必需
s74autofs-启动automountfsd当使用NFS时,这个进程会自动加载或卸载无用的用户网络文件系统配置文件/etc/auto_home和auto_master但是当没有使用nfs时,这个进程会对系统管理造成一些负面影响
s74xntpd-启动网络时间同步服务
S75cron+启动crontab服务系统任务自动调度守护进程
S75savecore+
S76nscd+启动nscd,名字服务缓存DNS名字缓存服务
S76snmpdx-启动snmp服务器 启动SNMP服务,允许远程网络管理
S77dmi-启动snmp-dmi服务SNMP子服务
S80spc-启动lpd打印守护进程打印服务系统的一部分
S80lp-启动lpd打印调度守护进程打印服务系统的一部分
S80mipagent-启动MobileIP代理
S85lmgrd+启动flexlmlicense服务器SolarisLicense管理服务器
85power+启动电源守护进程
S88utmpd+启动utmpd
s88sendmail-启动sendmail
S89PRESERVE=保留,无效
S89sshd+启动sshd服务器
S90wbem=启动wbem,基于web的管理界面WBEM,Solaris系统管理界面服务器,可以使用/usr/sadm/bin/smc启动客户端程序连接管理
S90samba-启动samba服务器SambaCIFS网络文件服务器
S93cacheos.finish–
S94ncalogd=启动SolarisNetworkCacheandAcceleratorLOGdNCA进程日志
S95IIim+启动输入法守护进程 Solaris国际化支持的一部分,启动东亚语言输入法
S95svm.sync+启动devfsadm,devfs同步进程监控系统硬件,使/dev与/devices设备文同步
S99audit启动BSM审计进程SolarisBaseSecurieyModula,启动SolarisC2安全审计默认未动
S99dtlogin=启动CDE登录进程SolarisCDE图形界面启动进程
说明:
在上面的启动脚本说明中,第二个域说明服务的必要性,个人的经验总结。
+代表必须服务,系统正常运行必须
=代表可选服务,由用户环境决定
-代表无效,不必要,或不安全的服务
*****************/////
Snmpfs
Volmgt#VolumeDeamon
lpsched#lpprintservice
sendmail
atofsautomounter
nscdnamingServicesCachingDaemon名字服务缓冲守护程序
xntpdntp时间服务
99dtlogin使用图形控制台登录
S80lp,S80spc打印服务
rpcunix一种远程认证服务
uucp可以引起缓冲区溢出问题,常被黑客用来攻击。
主要修改/etc/rc2.d和/etc/rc3.d将其中的文件改为不是以S开头的
(主要有:
sendmailnfsautomount等)可以修改名字也可以删除
如:
rm/etc/rc2.d/{S74autofs,S,S71sysid.sys,S72autoinstall}
rm/etc/rc2.d/{S93cacheos.finish,S73cachefs.daemon,S80PRESERVE}
rm/etc/rc2.d/{S85power,K07dmi}
rm/etc/rc3.d/S77dmi
Ifyouhaveserver/developerpackages:
rm/etc/rc2.d/{S47asppp,S89bdconfig,S70uucp}
rm/etc/rc2.d/{S73nfs.client,K28nfs.server}/etc/rc3.d/S15nfs.server/etc/dfs/dfstab
×××修改后重新启动系统,使配置生效。
用ps-elf检查是否还有无关进程启动。
6.使用静态路由
touch/etc/notroute
对于Solaris2.5(或者更高版本),简单地"touch/etc/notrouter"即可。
注意,启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。
或者在/etc/defaultrouter添加路由
routeaddnet-addrsubnet-maskrouterhops
7.删除/etc/hosts.equiv和/.rhosts文件,编辑/etc/inetd.conf文件,屏蔽所有r系列服务。
即不允许不经过验证的远程服务
8. 在/etc/system中增加如下设置来防止某些缓冲溢出攻击。
这些保护是那些需在堆栈中执行的攻击方式。
但需要硬件的支持(只在sun4u/sun4d/sun4m系统中有效):
setnoexec_user_stack=1
setnoexec_user_stack_log=1
9在Inetinit中是IPforwarding和sourecrouting(源路)由无效(假如有超过一个网络接口的话)。
在/etc/init.d/inetinit中增加下面所示设置:
ndd-set/dev/ipip_forward_directed_broadcasts0
ndd-set/dev/ipip_forward_src_routed0
ndd-set/dev/ipip_forwarding0
在/etc/default/inetinit中增加如下的生成初始化序列号设置来防 止TCP序列号预测攻击(ip欺骗):
TCP_STRONG_ISS=2
10.TELNET
描述:
防止telnet程序现实系统版本信息
安全层面:
远程
解决方法:
移除/etc/default/telnetd文件里的信息:
Banner=””
加入/etc/default/telnetd文件不存在,按如下步骤操作:
touch/etc/default/telnetd
echo"BANNER=\"\"">>/etc/default/telnetd
chmod444/etc/default/telnetd
11.确认root的PATH环境变量设置是安全的,应该只包含/usr/bin:
/sbin:
/usr/sbin,
避免当前工作目录.出现在PATH环境变量中,这有助于对抗特洛伊木马。
echo$PATH|grep":
."确认
12.添加或修改/etc/rc2.d/S?
?
inet
缩短ARP缓存的存在周期
ndd-set/dev/arparp_cleanup_interval60000/*1min(defaultis5min)*/
缩短条目在arp-table里刷新的时间
ndd-set/dev/ipip_ire_flush_interval60000/*1min(defaultis20min)*/
启动时禁止源路由
ndd-set/dev/ipip_forward_src_routed0#defaultis1
防止系统在启动时启动ip转发
ndd-set/dev/ipip_forwarding0#defaultis1
设置系统禁止ip包转发
ndd-set/dev/ipip_ignore_redirect1#defaultis0
设置系统精确的多路寻址
ndd-set/dev/ipip_strict_dst_multihoming1#defaultis0
13.#eepromsecurity-mode=command命令来改变openboot的安全级别到command级
二.配置系统和网络
1./etc/hostname.interface包含主机名和ip地址
/etc/hostname:
eriX:
Y文件,其中的X代表物理设备接口,Y代表虚拟的接口编号。
2./etc/nodename文件包含着本地计算机的名字
3./etc/defaultdomain文件这个文件包含着所本地主机的域名。
4./etc/defaultrouter文件这个文件包含着主机的默认路由地址。
5.主机数据库主机数据库包含着IP地址和系统的主机名/etc/hosts或者/etc/inet/hosts
6.子网掩码数据库
/etc/netmasks或者/etc/inet/netmasks
7.dns配置
/etc/nsswitch.conf
输入:
hosts:
filesdns(注:
原先为hosts:
files,改成hosts:
filesdns)
i/etc/resol.conf(注:
若无此文件,请创建)
输入:
domain
nameserer10.27.1.30(注:
首选DNS)
nameserer202.102.24.35(注:
备选DNS)
init6重新启动
三.安装配置bind
1.
tar-zxvfbind-9.x..x.tat.gz
cdbind-9.x.x
./configure–prefix=/usr/local/named
make;makeinstall
2.
mkdir–p/chroot/naned
cd/chroot/named
mkdiretc/namedvar/rundev
groupaddnamed
useradd–gnamed–s/bin/nologin–d/chroot/namednamed
passwd–lnamed
mkmoddev/randomc13
mknoddev/nullc15
mknoddev/zeroc18
ln–s/usr/share/zoneinfo/Asia/Shanghaietc/localtime
3.
vi/chroot/named/etc/named.conf
options{
directory“/etc/named”;
pid-file/var/run/named.pid”;
zone“.”{
typehint;
file“name.root”;
};
zone“localhost”{
typemaster;
file“db.localhost”;
};
zone“0.0.127.in-addr.arpa”{
typemaster;
file“db.local”;
};
zone“”{
typemaster;
file“db.shipengbo”;
};
zone“3.2.1.in-addr.arpa”{
typemaster;
file“db.shipengbo.addr”;
};
};
4
1>dig>/chroot/named/etc/named/name.root.
2>vi/chroot/named/namedb/db.localhost
$TTL86400
$ORIGINlocalhost.
@1DINSOA@root(
42;serial(d.adams)
3H;refresh
15M;retry
1W;expiry
1D);minimum
1DINNS@
1DINA127.0.0.1
3>vi/chroot/named/namedb/db.local
$TTL86400
@INSOAlocalhost.root.localhost.(
2005022700;Serial
28800;Refresh
14400;Retry
3600000;Expire
86400);Minimum
INNSlocalhost.
1INPTRlocalhost.
4>vi/chroot/named/etc/namedb/db.shipengbo
TTL1D
@INSOA..(
1053891162
3H
15M
1W
1D)
INNS.
INMX5.
wwwA1.2.3.4
ftpCNAME.
5>vi/chroot/named/etc/namedb/db.shipengbo.addr
TTL1D
@INSOA..(
1053891162
3H
15M
1W
1D)
INNS.
4PTR.
四.设置权限并启动服务
cd/chroot/named
chown–Rnamed.named./
chmod–R700./
ln–s/chroot/named/etc/named.conf/etc/named.conf
/usr/local/sbin/named–t/chroot/named/-c/etc/named.conf–unamed&
ps–ef|grepnamed
升级会员 