Solaris基本安全配置规范Word文件下载.docx

1、=将每次重启产生的coredump大小设置为0，不需要无用的信息。可选3.3修正堆栈错误，防止溢出（只对2.6后有效）hacker进入系统后大部分是利用bufferoverflow取得rootshell为了防止基于堆栈的缓冲区溢出，在/etc/system文件中加入noexec_user_stack=1防止在堆栈中执行noexec_user_stack_log=1当某人试图运行增加一个记录然后改变文件权限：#chmod644/etc/system3.4只允许root进行电源管理（只对2.6及以后版本有效）编辑/etc/default/sys-suspend:将PERMS=con

2、sole-owner改为PERMS=-并做#/bin/chmod0755/usr/openwin/bin/sys-suspend此项防止SYNFlood攻击3.5设置/tmp目录粘滞位，mode1777创建文件/etc/rc3.d/S79tmpfix:/bin/cat/etc/rc3.d/S79tmpfix#!/bin/sh#ident（#）tmpfix1.095/09/14if-d/tmpthen/usr/bin/chmodg-s/tmp1777/usr/bin/chgrpsys/usr/bin/chownfiEOF改变S79tmpfix文件权限:#/usr/bin/chmod755此项给/

3、tmp加上粘滞位，只允许写而不允许删除。这样，当黑客往/tmp写.socket文件时不允许删除。3.6禁止stop-A键在/etc/default/kbd中，改变或加入“KEYBOARD_ABORT=disable”此项防止启动后，按stop-A或L1-A得到ok提示符，使用启动盘可以进入单用户模式，防止黑客物理接触机器。但此项不禁止可以作为密码丢失时的应急处理4 用户管理4.1禁止所有不需要的系统帐户编辑/etc/passwd，将需要禁止帐户的*用NP代替Example:noaccess:NP:60002:NoAccessUser:/:/sbin/noshell需要禁止的帐户有:bin,da

4、emon,adm,lp,smtp,sys,uucp,nuucp,nobody,noaccess4.2使用强密码4.3设置密码相关参数编辑/etc/default/passwd,设置：PWMIN=1#最短改变时间PWMAX=13密码最长有效时间PWWARN=4密码失效前几天通知用户PWLEN=8最短密码长度4.4防止root远程登陆编辑/etc/default/login，加上：CONSOLE=/dev/consoleIfCONSOLEisset,rootcanonlyloginonthatdevice.4.5记录所有root登陆尝试SYSLOGdetermineswhetherthesyslo

5、g（3）LOG_AUTHfacilityshouldbeusedtologallloginsatlevelLOG_NOTICEandmultiplefailedloginattemptsLOG_CSYSLOG=YES4.6 设置session超时时间TIMEOUTsetsnumberofseconds（between0900）waitbeforeabandoningasession.TIMEOUT=1204.7 设置缺省umask编辑/etc/default/login，加上:UMASKinitialshellfilecreationmodemask.Seeumask（1）.UMASK=027

6、权限设置为750.“rw-r-“对于如下文件，同样加上缺省umask:/etc/.login,/etc/profile,/etc/skel/local.cshrc/etc/skel/local.login,/etc/skel/local.profile4.8 设置root的umask检查root的.profile,确保umask为027或0774.9 确保提示输入密码PASSREQrequirespassword.PASSREQ=YES4.10 设置Shell环境变量ALTSHELLSHELLenvironmentvariablesetALTSHELL=YES4.11 检查是否每个用户都设置了

7、密码检查/etc/passwd和/etc/shadow，每个用户的密码栏是否为空。4.12 编辑使用useradd的缺省配置,满足密码策略编辑/etc/sadm/defadduser,需要满足密码策略,比如:defgroup=15defgname=usersdefparent=/export/homedefskel=/etc/skeldefshell=/usr/bin/kshdefinact=30defexpire=4.13 在所有path中，去掉所有”.”路径检查所有缺省启动脚本和root启动脚本，在所有路径变量中删除“.”路径包括以下文件：/.login，/etc/.login，/etc/

8、default/login，/.cshrc，/etc/skel/local.cshrc，/etc/skel/local.login，/etc/skel/local.profile，/.profile，/etc/profile4.14 使用sugroup来限制su，将可以su的用户添加到这个组在/etc/group中创建特殊的组sugroup将你的管理员帐号加到这个组改变/bin/su的权限为:r-sr-sr-x1sugroup550/bin/su+s#chownroot:sugroup#ls-al-r-sr-s-18360Jan151998#grep/etc/groupsugroup:600:

9、root,httpadm,wspher这样，只有sugroup组中的用户可以使用su，提升为超级用户另外一个可行的方法是使用sudo来替代su5.开放的服务（inetd）5.1在/etc/inetd.conf中注释掉左右不需要的服务，比如name,login,exec,comsat,talkrusersdprinterfingeruucp所有以“r”开头的服务对必须提供的服务采用tcpwapper来保护5.2编译安装Tcpwapper安装tcpd，编辑inetd.conf中的服务为：ftpstreamtcpnowait/usr/local/bin/tcpdin.ftpdtelnetin.tel

10、netd5.3定义限制的地址检查hosts.allow和hosts.deny/etc/hosts.deny为ALL:ALL提供的服务在/etc/hosts.allow定义servicesource-ip5.4使用xinetd替代xinetd中可以限制特殊的inetd服务到特定的端口6.启动时提供的服务（rc.x）6.1在rc.x目录中将不需要的服务改名，比如mv/etc/rc3.d/S92volmgt/etc/rc3.d/KS92volmgt以下服务应该禁止（根据需要自己决定）：snmpdxautofs（Automounter）volmgt（VolumeDeamon）lpsched（LPpri

11、ntservice）nscd（NameServiceCacheDaemon）Sendmailkeyserv（KeyservDeamonusedNIS+orNFSareinstalled,startwithdoptionsodefaults“nobody”keynotallowed）rpcbind提供远程呼叫，依靠远程系统的ip地址和远程用户的ID进行验证，这样很容易伪造和改变6.2禁止所有DMI服务禁止所有DMI服务:/etc/rc3.d/S?dmi/etc/rc3.d/K?dmi/etc/init.d/init.dmi中启动的dmi服务有:/usr/lib/dmi/dmispd/usr/li

12、b/dmi/snmpXdmid/etc/dmi/ciagent/ciinvoke6.3去掉mount系统的suid位在/etc/rmmount.conf中加上mounthsfs-onosuidufs6.4检查所有的.rhosts文件.rhosts允许不要密码远程访问,$HOME/.rhosts文件，并且设置为0000,防止被写入”+”。（攻击者经常使用类似符号链接或者利用ROOTSHELL写入）。预先生成$HOME/.rhosts文件的一些命令）注：这种情况会导致一些如SSH的RCP命令无法使用（需要使用touch/.rhosts；chmod.rhosts可以被普通用户所创建在个人目录下。推荐

13、使用脚本来发现.rhosts文件。并且利用cron自动检查,报告给特定用户。ScriptforFind.rhost:/usr/bin/find/home-name.rhosts|（catthis only find .rhost:cat） | /bin/mailx -s Content of .rhosts file audit report yourmailbox6.5 禁止使用.rhosts认证在/etc/pam.conf中删除rlogin auth sufficient /usr/lib/security/pam_rhosts_auth.so.1将rsh的行改为:rsh auth req

14、uired /usr/lib/security/pam_unix.so.16.6 检查信任关系检查/etc/hosts.equiv文件，确保为空7网络接口调整和安全优化7.1 /etc/rc2.d/S?inet参数调整在/etc/rc2.d/S?inet中做如下参数调整：缩短ARP的cache保存时间:ndd -set /dev/arp arp_cleanup_interval 60000 /* 1 min （default is 5 min*/缩短ARP表中特定条目的保持时间：ndd -set /dev/ip ip_ire_flush_interval 60000 /* 1 min （def

15、ault is 20 min*/关闭echo广播来防止ping攻击ndd -set /dev/ip ip_respond_to_echo_broadcast 0 # default is 1关闭原路由寻址ndd -set /dev/ip ip_forward_src_routed 0 # default is 1禁止系统转发IP包ndd -set /dev/ip ip_forwarding 0 # default is 1禁止系统转发定向广播包ndd -set /dev/ip ip_forward_directed_broadcasts 0 # default is 1使系统忽略重定向IP包n

16、dd -set /dev/ip ip_ignore_redirect 1 # default is 0使系统限制多宿主机ndd -set /dev/ip ip_strict_dst_multihoming 1 # default is 0再次确保系统关闭ICMP广播响应ndd -set /dev/ip ip_respond_to_address_mask_broadcast=0 # default is 1关闭系统对ICMP时戳请求的响应ndd -set /dev/ip ip_ip_respond_to_timestamp=0 # default is 1关闭系统对ICMP时戳广播的响应ndd

17、 -set /dev/ip ip_ip_respond_to_timestamp_broadcast=0 # default is 1禁止系统发送ICMP重定向包ndd -set /dev/ip ip_send_redirects=0 # default is 17.2 改变TCP序列号产生参数在/etc/default/inetinit中改变TCP_STRONG_ISS=27.3 设置in.routed运行在静态路由模式创建文件/usr/sbin/in.routed为以下内容: /bin/sh/usr/sbin/in.routed.orig q改变文件属性:chmod 0755 /usr/s

18、bin/in.routed# 动态路由可能会收到错误的路由信息，所以建议使用静态路由Consider to use static routes （routes added via the route commands in startup files）rather than the routing daemons7.4 禁止路由功能创建空文件notrouter： touch /etc/notrouter7.5 利用ip-filterip-filter是Solaris系统的内核模块，可以完成简单包过滤8. 文件权限8.1 删除所有不使用的suid文件列出系统中所有 suid 文件find / -

19、type f （ -perm -4000 ） exec ls al ; $HOME/search-4-suid-files.txt首先备份suid文件:mkdir/opt/backup/suidfind/-typef（-perm-4000）-print|cpio-pudm删除前建立tar备份，不要删除suid-files.tar!cd/opt/backup;tarcvpfsuid-files.tar/opt/backup/suid/*rmr去除所有suid文件中的suid位execs;再查一遍4000lsal对一些常用文件建立suidu+s/usr/bin/su/usr/bin/passwd/

20、usr/bin/ps8.2删除所有不使用的sgid文件列出系统中所有文件-2000$HOME/search-4-sgid-files.txtsgid/opt/backup/sgid删除前建立tar备份，不要删除sgid-files.tar!sgid-files.tar/opt/backup/sgid/*去除所有sgid文件中的sgid2000对一些常用文件建立sgid8.3删除/etc下所有组可写文件/etc-20search-4-group-writeable-in-etc.txt/etc下不应有组可写文件，去掉写权限20g-w8.4删除/etc下所有world可写文件-2xargsalssearch-4-world-writeable-in-etc.txt/etc下不应有world可写文件，去掉写权限2w-w8.5将权限为rw-rw-rw-的文件改为rw-rr666|xargsperm-666-before-change.txtdecideonethesefilescriticalperm-666-after-change.txt8.6改变rwxrwxrwx文件的权限777perm-777-before-change.txt