Solaris安全加固和Bind安装配置Word下载.docx

1、time dgram udp wait root internal echo stream tcp nowait root internalecho dgram udp wait root internaldiscard stream tcp nowait root internaldiscard dgram udp wait root internaldaytime stream tcp nowait root internaldaytime dgram udp wait root internalrstatd/2-4 tli rpc/datagram_v wait root /usr/li

2、b/netsvc/rstat/rpc.rstatd rpc.rstatd/性能监测 也可去掉fs stream tcp wait nobody /usr/openwin/lib/fs.auto fs 100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd在只需要不多图形操作的服务器或是要保证相当的安全，你也许应该关掉字体服务fs，也可以关掉系统性能监视器rstatd和tooltalk服务器ttdbserverd。事实上在确实需要安全的机器上你甚至应该注释掉telnet和ftp。你可以用grep找出机器

3、能过inetd所提供的服务：grep -v # /etc/inetd.conf这将返回/etc/inetd.conf中所有没被注释掉的行。在/etc/inetd.conf中做出改变之后，找到inetd进程的id号，用kill向它发送HUP信号来刷新它。一定要确保kill了inetd进程后，它还在运行，例如：rootmultics: ps -ef | grep inetdroot 196 1 0 15:32:14 ? 0:00 /usr/sbin/inetd -s kill -HUP 1965.修改文件：/etc/rcx.d关闭不需要的服务去掉 ：S01MOUNTFSYS +加载文件系统 /*启

4、动S05RMTMPFILES + 清空/tmp文件系统 过程 按数字大小的顺序为准S10lu =当运行live update后清理系统 S15nfs.server - 启动nfs服务器 NFS网络文件服务器 S13kdc.master - 启动Kerberos服务器 S14kdc - 启动Kerberos服务器 Kerberos认证服务器 S16boot.server - 启动bootp服务器S20sysetup + 设置系统初始参数S21perf = 性能记账服务（无效） S + 配置基本网络参数S34dhcp = 启动dhcpS40llc2 + 启动Class II logical lin

5、k control driver 逻辑链路控制程序驱动 S42ncakmod = 启动Solaris Network Cache and Accelerator （NCA） NCA网络缓存加速驱动，可以提高HTTP Server吞吐率 S47pppd - 启动拨号访问服务器进程 串行线拨号访问服务器 S50apache - 启动apache服务器S69inet = 启动inetd进程 Internet服务超级进程，配置文件/etc/inetd.conf，启动一系列 服务，如telnet/ftp等。s70uucp - 启动uucp uucp服务，无用S71rpc + 启动rpcbind服务 rp

6、cbind （RPC Portmap服务），如果需要CDE的话，这个进程是必需的S71sysid.sys + 配置一些系统参数 S71ldap.client - 启动LDAP客户端 S72directory - 启动目录服务 S72inetsvc + 启动inet server，包含named/nis 启动名字解析服务，包含named和nis两部分s72slpd - 启动slpd 打印服务系统的一部分S72autoinstall = 启动自动安装守护进程 当放入sun兼容的媒体介质时，会自动启动安装脚本S73cachefs.daemon - 启动cachefsd NFS缓存服务，可以提高NFS

7、吞吐率 S73nfs.client = 启动nfs客户端 NFS客户端程序 S74syslog + 启动syslog 系统日志守护进程，必需s74autofs - 启动auto mount fsd 当使用NFS时，这个进程会自动加载或卸载无用的用户网络文件系统 配置文件/etc/auto_home和auto_master 但是当没有使用nfs时，这个进程会对系统管理造成一些负面影响s74xntpd - 启动网络时间同步服务 S75cron + 启动crontab服务 系统任务自动调度守护进程S75savecore +S76nscd + 启动nscd,名字服务缓存 DNS名字缓存服务S76snm

8、pdx - 启动snmp服务器 启动SNMP服务，允许远程网络管理 S77dmi - 启动snmp - dmi服务 SNMP子服务S80spc - 启动lpd打印守护进程 打印服务系统的一部分 S80lp - 启动lpd打印调度守护进程 打印服务系统的一部分S80mipagent - 启动Mobile IP 代理S85lmgrd + 启动flexlm license服务器 Solaris License管理服务器85power + 启动电源守护进程 S88utmpd + 启动utmpd s88sendmail - 启动sendmail S89PRESERVE = 保留，无效 S89sshd +

9、 启动sshd服务器S90wbem = 启动wbem，基于web的管理界面 WBEM，Solaris系统管理界面服务器，可以使用/usr/sadm/bin/smc 启动客户端程序连接管理S90samba - 启动samba服务器 Samba CIFS网络文件服务器S93 cacheos.finish S94ncalogd = 启动Solaris Network Cache and Accelerator LOGd NCA进程日志 S95IIim + 启动输入法守护进程 Solaris国际化支持的一部分，启动东亚语言输入法S95svm.sync +启动 devfsadm ，devfs同步进程 监

10、控系统硬件，使/dev与/devices设备文同步S99audit 启动BSM审计进程 Solaris Base Securiey Modula，启动Solaris C2安全审计默认未动S99dtlogin = 启动CDE登录进程 Solaris CDE图形界面启动进程说明：在上面的启动脚本说明中，第二个域说明服务的必要性，个人的经验总结。 +代表必须服务，系统正常运行必须 =代表可选服务，由用户环境决定 -代表无效，不必要，或不安全的服务 */SnmpfsVolmgt # Volume Deamonlpsched # lp print servicesendmailatofs automou

11、nternscd naming Services Caching Daemon 名字服务缓冲守护程序xntpd ntp时间服务99dtlogin 使用图形控制台登录S80lp,S80spc 打印服务rpc unix一种远程认证服务uucp 可以引起缓冲区溢出问题，常被黑客用来攻击。主要修改 /etc/rc2.d 和/etc/rc3.d 将其中的文件改为不是以S开头的 （主要有：sendmail nfs auto mount 等） 可以修改名字也可以删除如：rm /etc/rc2.d/S74autofs,S,S71sysid.sys,S72autoinstallrm /etc/rc2.d/S93

12、cacheos.finish,S73cachefs.daemon,S80PRESERVErm /etc/rc2.d/S85power,K07dmirm /etc/rc3.d/S77dmiIf you have server/developer packages:rm /etc/rc2.d/S47asppp,S89bdconfig,S70uucprm /etc/rc2.d/S73nfs.client,K28nfs.server /etc/rc3.d/S15nfs.server /etc/dfs/dfstab 修改后重新启动系统，使配置生效。用ps -elf检查是否还有无关进程启动。6. 使用静态

13、路由touch /etc/notroute对于Solaris 2.5（或者更高版本），简单地touch /etc/notrouter即可。注意,启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。或者在/etc/defaultrouter 添加路由route add net-addr subnet-mask router hops7. 删除/etc/hosts.equiv和/.rhosts文件，编辑/etc/inetd.conf文件，屏蔽所有r系列服务。即不允许不经过验证的远程服务8. 在/etc/system中增加如下设置来防止某些缓冲溢

14、出攻击。这些保护是那些需在堆栈中执行的攻击方式。但需要硬件的支持（只在sun4u/sun4d/sun4m系统中有效）：set noexec_user_stack=1set noexec_user_stack_log=19 在Inetinit中是IP forwarding和sourec rou ting（源路）由无效（假如有超过一个网络接口的话）。在/etc/init.d/inetinit中增加下面所示设置:ndd -set /dev/ip ip_forward_directed_broadcasts 0ndd -set /dev/ip ip_forward_src_routed 0ndd -s

15、et /dev/ip ip_forwarding 0在/etc/default/inetinit中增加如下的生成初始化序列号设置来防 止TCP序列号预测攻击（ip欺骗）:TCP_STRONG_ISS=210. TELNET描述：防止telnet程序现实系统版本信息安全层面：远程解决方法：移除/etc/default/telnetd文件里的信息：Banner=”加入/etc/default/telnetd文件不存在，按如下步骤操作：touch /etc/default/telnetdecho BANNER= /etc/default/telnetdchmod 444 /etc/default/t

16、elnetd11. 确认root的PATH环境变量设置是安全的，应该只包含/usr/bin:/sbin:/usr/sbin，避免当前工作目录.出现在PATH环境变量中，这有助于对抗特洛伊木马。echo $PATH | grep :. 确认12. 添加或修改/etc/rc2.d/S?inet缩短ARP缓存的存在周期ndd -set /dev/arp arp_cleanup_interval 60000 /* 1 min （default is 5 min）*/缩短条目在arp-table里刷新的时间ndd -set /dev/ip ip_ire_flush_interval 60000 /* 1

17、 min （default is 20 min）*/启动时禁止源路由ndd -set /dev/ip ip_forward_src_routed 0 # default is 1防止系统在启动时启动ip转发ndd -set /dev/ip ip_forwarding 0 # default is 1设置系统禁止ip包转发ndd -set /dev/ip ip_ignore_redirect 1 # default is 0设置系统精确的多路寻址ndd -set /dev/ip ip_strict_dst_multihoming 1 # default is 013.# eeprom secur

18、ity-mode=command命令来改变openboot的安全级别到command级二配置系统和网络1/etc/hostname.interface 包含主机名和ip地址 /etc/hostname:eriX:Y文件，其中的X代表物理设备接口，Y代表虚拟的接口编号。2/etc/nodename文件 包含着本地计算机的名字3/etc/defaultdomain文件这个文件包含着所本地主机的域名。4/etc/defaultrouter文件这个文件包含着主机的默认路由地址。5主机数据库 主机数据库包含着IP地址和系统的主机名/etc/hosts 或者 /etc/inet/hosts6子网掩码数据库

19、/etc/netmasks 或者/etc/inet/ netmasks7dns配置/etc/nsswitch.conf 输入：hosts: files dns （注：原先为hosts: files，改成hosts: files dns） i /etc/resol.conf （注：若无此文件，请创建） domain nameserer 10.27.1.30 （注：首选DNS） nameserer 202.102.24.35 （注：备选DNS）init 6 重新启动三安装配置bind1.tar -zxvf bind-9.x.x.tat.gzcd bind-9.x.x./configure pref

20、ix=/usr/local/namedmake ;make install2.mkdir p /chroot/nanedcd /chroot/namedmkdir etc/named var/run devgroupadd nameduseradd g named s /bin/nologin d /chroot/named namedpasswd l namedmkmod dev/random c 1 3mknod dev/null c 1 5mknod dev/zero c 1 8ln s /usr/share/zoneinfo/Asia/Shanghai etc/localtime3.v

21、i /chroot/named/etc/named.confoptions directory “/etc/named”; pid-file /var/run/named.pid”;zone “.” type hint; file “name.root”;zone “localhost” type master; file “db.localhost”;zone “0.0.127.in-addr.arpa” file “db.local”;zone “” file “db.shipengbo”;zone “3.2.1.in-addr.arpa” file “db.shipengbo.addr”

22、;41dig /chroot/named/etc/named/name.root.2 vi /chroot/named/namedb/db.localhost$TTL 86400$ORIGIN localhost. 1D IN SOA root （42 ; serial （d. adams）3H ; refresh15M ; retry1W ; expiry1D ） ; minimum1D IN NS 1D IN A 127.0.0.13vi /chroot/named/namedb/db.local IN SOA localhost. root.localhost. （2005022700

23、; Serial28800 ; Refresh14400 ; Retry3600000 ; Expire86400 ） ; MinimumIN NS localhost.1 IN PTR localhost.4vi /chroot/named/etc/namedb/db.shipengboTTL 1D IN SOA . . （10538911623H15M1W1D ）IN NS .IN MX 5 .www A 1.2.3.4ftp CNAME .5 vi /chroot/named/etc/namedb/db.shipengbo.addr4 PTR .四设置权限并启动服务chown R named.named ./chmod R 700 ./ln s /chroot/named/etc/named.conf /etc/named.conf/usr/local/sbin/named t /chroot/named/ -c /etc/named.conf u named &ps ef |grep named