Solaris安全手册.docx

1、Solaris安全手册Solaris安全手册发布日期: 1999-12-8内容:1，Preparation 2，Initial OS installation 3，Stripping/configuring OS: 1st pass 4，Connect to test network 5，Installing tools & sysadmin software 6，Stripping/configuring OS: 2nd pass 7，Create Tripwire image, backup, test 8，Install, test, harden applications. 9，Ins

2、tall on live network, test 1. Preparation最小限度保证安全的方法是只在主机上运行一个或两个服务。使用一个机器比只使用一个拥有所有权利的机器安全的多，因为这样可以隔离，方便查找问题所在。总之：在你的机器上运行你一些最必要的服务。考虑拆除键盘，屏幕，这样可以避免使用X11和知道命令行所示，在一个隔离的信任的网络段中进行测试。明确你的系统和硬件配置能产生什么样的结果，如在安装SUN的Disksuite时要考虑你是否需要RPC服务，因为DISKSUITE必须使用RPC服务。明确各种应用程序是怎样工作的如：使用什么端口和文件.2，初始化安装操作系统。连接串口控制台

3、，开机，当出现OK提示时发送Stop-A信息(#,%b,或者F5，主要取决于你使用tip,cu或者vt100终端)，然后开始安装过程-boot cdrom - install使用最小安装 end user bundle(除非你要额外的server/developer工具)，设置主机名，终端，IP参数，时区等等，不要激活NIS或者NFS及不要激活电源管理。选择手工划分分区：把/usr和/opt和ROOT分离开来以便这些分区可以以只读方式挂(mount)起来。考虑把大的/var文件系统和拥有较多的数据量如(web,ftp)划分为独立的分区。如果硬盘是2GB建议200MB / (+var), 200

4、MB swap, 600MB /usr 及 1GB 给 /opt如果硬盘是2GB建议300MB / (+var+opt), 200MB swap, 500MB /usr给ROOT设置一个7到8字符大小写结合等比较强壮的密码，再重启动。接着安全由SUN的安全补丁。一般的在CD上就包含这些安全补丁包。重启动及作为ROOT重启动后，你可以使用showrev -p查看补丁列表。3，配置操作系统磁盘共享(mount):为了减少木马和不授权的修改，在/etc/vfstab,在mount /时请使用remount,nosuid选项；在/var上请带上nosuid选项；在/tmp后加上size=100m,no

5、suid选项(允许/tmp只能使用100M空间及不允许执行SUID程序)；如果软盘不需要的话再把/dev/fd行注释掉。(下面的命令假定你使用的是c-shell)使NFS无效：rm /etc/rc2.d/S73nfs.client,K28nfs.server/etc/rc3.d/S15nfs.server /etc/dfs/dfstab使Sendmail守护程序无效，虽然sendmail不是作为一个守护程序来运行的，但两进制程序是依然存在的，EMAIL还可以通过它了发送(但不能接受)。设定只要一个主机来接受EMAIL，另必须使用smap或其他等同命令来把sendmail危险程度降低到最底。rm

6、 /etc/rc2.d/S88sendmail再在cron行中增加处理邮件队列的命令：0 * * * * /usr/lib/sendmail -q 在关闭一些其他的服务：rm/etc/rc2.d/S74autofs,S,S71sysid.sys,S72autoinstallrm/etc/rc2.d/S93cacheos.finish,S73cachefs.daemon,S80PRESERVErm /etc/rc2.d/S85power,K07dmirm /etc/rc3.d/S77dmiIf you have server/developer packages:rm /etc/rc2.d/S4

7、7asppp,S89bdconfig,S70uucp使RPC无效：这一般来说是建议关闭此功能的，但一些程序如DISKSUITE会开启RPC服务，所以一般建议不使用DISKSUITE工具。如果你不想使RPC无效，则一定要使用信息包过滤器。rm /etc/rc2.d/S71rpc使打印服务无效(除非有一个本地打印机存在)：rm /etc/rc2.d/S80lp,S80spc使naming Services Caching Daemon(名字服务缓冲守护程序)服务无效:mv /etc/rc2.d/S76nscd /etc/rc2.d/.S76nscd使CDE程序无效(除非你坚持要使用图形控制台)：r

8、m /etc/rc2.d/S99dtlogin使NTP-NETWORK TIME PROTOCOL无效(NTP会增加带宽和不安全的因素，建议使用rdate到一台使用NTP的机器来获得精确时间)：rm /etc/rc2.d/S74xntpd使SNMP无效：rm /etc/rc2.d/K07snmpdx /etc/rc3.d/S76snmpdx在Inetinit中是IP forwarding和sourec routing(源路)由无效(假如有超过一个网络接口的话)。在/etc/init.d/inetinit中增加下面所示设置:ndd -set /dev/ip ip_forward_directed

9、_broadcasts 0ndd -set /dev/ip ip_forward_src_routed 0ndd -set /dev/ip ip_forwarding 0根据RFC1948建议在/etc/default/inetinit中增加如下的生成初始化序列号设置来防止TCP序列号预测攻击(ip欺骗):TCP_STRONG_ISS=2在/etc/system中增加如下设置来防止某些缓冲溢出攻击。这些保护是那些需在堆栈中执行的攻击方式。但需要硬件的支持(只在sun4u/sun4d/sun4m系统中有效)：set noexec_user_stack=1 set noexec_user_stac

10、k_log=1使用默认路由：在/etc/defaultrouter中增加IP地址，或使用route在/etc/rc2.d/S99static_routes中建立启动文件。为了使动态路由无效：touch /etc/notrouter为了使多路广播(multicasting)无效请在/etc/init.d/inetsvc中注解掉route add 224.0.0.0周围的几行。为了记录INETD连接的所有信息，在inetd低端的启动行中增加-t参数，即: /usr/sbin/inetd -s -t 在/etc/hosts中配置一些你想取舍的主机(一些你不想通过DNS解析的)。/etc/inetd.

11、conf:先使所有服务无效；配置你真正需要的服务，但必须使用FWTK netacl或tcpwrappers来允许最小限度的IP地址访问和各种记录4，连接并测试网络系统通过上面的安全剥离和筛选，你必须肯定系统能正常工作，把它连接到一个安全隔离的网络。重起并以ROOT身份登录控制台，检查控制台启动时的错误信息并根据需要进行修改。5，安装系统管理工具软件这部分将安装标准的工具和实用程序。最重要的是SSH，这些工具必须在其他机器上编译和精心测试过的。环境：DNS客户端：在/etc/resolv.conf中增加域名和DNS服务；在/etc/nsswitch.conf中增加DNS入口的主机。EMAIL：如

12、果主机不需要在子网外发送EMAIL，就不需要使用mailhost的别名。否则的话必须编辑/etc/mail/aliases，在/etc/hosts中设置mailhost，在/etc/mail/sendmail.cf取消Dj行的注释并把它设置为Dj$w.YOURDOMAIN.COM.如果DNS没有配置，就在 /etc/hosts中增加这太机器的别名hostname.YOURDOMAIN.COM。现在发送一封测试EMAIL:mailx -v -s test_email root/dev/null 2&1 #30 3 * * * -x /usr/lib/gss/gsscred_clean &/usr

13、/lib/gss/gsscred_cleanPruning of login & other logs:# Empty login/logout records at year end 0 0 31 12 * /secure/wtrim.pl wtmp 0 0 31 12 * /secure/wtrim.pl wtmpx 20# Solaris 2.x logs:0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M440 -c -s -n 30 loginlog0 4 * * 6 /secure/rotate_log -L /var/adm

14、 -c -m 640 -M440 -c -s -n 30 sulog0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M440 -c -s -n 2 vold.log0 4 * * 6 /secure/rotate_cron crons删除不需要的crons:rm/var/spool/cron/crontabs/lp,sys,admRoot cron 条目：通过可信赖的来源使用rdate设定日期(你或许使用NTP协议，这将使时间精确一些，但正向上面所说的增加带宽和不必要的安全问题)：# Synchronise the time(同步时间):

15、0 * * * * /usr/bin/rdate YOURTIMEHOST /dev/null 2&1文件权限必须限制一些有关ROOT操作的权限或干脆使其无效：chmod 0500 /usr/sbin/snoop /usr/sbin/devinfo chmod o-r /var/spool/cron/crontabs/* chmod 000 /bin/rdist chmod o-rx /etc/security chmod og-rwx /var/adm/vold.logchmod u-s /usr/lib/sendmail #Except formailgatewayschmod 400 /

16、.shosts /etc/sshd_config /etc/ssh_known_hosts再在登录信息上设置警告用户非授权登录的信息(如果要起诉侵入者你就需要这些信息)。如在Telnet和SSH，在/etc/motd中设置警告语句：ATTENTION: You have logged onto a secured XXXXCorporation server.Access by non YYYY administrators is forbidden.For info contact YYYYXXX.com重新启动，通过SSH登录，现在使用ps -e来显示进程列表：PID TTY TIME C

17、MD0 ? 0:00 sched1 ? 0:00 init2 ? 0:00 pageout3 ? 0:09 fsflush156 ? 0:00 ttymon152 ? 0:00 sac447 ? 0:06 sshd88 ? 0:00 inetd98 ? 0:00 cron136 ? 0:00 utmpd605 ? 0:00 syslogd175 console 0:00 ttymon469 pts/1 0:00 csh466 ? 0:01 sshd625 pts/1 0:00 ps及使用netstat -a 将显示最小的网络连接(如只有SSH)：UDPLocal Address Remote

18、Address State- - -*.syslog Idle*.* UnboundTCPLocal Address Remote Address Swind Send-Q Rwind Recv-QState- - - - - -*.* *.* 0 0 0 0 IDLE*.22 *.* 0 0 0 0 LISTEN*.* *.* 0 0 0 0 IDLE7，建立Tripwire映象，备份和测试-测试 SSH和标准工具是否能正常工作？检查LOG条目，检查控制台信息来了解系统是否按照你设想的计划实现。-当所有工作运行的正常时，就freeze(冻结)/usr有可能的话冻结/opt:在/etc/vfs

19、tab中增加ro选项以只读方式挂上(mount)/usr和/opt分区，这样减少木马程序和非认证的修改。以nosuid方式mount其他分区。重启-如果CD-ROMS不需要的话，是卷管理无效，使用如下命令可以在你需要时重新启用：mv /etc/rc2.d/S92volmgt /etc/rc2.d/.S92volmgt-最后安全TRIPWIRE(或者其他使用hashing算法的文件检查工具)，初始化它的数据库和运行常规的检查来检测文件的改变。如果可能的话使TRIPWIRE的数据库安装在另一个机器上或一次性写入介质。如果还需要更安全的措施，那么就拷贝TRIPWIRE和它的数据库并使用SSH远程运行

20、。这将使入侵者很难知道TRIPWIRE在使用。8，安装，测试应用程序应该考虑把应用程序安装在独立的分区或者在/opt分区，如果使用/opt，在安装时必须以读写方式来挂起此分区，在安装和测试后必须再设置回只读方式。根据服务器的功能，选择你所需要的如:ftpd,BIND,proxies等等，在安装应用程序时遵照以下的规则来安装：-在应用程序启动之前umask是否设置好如(如：022)-应用程序是不是能以非ROOT身份运行？是否很好的设置密码若最少8位加标点，字符大小写.-注意是否所有文件的权限设置正确，即是不是只能有应用程序用户自己拥有读写权限，有没有全局能读写的文件-当应用程序在写LOG记录时是

21、否安全？有没有可能把密码写到安装LOG中去(不用感到好笑，这很普遍)下面是一些安装常用服务所需要的安全问题1，FTP服务(ftp)-如果你使用Western University wu-ftpd,必须知道它存在一些历史BUG，如(请参看 CERT advisories CA-93:06, CA-94:07, CA-95:16 and Auscert AA-97.03 and AA-1999.02)，最起码使用V2.6.0或以后的版本。2，配置/etc/ftpusers的系统帐号使其不能用来FTP，如使以ROOT身份登录FTP无效，把root增加到/etc/ftpusers.要想把所有系统帐号加

22、入到你的新系统中去可使用如下方法：awk -F: print $1 /etc/passwd /etc/ftpusers -FTP可以通过/etc/ftpusers选择性的激活每个用户；也可以使用下面的方法：对于那些不能通过FTP访问此机器的，提供他们一些不正规的SHELL(如BASH和TCSH)，但不把新的SHELL加入到/etc/shells,这样FTP访问将被拒绝。相反，要把一个非标准的SHELL加入到/etc/shells才能使FTP正常工作。-使LOGGING有效：把-l选项增加到/etc/inetd.conf中去,另外-d选项将增加debug输出。-FTP可以限制IP地址或基于tcp

23、 wrappers的主机名。-如果需要匿名FTP访问，必须非常谨慎，一个chroot的环境是必须的。具体请参看in.ftpd 手册。避免允许上传文件权利。如果需要上传文件的权利，需不允许下载上载了的文件，隐藏上载文件名及不允许他们覆盖方式操作。-使用FTP强烈建议使用chroot.-把FTP数据放在独立的磁盘分区，以nosuid方式mount。2，DNS服务：-使用最新的BIND(Berkeley Internet Name Server)来代替SUN的named,BIND有很多好的特征，若容易DEBUG和当有安全问题发现时很快更新。具体请参看网站：www.isc.org/view.cgi?/

24、products/BIND/index.phtml. -使用8.1.2或以后的版本-使用测试工具www.uniplus.ch/direct/testtool/dnstest.html来测试DNS。-使用nslookup和dig来检查服务结果。-如果在DNS客户端存在问题检查/etc/nsswitch.conf和/etc/resolv.conf，使用nslookup -d2来获得DEBUG的信息。尝试杀掉nscd守护程序。-如果服务器端有问题使用named -d来读console LOG，一般这LOG在syslog文件中的daemon段。-要获得name服务的统计使用kill -ABRT cat

25、 /etc/named.pid 将会把统计信息记录到/usr/tmp/named.stats.-要查看改变设置后的配置信息使用HUP信号kill -HUP cat /etc/named.pid 更多的请参看 3，有关chroot环境请参看如下网站： 以下准备正式运行系统如果可能请使用多人进行最后测试，以便忘记某些重要的东西。使用网络漏洞扫描器扫描系统，保证只有你想使用的服务在运行。如商用扫描器IIS和免费扫描 器nmap或Satan.检查/opt和/usr分区是否为只读状态。初始化Tripwire(或等同的检查工具)最后测试什么在工作，什么是禁止的，检查console/log条目，开始时经常查

26、看LOG记录。9，系统正式运行详细检查；使用不同的人以不同的观点及在不同的网络点登录测试应用软件。10，常规维护下面是根据你系统的重要程度决定你要每小时，每天，每星期，每个月要做的事情：-检查SUN公司的pathdiag来不断升级系统，特别注意系统内核的补丁。-检查所有错误和不寻常的活动记录：syslog (/var/adm/messages or /var/log/*, depending onsyslog.conf), /var/cron/log, last, /var/adm/sulog, /var/adm/loginlog, application/server logs. -运行tr

27、ipwire-注意一些新的漏洞及安全建议，订阅CERT,CIAC的安全公告和供应商的安全列表如(Sun, Microsoft)其他附加信息：Free ToolsSSH notes: TCP Wrappers www.cert.org/ftp/tools/tcp_wrappers SMAP & FWTK www.fwtk.org Top, gzip, lsof, traceroute, perl: Rdist Sample tools for analysing logs:Logcheck Swatch ftp:/ftp.stanford.edu/general/security-tools/swatch Security Portal Research Centre:Firewall productsFirewall white papers Tripwire:Commercial Version (starts at$495.-/server)Free version V1.2 www.cert.org/ftp/tools/tripwire (lastupdated in 1994). Sunworld security columns Padded Cells: