《Solaris安全设置和日志管理.ppt》由会员分享,可在线阅读,更多相关《Solaris安全设置和日志管理.ppt(23页珍藏版)》请在三一文库上搜索。
1、Solaris安全设置和日志管理,PROM OpenBoot安全级别,None:不需要任何口令 Command:除了boot和go之外所有命令都需要口令 Full:除了go命令之外所有命令都需要口令 设置OpenBoot口令 eeprom security-password 改变安全级别 setenv security-mode=command,防止堆栈的缓冲区溢出,#cp /etc/system /etc/system.backup #vi /etc/system set noexec_user_stack=1 set noexec_user_stack_log=1,SUID/SGID,re
2、al user ID 用户登录ID who am i effective user ID 用户会话过程ID whoami E.g. 获得bash的root SUID #cp /bin/bash /home/badman/.bash #chmod 4777 /home/badman/.bash 定期察看系统中SUID和SGID文件,系统的启动和关闭,更改不必要的启动文件 检查所有在/etc/rc2.d和/etc/rc3.d以S开头的文件,去掉不必要的服务 以下/etc/init.d/中的服务是必须的: K15rrcd S05RMTMPFILES K15solved S20sysetup S72i
3、netsvc S99audit S21perf S99dtlogin K25snmpd S S99netconfig K50pop3 S74syslog S75cron S92rtvc-config K60nfs.server K65nfs.client S69inet K92volmgt README S95SUNWmd.sync S01MOUNTFSYS S71sysid.sys S88utmpd S95rrcd,备份,系统初装时的备份 定期备份 增量式备份 特别备份 tar ufsdump e.g. Perform a full level 0 backup of the /export
4、/home file system # umount /export/home # fsck /export/home # ufsdump 0uf /dev/rmt/0 /export/home ufsrestore,用户账号和环境安全,口令管理 passwd -n 30 user #强迫用户每30天修改一次密码 passwd -f user #强迫用户在下一次登录时修改口令 passwd -n 2 -x 1 user #禁止用户修改口令 passwd -l user #封锁用户账号,禁止登录 删除不必要的帐号 sys uucp nuucp listen等等 在/etc/shadow的pass
5、word域中放上NP字符,取消ROOT的远程登陆 /etc/default/login /etc/ftpusers /etc/shells 配置ROOT的环境 将umask设为077或者027 查看用户环境中路径设置情况,不要有./ NIS的安全问题 /var/yp/securenets加入信任主机 采用NIS+,用户账号和环境安全(cont.),Telnet和ftp inetd 守护进程 /etc/inetd.conf ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd telnet stream tcp
6、 nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd /etc/services ftp 21/tcp telnet 23/tcp 取消不必要的服务,然后kill HUP inetdPID,网络服务,网络服务(cont.),r服务(见下页图) 1)/etc/hosts.equiv 2)$HOME/.rhosts 3)修改/etc/inetd.conf tcpd的访问控制 first check /etc/hosts.allow e.g. ALL: 172.16.3.0/255.255.255.0 second check /etc/host
7、s.deny e.g. ALL: /usr/bin/mailx -s “%d: connection attempt from %c“ ,网络服务(cont.),网络服务(cont.),取消NFS服务 修改/etc/dfs/dfstab NFS server启动脚本: /etc/rc3.d/S15nfs.server NFS client启动脚本: /etc/rc2.d/S73nfs.client rpcbind安全 依靠远程系统的IP地址和远程用户的UID来验证 /etc/rc2.d/S71RPC,ndd,修改核心和TCP/IP的设备参数 ndd /dev/arp ? ndd /dev/ic
8、mp ? ndd /dev/ip ? ndd /dev/tcp ? #ndd -set /dev/arp arp_debug 0 0: 代表特性禁止 #ndd -set /dev/arp arp_debug 1 1: 代表特性允许,ndd (cont.),减少ARP过期时间 #ndd -set /dev/arp arp_cleanup_interval 60000 #ndd -set /dev/ip ip_ire_flush_interval 60000 60000=60000 ms 默认是300000 建立静态ARP表 #more file1 08:00:20:ba:a1:f2 user.
9、 08:00:20:ee:de:1f #arp -f file1 禁止ARP #ifconfig interface -arp (前提是使用静态的ARP表 ),ndd (cont.),关闭IP转发 #ndd -set /dev/ip ip_forwarding 0 严格限定多主宿主机 #ndd -set /dev/ip ip_strict_dst_multihoning 1 关闭转发包广播 #ndd -set /dev/ip ip-forward_directed_broadcasts 0 关闭转发源路由包 #ndd -set /dev/ip ip_forward_src_routed 0,
10、ndd (cont.),关闭对echo广播的响应 #ndd -set /dev/ip ip_respond_to_echo_boadcast 0 关闭响应时间戳广播 #ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0 关闭地址掩码广播 #ndd -set /dev/ip ip_respind_to_address_mask_broadcast 0 忽略ICMP重定向错误报文 #ndd -set /dev/ip ip_ignore_redirect 1,ndd (cont.),禁止本机发送错误重定向报文 #ndd -set /dev/ip
11、ip_send_redirects 0 关闭时间戳响应 #ndd -set /dev/ip ip_respond_to_timestamp 0 提高未连接队列大小(SYN flood attack) #ndd -set /dev/tcp tcp_conn_req_max_q0 4096 提高连接队列大小(连接耗尽攻击) #ndd -set /dev/tcp tcp_conn_req_max_q 1024,IP 欺骗,攻击过程 1)使被信任主机的网络暂时瘫痪 2)连接到目标机的某个端口来猜测ISN基值和增加规律 3)把源址址伪装成被信任主机,发送带有SYN标志的数据段请求连接 4)等待目标机发送
12、SYN+ACK包给已经瘫痪的主机 5)再次伪装成被信任主机向目标机发送的ACK,此时发送的数据段带有预测的目标机的ISN+1 6)连接建立,发送命令请求 改进办法 修改/etc/default/inetinit使用更好的随机ISN生成方法 TCP_STRONG_ISS=2,cron 和 at,查看所有的cron任务 #crontab l /var/spool/cron/crontabs cron日志 /etc/default/cron里设置“CRONLOG=yes“ cron用户配置 /etc/cron.d/cron.allow和/etc/cron.d/cron.deny at 用户配置 /e
13、tc/cron.d/at.allow和/etc/cron.d/at.deny,系统日志,/etc/syslog.conf Example: *.err /var/adm/messages *.err is the selector field; * is the facility, . is the delimiter, and err is the level of the message /var/adm/messages Is the action field Note can use the * to select all facilities (for example *.err);
14、 cannot use it to select all levels for a facility (for example, kern.*),系统日志(cont.),Another sample /etc/syslog.conf #user1 and user2 receive alert messages if they are logged in. *.alert user1,user2 #All logged-in users will receive emerg messages. *.emerg * #If the LOGHOST variable was evaluated a
15、s TRUE, messages are #forwarded to the syslogd of the remote system. mail.debug ifdef(LOGHOST, /var/log/authlog, loghost) LOGHOST example in host1 #more /etc/hosts 192.9.200.1 host1 loghost /LOGHOST is TRUE,系统日志(cont.),Enables TCP tracing # grep inetd /etc/init.d/inetsvc /usr/sbin/inetd -s -t mail.c
16、rit /dev/lp0,系统日志(cont.),Example of syslog Logged Entry,补丁管理,显示系统中安装的所有patch及版本 showrev p patchadd p 安装patch patchadd Note: -d option instructs the commands not to save copies of the files being updated or replaced in the /var/sadm/patch directory. However, it also prevents being able to back out or remove a patch from the system. 删除patch patchrm,