solaris加固.docx

1、solaris加固一、安全理念 1、安全的隐患更多来自于企业内部 2、对于管理员的需求：不要信任所有人 3、分层保护策略：假设某些安全保护层完全失效 4、服务最小化 5、为最坏的情况做打算 二、物理安全 1、记录进出机房的人员名单，考虑安装摄像机 2、审查PROM是否被更换，能通过记录hostid进行比较 3、每个系统的OpenBoot口令应该不相同，口令方案不可预测 4、系统安装完毕移除CD-ROM 5、将版本介质放入不在本场地的介质储藏室中 三、账号和口令策略 1、终极用户的PATH（在/.profile中定义的）设置为： PATH=/usr/bin:/sbin:/usr/sbin 所有用

2、户的PATH或LD_LIBRARY_PATH中都不应该包含“.” 2、口令文件、影像文件、组文件 /etc/passwd必须所有用户都可读，root用户可写?rw-r?r? /etc/shadow只有root可读?r- /etc/group必须所有用户都可读，root用户可写?rw-r?r- 3、口令安全 Solaris强制口令最少6位，不过终极用户修改口令的时候不受这个限制 强迫test账号每隔30天修改一次口令 #passwd?n30test 强迫test账号在下次登录的时候修改口令 #passwd?ftest 禁止test账号修改口令 #passwd?n2?x1test 封锁test账号

3、，禁止登录 #passwd?ltest 4、组口令 用newgrp命令临时改动gid 由于sysadmin组可执行admintool，必须要保护好，增加组口令的过程： 删除不必的成员（如果成员属于sysadmin，改动组时不必口令） #passwd（通常封锁的账号） 提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段 封锁user账号 5、修改口令策略 /etc/default/passwd文件 MAXWEEKS=4口令至少每隔4星期更改一次 MINWEEKS=1口令至多每隔1星期更改一次 WARNWEEKS=3修改口令后第三个星期会收到快要

4、修改口令的信息 PASSLENGTH=6用户口令长度不少于6个字符 6、限制使用su的组（只允许sysadmin组执行su命令） #chgrpsysadmin/bin/su #chmodo-rwx/bin/su 7、su的纪录 /etc/default/su文件 SULOG=/var/adm/sulog SYSLOG=YES CONSOLE=/dev/console PATH=/usr/bin: SUPATH=/usr/sbin:/usr/bin 8、禁止root远程登录 /etc/default/login中设置CONSOLE=/dev/null 在/etc/ftpusers里加上root。

5、 在SSH设置文件加：permitRootLogin=no （Solaris9自带SSH，缺省就禁止root登陆,对Solaris9，/etc/ftpusers不再使用，FTP设置文件都在/etc/ftpd/下面。如果ftpd启动时存在/etc/ftpusers，他会被移动到/etc/ftpd/下） 四、系统加固 1、为OpenBoot设置密码 在Solaris中设置密码#eepromsecurity-password 在OpenBoot中设置密码okpassword 在Solaris中设置安全级别（command）#eepromsecurity-mode=command 在OpenBoot中

6、设置安全级别（command）oksetenvsecurity-modecommand 在OpenBoot中设置安全级别（full）oksetenvsecurity-modefull 2、取消不必须账号 移去或锁定那些不是必须的帐号，比如sysuucpnuucplisten等等，简单的办法是在/etc/shadow的password域中放上NP字符。 （简单办法是passwd-lusername） 3、文件系统 /etc目录中应该没有文件是组或其他用户可写的 find/etc/-typef?perm?g+w?print（查找组可写文件） find/etc/-typef?perm?o+w?pri

7、nt（查找其他用户可写文件） chmod?Rgo-w/etc（改动所有错误的组/其他用户的写权限） /var/adm/utmp和/var/adm/utmpx文件的权限应该是644 4、X-视窗系统手工锁定（当管理员离开计算机的时候） CDE中面板上的加锁图标 Open视窗系统中-鼠标右键-Utilities-LockScreen 5、/etc的存取权限 用chmod-Rg-w/etc命令来移去组用户对/etc的写权限。 6、打开数据包转发 #ndd?set/dev/ipip_forwarding1（在系统作为路由器的情况中执行） 关闭数据包转发 #ndd?set/dev/ipip_forwar

8、ding0（建议把这条命令加入/etc/init.d/inetinit中） 忽略重定向数据包（否则有遭到DOS的隐患） #ndd?set/dev/ipip_ignore_redirects1（加入/etc/init.d/inetinit） 不发送重定向数据包 #ndd?set/dev/ipip_send_redirects0（加入/etc/init.d/inetinit） 禁止转发定向广播（如果网桥连结则不禁止） #ndd?set/dev/ipip_forward_directed_broadcasts0（加入/etc/init.d/inetinit） 禁止转发在数据源设置了路由的数据包 #n

9、dd?set/dev/ipip_forward_src_routed0（加入/etc/init.d/inetinit） 7、利用/etc/notrouter关闭IP转发 创建/etc/notrouter文件，重启计算机（入侵者如果能访问根目录，能使用ndd命令重新开启IP转发） /etc/inet/hosts中的设置 127.0.0.1Localhost（所有系统都有这一项） 192.168.0.13Loghost（syslog使用的） 192.168.0.109wy_solaris（主机IP和主机名） /etc/defaultrouter包含了默认路由器的名称或IP 如果使用了默认路由器，在

10、/etc/inet/hosts文件中必须包含路由器的名称，因为如果设置了路由表，系统将不会运行所有目录服务（DNS、NIS或NIS+） 8、cron（任务在/var/spool/cron/crontabs/一般行为在/etc/default/cron） 格式：minutehourday-of-monthmonthday-of-weekcommand （每项间用空格，同一项两个数字间用逗号，每项为数字或星号） 设置： 查看命令crontab?l （1）进入只有本用户可读的目录 （2）crontab?lmycronfile （3）编辑mycronfile （4）crontab/etc/system

11、 echosetnoexec_user_stack_log=1/etc/system （对Solaris9，能对单个程式设定堆栈不可执行属性，前提是有该程式的源码，例如：#cc-M/usr/lib/ld/map.noexstkmyprogram.c） 12、使IPforwarding和sourecrouting(源路)由无效 在Inetinit中使IPforwarding和sourecrouting(源路)由无效(如果有超过一个网络接口的话)。在/etc/init.d/inetinit中增加下面所示设置: ndd-set/dev/ipip_forward_directed_broadcasts

12、0 ndd-set/dev/ipip_forward_src_routed0 ndd-set/dev/ipip_forwarding0 13、防止TCP序列号预测攻击(ip欺骗) 建议在/etc/default/inetinit中增加如下的生成初始化序列号设置来防止TCP序列号预测攻击(ip欺骗):TCP_STRONG_ISS=2 14、（如果有ftp服务）不要使用匿名ftp /etc/inet/inetd.conf中的ftpd为（记录） ftpstreamtcpnowaitroot/usr/sbin/in.ftpdin.ftpd?dl 决不能用root身份使用ftp（口令不加密） /etc/

13、ftpusers中的增加终极用户（这里的账号禁止用ftp连接系统） FTP服务暴露系统敏感信息 编辑/etc/default/ftpd文件，如果文件不存在就新建一个，在文件中的加进以下一项：BANNER=XXXX(XXXX能任意改动为所有一个版本信息)，将该系统版本信息屏蔽. 15、关闭NFS服务 16、用SSH替代Telnet服务 17、限制.rhosts、.netrc和/etc/hosts.equiv文件的使用 限制.rhosts、.netrc和/etc/hosts.equiv文件的使用。r系列命令使用这些文件来访问系统。要为这些文件加锁，先创建他们，然后修改其属性为零即可。这样除了roo

14、t用户就没有其他用户能创建或修改他们了。 /usr/bin/touch/.rhosts/.netrc/etc/hosts.equiv /usr/bin/chmod0/.rhosts/.netrc/etc/hosts.equiv .rhosts文件能作为一个典型的后门文件使用，在某用户的目录下存在.rhosts文件的话，所有用户都能通过rlogin不必口令以该用户的身份登录到系统。 运行下面的命令全局查找.rhosts文件 #find?name“.rhosts”?print 18、使多路广播(multicasting)无效 为了使多路广播(multicasting)无效请在/etc/init.d

15、/inetsvc中注解掉routeadd224.0.0.0周围的几行。 19、关闭系统的snmp服务 更改/etc/rc2.d/K07snmpdx和/etc/rc3.d/S76snmpdx文件名 20、X-视窗系统不安全，能使用ssh对其加密 21、加强网络访问控制 编辑/etc/inet.d/inetsvc，在inetd后面加上-t选项 类似命令/usr/sbin/inetd?s?t 停止再运行inetd 运行的使用使用#/usr/sbin/inetd?s?t 22、网络访问控制 原则：去掉不必要的网络访问，在所需要的网络访问周围简历访问控制 Solaris网络服务（/etc/inet/se

16、rvices）没有被注释/*/的服务可关闭 #ident(#)services1.2700/11/06SMI/*SVr4.01.8*/ # # #Copyright(c)1999-2000bySunMicrosystems,Inc. #Allrightsreserved. # #Networkservices,Internetstyle # tcpmux1/tcp/*必须*/ echo7/tcp echo7/udp discard9/tcpsinknull discard9/udpsinknull systat11/tcpusers daytime13/tcp daytime13/udp ne

17、tstat15/tcp chargen19/tcpttytstsource chargen19/udpttytstsource ftp-data20/tcp/*依服务可选*/ ftp21/tcp/*依服务可选*/ ssh22/tcp/*依服务可选*/ telnet23/tcp/*依服务可选*/ smtp25/tcpmail/*依服务可选*/ time37/tcptimserver time37/udptimserver name42/udpnameserver whois43/tcpnicname#usuallytosri-nic domain53/udp/*依服务可选*/ domain53/

18、tcp/*依服务可选*/ bootps67/udp#BOOTP/DHCPserver bootpc68/udp#BOOTP/DHCPclient hostnames101/tcphostname#usuallytosri-nic pop2109/tcppop-2#PostOfficeProtocol-V2 pop3110/tcp#PostOfficeProtocol-Version3 sunrpc111/udprpcbind sunrpc111/tcprpcbind imap143/tcpimap2#InternetMailAccessProtocolv2 ldap389/tcp#Lightw

19、eightDirectoryAccessProtocol ldap389/udp#LightweightDirectoryAccessProtocol submission587/tcp#MailMessageSubmission submission587/udp#seeRFC2476 ldaps636/tcp#LDAPprotocoloverTLS/SSL(wassldap) ldaps636/udp#LDAPprotocoloverTLS/SSL(wassldap) # #Hostspecificfunctions # tftp69/udp rje77/tcp finger79/tcp

20、link87/tcpttylink supdup95/tcp iso-tsap102/tcp x400103/tcp#ISOMail x400-snd104/tcp csnet-ns105/tcp pop-2109/tcp#PostOffice uucp-path117/tcp nntp119/tcpusenet#NetworkNewsTransfer ntp123/tcp#NetworkTimeProtocol ntp123/udp#NetworkTimeProtocol netbios-ns137/tcp#NETBIOSNameService netbios-ns137/udp#NETBI

21、OSNameService netbios-dgm138/tcp#NETBIOSDatagramService netbios-dgm138/udp#NETBIOSDatagramService netbios-ssn139/tcp#NETBIOSSessionService netbios-ssn139/udp#NETBIOSSessionService NeWS144/tcpnews#WindowSystem slp427/tcpslp#ServiceLocationProtocol,V2 slp427/udpslp#ServiceLocationProtocol,V2 mobile-ip

22、434/udpmobile-ip#Mobile-IP cvc_hostd442/tcp#NetworkConsole # #UNIXspecificservices # #theseareNOTofficiallyassigned # exec512/tcp login513/tcp shell514/tcpcmd#nopasswordsused printer515/tcpspooler#lineprinterspooler courier530/tcprpc#experimental uucp540/tcpuucpd#uucpdaemon biff512/udpcomsat who513/

23、udpwhod syslog514/udp/*依服务可选*/ talk517/udp route520/udprouterrouted ripng521/udp klogin543/tcp#Kerberosauthenticatedrlogin kshell544/tcpcmd#Kerberosauthenticatedremoteshell new-rwho550/udpnew-who#experimental rmonitor560/udprmonitord#experimental monitor561/udp#experimental pcserver600/tcp#ECDIntegr

24、atedPCboardsrvr sun-dr665/tcp#RemoteDynamicReconfiguration kerberos-adm749/tcp#KerberosV5Administration kerberos-adm749/udp#KerberosV5Administration kerberos750/udpkdc#Kerberoskeyserver kerberos750/tcpkdc#Kerberoskeyserver krb5_prop754/tcp#KerberosV5KDCpropogation ufsd1008/tcpufsd#UFS-awareserver uf

25、sd1008/udpufsd cvc1495/tcp#NetworkConsole ingreslock1524/tcp www-ldap-gw1760/tcp#HTTPtoLDAPgateway www-ldap-gw1760/udp#HTTPtoLDAPgateway listen2766/tcp#SystemVlistenerport nfsd2049/udpnfs#NFSserverdaemon(clts) nfsd2049/tcpnfs#NFSserverdaemon(cots) eklogin2105/tcp#Kerberosencryptedrlogin lockd4045/udp#NFSlockdaemon/manager lockd4045/tcp dtspc6112/tcp#CDEsubprocesscontrol/*依服务可选*/ fs7100/tcp#Fontserver/*依服务可选*/ 执行方法： /etc/inet/services在相应服务前加“