Solaris安全手册Word格式.doc

Solaris安全手册Word格式.doc

《Solaris安全手册Word格式.doc》由会员分享，可在线阅读，更多相关《Solaris安全手册Word格式.doc（4页珍藏版）》请在冰豆网上搜索。

最小限度保证安全的方法是只在主机上运行一个或两个服务。

使

用一个机器比只使用一个拥有所有权利的机器安全的多，因为这

样可以隔离，方便查找问题所在。

总之：

在你的机器上运行你一

些最必要的服务。

考虑拆除键盘，屏幕，这样可以避免使用X11

和知道命令行所示，在一个隔离的信任的网络段中进行测试。

明

确你的系统和硬件配置能产生什么样的结果，如在安装SUN的

Disksuite时要考虑

你是否需要RPC服务，因为DISKSUITE必须使用RPC服务。

明确各

种应用程序是怎样工作的如：

使用什么端口和文件.

2，初始化安装操作系统。

连接串口控制台，开机，当出现OK提示时发送Stop-A信息

（~#,~%b,或者F5，主要取决于你使用tip,cu或者vt100终端），然

后开始安装过程-"

bootcdrom-install"

使用最小安装enduserbundle（除非你要额外的

server/developer工具），设置主机名，终端，IP参数，时区等

等，不要激活NIS或者NFS及不要激活电源管理。

选择手工划分分

区：

把/usr和/opt和ROOT分离开来以便这些分区可以以只读方式

挂（mount）起来。

考虑把大的/var文件系统和拥有较多的数据量

如（web,ftp）划分为独立的分区。

如果硬盘是2GB建议200MB/（+var）,200MBswap,600MB/usr

及1GB给/opt

如果硬盘是2GB建议300MB/（+var+opt）,200MBswap,500MB

/usr

给ROOT设置一个7到8字符大小写结合等比较强壮的密码，再重启

动。

接着安全由SUN的安全补丁。

一般的在CD上就包含这些安全补丁

包。

重启动及作为ROOT重启动后，你可以使用showrev-p查看补

丁列表。

3，配置操作系统

磁盘共享（mount）:

为了减少木马和不授权的修改，在

/etc/vfstab,在mount/时请使用"

remount,nosuid"

选项；

在

/var上请带上"

nosuid"

在/tmp后加上

"

size=100m,nosuid"

选项（允许/tmp只能使用100M空间及不允许

执行SUID程序）；

如果软盘不需要的话再把"

/dev/fd"

行注释掉。

（下面的命令假定你使用的是c-shell）

使NFS无效：

rm/etc/rc2.d/{S73nfs.client,K28nfs.server}

/etc/rc3.d/S15nfs.server/etc/dfs/dfstab使Sendmail守护程

序无效，虽然sendmail不是作为一个守护程序来运行的，但两进

制程序是依然存在的，EMAIL还可以通过它了发送（但不能接

受）。

设定只要一个主机来接受EMAIL，另必须使用smap或其他等

同命令来把sendmail危险程度降低到最底。

rm/etc/rc2.d/S88sendmail

再在cron行中增加处理邮件队列的命令：

0****/usr/lib/sendmail-q

在关闭一些其他的服务：

rm

/etc/rc2.d/{S74autofs,S,S71sysid.sys,S72autoinstall}

/etc/rc2.d/{S93cacheos.finish,S73cachefs.daemon,S80PRESERVE}

rm/etc/rc2.d/{S85power,K07dmi}

rm/etc/rc3.d/S77dmi

Ifyouhaveserver/developerpackages:

rm/etc/rc2.d/{S47asppp,S89bdconfig,S70uucp}

使RPC无效：

这一般来说是建议关闭此功能的，但一些程序如

DISKSUITE会开启RPC服务，所以一般建议不使用DISKSUITE工

具。

如果你不想使RPC无效，则一定要使用信息包过滤器。

rm/etc/rc2.d/S71rpc

使打印服务无效（除非有一个本地打印机存在）：

rm/etc/rc2.d/{S80lp,S80spc}

使namingServicesCachingDaemon（名字服务缓冲守护程序）服

务无效:

mv/etc/rc2.d/S76nscd/etc/rc2.d/.S76nscd

使CDE程序无效（除非你坚持要使用图形控制台）：

rm/etc/rc2.d/S99dtlogin

使NTP-NETWORKTIMEPROTOCOL无效（NTP会增加带宽和不安全的

因素，建议使用

rdate到一台使用NTP的机器来获得精确时间）：

rm/etc/rc2.d/S74xntpd

使SNMP无效：

rm/etc/rc2.d/K07snmpdx/etc/rc3.d/S76snmpdx

在Inetinit中是IPforwarding和sourecrouting（源路）由无效

（假如有超过一个网络接口的话）。

在/etc/init.d/inetinit中增

加下面所示设置:

ndd-set/dev/ipip_forward_directed_broadcasts0

ndd-set/dev/ipip_forward_src_routed0

ndd-set/dev/ipip_forwarding0

根据RFC1948建议在/etc/default/inetinit中增加如下的生成初

始化序列号设置来防止TCP序列号预测攻击（ip欺骗）:

TCP_STRONG_ISS=2

在/etc/system中增加如下设置来防止某些缓冲溢出攻击。

这些

保护是那些需在堆栈中执行的攻击方式。

但需要硬件的支持（只

在sun4u/sun4d/sun4m系统中有效）：

setnoexec_user_stack=1

setnoexec_user_stack_log=1

使用默认路由：

在/etc/defaultrouter中增加IP地址，或使用

route"

在/etc/rc2.d/S99static_routes中建立启动文件。

为了

使动态路由无效：

touch/etc/notrouter

为了使多路广播（multicasting）无效请在/etc/init.d/inetsvc

中注解掉

routeadd224.0.0.0"

周围的几行。

为了记录INETD连接的所有信息，在inetd低端的启动行中增加

-t"

参数，

即:

:

/usr/sbin/inetd-s-t

在/etc/hosts中配置一些你想取舍的主机（一些你不想通过DNS解

析的）。

/etc/inetd.conf:

先使所有服务无效；

配置你真正需要的服务，但必须使用FWTKnetacl或tcp

wrappers来允许最小限度的IP地址访问和各种记录

4，连接并测试网络

系统通过上面的安全剥离和筛选，你必须肯定系统能正常工作，

把它连接到一个安全隔离的网络。

重起并以ROOT身份登录控制

台，检查控制台启动时的错误信息并根据需要进行修改。

5，安装系统管理工具软件

这部分将安装标准的工具和实用程序。

最重要的是SSH，这些工

具必须在其他机器上编译和精心测试过的。

环境：

DNS客户端：

在/etc/resolv.conf中增加域名和DNS服务；

/etc/nsswitch.conf中增加DNS入口的主机。

EMAIL：

如果主机不需要在子网外发送EMAIL，就不需要使用

mailhost的别名。

否则的话必须编辑/etc/mail/aliases，在

/etc/hosts中设置mailhost，在/etc/mail/sendmail.cf取消Dj

行的注释并把它设置为Dj$w.YOURDOMAIN.COM.

如果DNS没有配置，就在/etc/hosts中增加这太机器的别名

hostname.YOURDOMAIN.COM。

现在发送一封测试EMAIL:

mailx-v-stest_emailroot