Solaris系统安全加固列表Word格式文档下载.docx
- 文档编号:20696093
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:13
- 大小:22.80KB
Solaris系统安全加固列表Word格式文档下载.docx
《Solaris系统安全加固列表Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《Solaris系统安全加固列表Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
#passwd–ftest
禁止test账号修改口令
#passwd–n2–x1test
封锁test账号,禁止登录
#passwd–ltest
4、组口令
用newgrp<
group>
命令临时改变gid
由于sysadmin组可执行admintool,必须要保护好,增加组口令的过程:
删除不需要的成员(如果成员属于sysadmin,改变组时不需要口令)
#passwd<
user>
(通常封锁的账号)
提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段
封锁user账号
5、修改口令策略
/etc/default/passwd文件
MAXWEEKS=4口令至少每隔4星期更改一次
MINWEEKS=1口令至多每隔1星期更改一次
WARNWEEKS=3修改口令后第三个星期会收到快要修改口令的信息
PASSLENGTH=6用户口令长度不少于6个字符
6、限制使用su的组(只允许sysadmin组执行su命令)
#chgrpsysadmin/bin/su
#chmodo-rwx/bin/su
7、su的纪录
/etc/default/su文件
SULOG=/var/adm/sulog
SYSLOG=YES
CONSOLE=/dev/console
PATH=/usr/bin:
SUPATH=/usr/sbin:
/usr/bin
8、禁止root远程登录
/etc/default/login中设置CONSOLE=/dev/null
在/etc/ftpusers里加上root。
在SSH配置文件加:
permitRootLogin=no
(Solaris9自带SSH,缺省就禁止root登陆,对Solaris9,/etc/ftpusers不再使用,FTP配置文件都在/etc/ftpd/下面。
如果ftpd启动时存在/etc/ftpusers,它会被移动到/etc/ftpd/下)
四、系统加固
1、为OpenBoot设置密码
在Solaris中设置密码#eepromsecurity-password
在OpenBoot中设置密码okpassword
在Solaris中设置安全级别(command)#eepromsecurity-mode=command
在OpenBoot中设置安全级别(command)oksetenvsecurity-modecommand
在OpenBoot中设置安全级别(full)oksetenvsecurity-modefull
2、取消不必须账号
移去或者锁定那些不是必须的帐号,比如sys\uucp\nuucp\listen等等,简单的办法是在/etc/shadow的password域中放上NP字符。
(简单办法是passwd-lusername)
3、文件系统
/etc目录中应该没有文件是组或者其他用户可写的
find/etc/-typef–perm–g+w–print(查找组可写文件)
find/etc/-typef–perm–o+w–print(查找其他用户可写文件)
chmod–Rgo-w/etc(改变任何错误的组/其他用户的写权限)
/var/adm/utmp和/var/adm/utmpx文件的权限应该是644
4、X-Windows手工锁定(当管理员离开电脑的时候)
CDE中面板上的加锁图标
OpenWindows中-鼠标右键-Utilities-LockScreen
5、/etc的存取权限
用chmod-Rg-w/etc命令来移去组用户对/etc的写权限。
6、打开数据包转发
#ndd–set/dev/ipip_forwarding1(在系统作为路由器的情况中执行)
关闭数据包转发
#ndd–set/dev/ipip_forwarding0(建议把这条命令加入/etc/init.d/inetinit中)
忽略重定向数据包(否则有遭到DOS的隐患)
#ndd–set/dev/ipip_ignore_redirects1(加入/etc/init.d/inetinit)
不发送重定向数据包
#ndd–set/dev/ipip_send_redirects0(加入/etc/init.d/inetinit)
禁止转发定向广播(如果网桥连结则不禁止)
#ndd–set/dev/ipip_forward_directed_broadcasts0(加入/etc/init.d/inetinit)
禁止转发在数据源设置了路由的数据包
#ndd–set/dev/ipip_forward_src_routed0(加入/etc/init.d/inetinit)
7、利用/etc/notrouter关闭IP转发
创建/etc/notrouter文件,重启计算机(入侵者如果可以访问根目录,可以使用ndd命令重新开启IP转发)
/etc/inet/hosts中的配置
127.0.0.1Localhost(所有系统都有这一项)
192.168.0.13Loghost(syslog使用的)
192.168.0.109wy_solaris(主机IP和主机名)
/etc/defaultrouter包含了默认路由器的名称或者IP
如果使用了默认路由器,在/etc/inet/hosts文件中必须包含路由器的名称,因为如果设置了路由表,系统将不会运行任何目录服务(DNS、NIS或者NIS+)
8、cron(任务在/var/spool/cron/crontabs/一般行为在/etc/default/cron)
格式:
minutehourday-of-monthmonthday-of-weekcommand
(每项间用空格,同一项两个数字间用逗号,每项为数字或者星号)
配置:
查看命令crontab–l
(1)进入只有本用户可读的目录
(2)crontab–l>
mycronfile
(3)编辑mycronfile
(4)crontab<
不要使用crontab–e命令,因为它会在/tmp下建立所有用户都可读的crontab副本
访问cron系统
/etc/cron.d/cron.allow(允许)
/etc/cron.d/cron.deny(不允许)
存在cron.allow,其中没有某用户,则不允许此用户访问cron系统
存在cron.deny,其中没有某用户,则允许此用户访问cron系统
在/etc/default/cron里设置了"
CRONLOG=yes"
来记录corn的动作
PATH中不应包含“/tmp”“~”“.”字样
at(任务在/var/spool/cron/atjobs)
/etc/cron.d/at.allow和/etc/cron.d/at.deny和cron文件完全一样
9、增加静态路由
routeaddnetnet-addresssubnet-maskrouterhops
例如:
routeaddnet10.15.0.0255.255.0.010.14.48.21
(要到达10.15.x.x的网络,需要将数据包送往路由器10.14.48.2,距离10.15.x.x有一个跃点。
这个命令将增加到启动文件/etc/rc2.d/S72inetsvc)
增加动态路由(会带来安全隐患)
在/etc/rc2.d/S72inetsvc中增加和是的命令行
运行in.routed或者in.rdisc
诊断工具snoop可以sniff,只有root可以使用,可以把snoop从不需要的UNIX机器上删除
10、root的umask设置错误
修改/etc/profile文件,将umask设为077或者027
11、堆栈缓冲溢出攻击防护设置
在/etc/system里加上如下语句,禁止缓冲溢出:
echo"
setnoexec_user_stack=1"
>
>
/etc/system
setnoexec_user_stack_log=1"
(对Solaris9,可以对单个程序设定堆栈不可执行属性,前提是有该程序的源码,例如:
#cc-M/usr/lib/ld/map.noexstkmyprogram.c)
12、使IPforwarding和sourecrouting(源路)由无效
在Inetinit中使IPforwarding和sourecrouting(源路)由无效(假如有超过一个网络接口的话)。
在/etc/init.d/inetinit中增加下面所示设置:
ndd-set/dev/ipip_forward_directed_broadcasts0
ndd-set/dev/ipip_forward_src_routed0
ndd-set/dev/ipip_forwarding0
13、防止TCP序列号预测攻击(ip欺骗)
建议在/etc/default/inetinit中增加如下的生成初始化序列号设置来防止TCP序列号预测攻击(ip欺骗):
TCP_STRONG_ISS=2
14、(如果有ftp服务)不要使用匿名ftp
/etc/inet/inetd.conf中的ftpd为(记录)
ftpstreamtcpnowaitroot/usr/sbin/in.ftpdin.ftpd–dl
决不能用root身份使用ftp(口令不加密)
/etc/ftpusers中的增加超级用户(这里的账号禁止用ftp连接系统)
FTP服务暴露系统敏感信息
编辑/etc/default/ftpd文件,假如文件不存在就新建一个,在文件中的加进以下一项:
BANNER=XXXX(XXXX可以任意改变为任何一个版本信息),将该系统版本信息屏蔽.
15、关闭NFS服务
16、用SSH替代Telnet服务
17、限制.rhosts、.netrc和/etc/hosts.equiv文件的使用
限制.rhosts、.netrc和/etc/hosts.equiv文件的使用。
r系列命令使用这些文件来访问系统。
要为这些文件加锁,先创建它们,然后修改其属性为零即可。
这样除了root用户就没有其它用户能创建或修改它们了。
/usr/bin/touch/.rhosts/.netrc/etc/hosts.equiv
/usr/bin/chmod0/.rhosts/.netrc/etc/hosts.equiv
.rhosts文件可以作为一个典型的后门文件使用,在某用户的目录下存在.rhosts文件的话,任何用户都可以通过rlogin不需要口令以该用户的身份登录到系统。
运行下面的命令全局查找.rhosts文件
#find–name“.rhosts”–print
18、使多路广播(multicasting)无效
为了使多路广播(multicasting)无效请在/etc/init.d/inetsvc中注解掉"
routeadd224.0.0.0"
周围的几行。
19、关闭系统的snmp服务
更改/etc/rc2.d/K07snmpdx和/etc/rc3.d/S76snmpdx文件名
20、X-Windows不安全,可以使用ssh对其加密
21、加强网络访问控制
编辑/etc/inet.d/inetsvc,在inetd后面加上-t选项
类似命令/usr/sbin/inetd–s–t
停止再运行inetd
运行的使用使用#/usr/sbin/inetd–s–t
22、网络访问控制
原则:
去掉不必要的网络访问,在所需要的网络访问周围简历访问控制
Solaris网络服务(/etc/inet/services)[没有被注释/**/的服务可关闭]
#ident"
@(#)services1.2700/11/06SMI"
/*SVr4.01.8*/
#
#Copyright(c)1999-2000bySunMicrosystems,Inc.
#Allrightsreserved.
#Networkservices,Internetstyle
tcpmux1/tcp/*必须*/
echo7/tcp
echo7/udp
discard9/tcpsinknull
discard9/udpsinknull
systat11/tcpusers
daytime13/tcp
daytime13/udp
netstat15/tcp
chargen19/tcpttytstsource
chargen19/udpttytstsource
ftp-data20/tcp/*依服务可选*/
ftp21/tcp/*依服务可选*/
ssh22/tcp/*依服务可选*/
telnet23/tcp/*依服务可选*/
smtp25/tcpmail/*依服务可选*/
time37/tcptimserver
time37/udptimserver
name42/udpnameserver
whois43/tcpnicname#usuallytosri-nic
domain53/udp/*依服务可选*/
domain53/tcp/*依服务可选*/
bootps67/udp#BOOTP/DHCPserver
bootpc68/udp#BOOTP/DHCPclient
hostnames101/tcphostname#usuallytosri-nic
pop2109/tcppop-2#PostOfficeProtocol-V2
pop3110/tcp#PostOfficeProtocol-Version3
sunrpc111/udprpcbind
sunrpc111/tcprpcbind
imap143/tcpimap2#InternetMailAccessProtocolv2
ldap389/tcp#LightweightDirectoryAccessProtocol
ldap389/udp#LightweightDirectoryAccessProtocol
submission587/tcp#MailMessageSubmission
submission587/udp#seeRFC2476
ldaps636/tcp#LDAPprotocoloverTLS/SSL(wassldap)
ldaps636/udp#LDAPprotocoloverTLS/SSL(wassldap)
#Hostspecificfunctions
tftp69/udp
rje77/tcp
finger79/tcp
link87/tcpttylink
supdup95/tcp
iso-tsap102/tcp
x400103/tcp#ISOMail
x400-snd104/tcp
csnet-ns105/tcp
pop-2109/tcp#PostOffice
uucp-path117/tcp
nntp119/tcpusenet#NetworkNewsTransfer
ntp123/tcp#NetworkTimeProtocol
ntp123/udp#NetworkTimeProtocol
netbios-ns137/tcp#NETBIOSNameService
netbios-ns137/udp#NETBIOSNameService
netbios-dgm138/tcp#NETBIOSDatagramService
netbios-dgm138/udp#NETBIOSDatagramService
netbios-ssn139/tcp#NETBIOSSessionService
netbios-ssn139/udp#NETBIOSSessionService
NeWS144/tcpnews#WindowSystem
slp427/tcpslp#ServiceLocationProtocol,V2
slp427/udpslp#ServiceLocationProtocol,V2
mobile-ip434/udpmobile-ip#Mobile-IP
cvc_hostd442/tcp#NetworkConsole
#UNIXspecificservices
#theseareNOTofficiallyassigned
exec512/tcp
login513/tcp
shell514/tcpcmd#nopasswordsused
printer515/tcpspooler#lineprinterspooler
courier530/tcprpc#experimental
uucp540/tcpuucpd#uucpdaemon
biff512/udpcomsat
who513/udpwhod
syslog514/udp/*依服务可选*/
talk517/udp
route520/udprouterrouted
ripng521/udp
klogin543/tcp#Kerberosauthenticatedrlogin
kshell544/tcpcmd#Kerberosauthenticatedremoteshell
new-rwho550/udpnew-who#experimental
rmonitor560/udprmonitord#experimental
monitor561/udp#experimental
pcserver600/tcp#ECDIntegratedPCboardsrvr
sun-dr665/tcp#RemoteDynamicReconfiguration
kerberos-adm749/tcp#KerberosV5Administration
kerberos-adm749/udp#KerberosV5Administration
kerberos750/udpkdc#Kerberoskeyserver
kerberos750/tcpkdc#Kerberoskeyserver
krb5_prop754/tcp#KerberosV5KDCpropogation
ufsd1008/tcpufsd#UFS-awareserver
ufsd1008/udpufsd
cvc1495/tcp#NetworkConsole
ingreslock1524/tcp
www-ldap-gw1760/tcp#HTTPtoLDAPgateway
www-ldap-gw1760/udp#HTTPtoLDAPgateway
listen2766/tcp#SystemVlistenerport
nfsd2049/udpnfs#NFSserverdaemon(clts)
nfsd2049/tcpnfs#NFSserverdaemon(cots)
eklogin2105/tcp#Kerberosencryptedrlogin
lockd4045/udp#NFSlockdaemon/manager
lockd4045/tcp
dtspc6112/tcp#CDEsubprocesscontrol/*依服务可选*/
fs7100/tcp#Fontserver/*依服务可选*/
执行方法:
/etc/inet/services在相应服务前加“#”注释掉
/etc/inet/inetd.conf中注释掉services中相应的条目
查找并重启inetd进程
#ps–ef|grepinetd(获得进程号)
#kill–HUP<
进程号>
停止在上述列表中没有定义的服务
方法:
将文件改名(用mv命令,可以将S改为X)
停止相应进程
服务:
服务文件进程
sendmail/etc/rc2.d/S88sendmailSendmail
DNS/etc/rc2.d/S72inetsvc中in.named一项注释掉in.named
na
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Solaris 系统安全 加固 列表