Solaris安全设置和日志管理.ppt

Solaris安全设置和日志管理 PROMOpenBoot安全级别 None 不需要任何口令Command 除了boot和go之外所有命令都需要口令Full 除了go命令之外所有命令都需要口令设置OpenBoot口令eepromsecurity password改变安全级别setenvsecurity mode command 防止堆栈的缓冲区溢出 cp etc system etc system backup vi etc systemsetnoexec user stack 1setnoexec user stack log 1 SUID SGID realuserID用户登录IDwhoamieffectiveuserID用户会话过程IDwhoamiE g 获得bash的rootSUID cp bin bash home badman bash chmod4777 home badman bash定期察看系统中SUID和SGID文件 系统的启动和关闭 更改不必要的启动文件检查所有在 etc rc2 d和 etc rc3 d以S开头的文件 去掉不必要的服务以下 etc init d 中的服务是必须的 K15rrcdS05RMTMPFILESK15solvedS20sysetupS72inetsvcS99auditS21perfS99dtloginK25snmpdSS99netconfigK50pop3S74syslogS75cronS92rtvc configK60nfs serverK65nfs clientS69inetK92volmgtREADMES95SUNWmd syncS01MOUNTFSYSS71sysid sysS88utmpdS95rrcd 备份 系统初装时的备份定期备份增量式备份特别备份tarufsdumpe g Performafulllevel0backupofthe export homefilesystem umount export home fsck export home ufsdump0uf dev rmt 0 export homeufsrestore 用户账号和环境安全 口令管理passwd n30user 强迫用户每30天修改一次密码passwd fuser 强迫用户在下一次登录时修改口令passwd n2 x1user 禁止用户修改口令passwd luser 封锁用户账号 禁止登录删除不必要的帐号sysuucpnuucplisten等等在 etc shadow的password域中放上NP字符 取消ROOT的远程登陆 etc default login etc ftpusers etc shells配置ROOT的环境将umask设为077或者027查看用户环境中路径设置情况 不要有 NIS的安全问题 var yp securenets加入信任主机采用NIS 用户账号和环境安全 cont Telnet和ftpinetd守护进程 etc inetd confftpstreamtcpnowaitroot usr local bin tcpd usr local bin wu ftpdtelnetstreamtcpnowaitroot usr local bin tcpd usr sbin in telnetd etc servicesftp21 tcptelnet23 tcp取消不必要的服务 然后kill HUPinetdPID 网络服务 网络服务 cont r服务 见下页图 1 etc hosts equiv2 HOME rhosts3 修改 etc inetd conftcpd的访问控制firstcheck etc hosts allowe g ALL 172 16 3 0 255 255 255 0secondcheck etc hosts denye g ALL usr bin mailx s d connectionattemptfrom c root 网络服务 cont 网络服务 cont 取消NFS服务修改 etc dfs dfstabNFSserver启动脚本 etc rc3 d S15nfs serverNFSclient启动脚本 etc rc2 d S73nfs clientrpcbind安全依靠远程系统的IP地址和远程用户的UID来验证 etc rc2 d S71RPC ndd 修改核心和TCP IP的设备参数ndd dev arp ndd dev icmp ndd dev ip ndd dev tcp ndd set dev arparp debug00 代表特性禁止 ndd set dev arparp debug11 代表特性允许 ndd cont 减少ARP过期时间 ndd set dev arparp cleanup interval60000 ndd set dev ipip ire flush interval6000060000 60000ms默认是300000建立静态ARP表 morefile108 00 20 ba a1 f2user 08 00 20 ee de 1f arp ffile1禁止ARP ifconfiginterface arp 前提是使用静态的ARP表 ndd cont 关闭IP转发 ndd set dev ipip forwarding0严格限定多主宿主机 ndd set dev ipip strict dst multihoning1关闭转发包广播 ndd set dev ipip forward directed broadcasts0关闭转发源路由包 ndd set dev ipip forward src routed0 ndd cont 关闭对echo广播的响应 ndd set dev ipip respond to echo boadcast0关闭响应时间戳广播 ndd set dev ipip respond to timestamp broadcast0关闭地址掩码广播 ndd set dev ipip respind to address mask broadcast0忽略ICMP重定向错误报文 ndd set dev ipip ignore redirect1 ndd cont 禁止本机发送错误重定向报文 ndd set dev ipip send redirects0关闭时间戳响应 ndd set dev ipip respond to timestamp0提高未连接队列大小 SYNfloodattack ndd set dev tcptcp conn req max q04096提高连接队列大小 连接耗尽攻击 ndd set dev tcptcp conn req max q1024 IP欺骗 攻击过程1 使被信任主机的网络暂时瘫痪2 连接到目标机的某个端口来猜测ISN基值和增加规律3 把源址址伪装成被信任主机 发送带有SYN标志的数据段请求连接4 等待目标机发送SYN ACK包给已经瘫痪的主机5 再次伪装成被信任主机向目标机发送的ACK 此时发送的数据段带有预测的目标机的ISN 16 连接建立 发送命令请求改进办法修改 etc default inetinit使用更好的随机ISN生成方法TCP STRONG ISS 2 cron和at 查看所有的cron任务 crontab l var spool cron crontabscron日志 etc default cron里设置 CRONLOG yes cron用户配置 etc cron d cron allow和 etc cron d cron denyat用户配置 etc cron d at allow和 etc cron d at deny 系统日志 etc syslog confExample err var adm messages erristheselectorfield isthefacility isthedelimiter anderristhelevelofthemessage var adm messagesIstheactionfieldNotecanusethe toselectallfacilities forexample err cannotuseittoselectalllevelsforafacility forexample kern 系统日志 cont Anothersample etc syslog conf user1anduser2receivealertmessagesiftheyareloggedin alertuser1 user2 Alllogged inuserswillreceiveemergmessages emerg IftheLOGHOSTvariablewasevaluatedasTRUE messagesare forwardedtothesyslogdoftheremotesystem mail debugifdef LOGHOST var log authlog loghost LOGHOSTexampleinhost1 more etc hosts192 9 200 1host1loghost LOGHOSTisTRUE 系统日志 cont EnablesTCPtracing grepinetd etc init d inetsvc usr sbin inetd s tmail crit dev lp0 系统日志 cont ExampleofsyslogLoggedEntry 补丁管理 显示系统中安装的所有patch及版本showrev ppa