Solaris安全设置和日志管理PPT课件

1、PROMOpenBoot安全级别 None:不需要任何口令 Command：除了boot和go之外所有命令都需要口令 Full:除了go命令之外所有命令都需要口令 设置OpenBoot口令 eeprom security-password 改变安全级别 setenv security-mode=command 防止堆栈的缓冲区溢出 n#cp /etc/system /etc/ n#vi /etc/systemset noexec_user_stack=1 set noexec_user_stack_log=1 第1页/共23页SUID/SGID real user ID 用户登录IDwho a

2、m i effective user ID 用户会话过程IDwhoamiE.g. 获得bash的root SUID#cp /bin/bash /home/badman/.bash#chmod 4777 /home/badman/.bash 定期察看系统中SUID和SGID文件 第2页/共23页系统的启动和关闭 更改不必要的启动文件 检查所有在和以S开头的文件，去掉不必要的服务以下/etc/中的服务是必须的：K15rrcd S05RMTMPFILES K15solved S20sysetup S72inetsvc S99audit S21perf S99dtlogin K25snmpd S S9

3、9netconfig K50pop3 S74syslog S75cron S92rtvc-config K60nfs.server K65nfs.client S69inet K92volmgt README S95SUNWmd.sync S01MOUNTFSYS S71sysid.sys S88utmpd S95rrcd 第3页/共23页备份 系统初装时的备份 定期备份 增量式备份 特别备份 tarufsdumpe.g.Perform a full level 0 backup of the /export/home file system# umount /export/home# fsc

4、k /export/home# ufsdump 0uf /dev/rmt/0 /export/homeufsrestore第4页/共23页用户账号和环境安全 口令管理passwd -n 30 user #强迫用户每30天修改一次密码passwd -f user #强迫用户在下一次登录时修改口令passwd -n 2 -x 1 user #禁止用户修改口令passwd -l user #封锁用户账号，禁止登录 删除不必要的帐号 sys uucp nuucp listen等等 在/etc/shadow的password域中放上NP字符第5页/共23页 取消ROOT的远程登陆 /etc/defaul

5、t/login/etc/ftpusers /etc/shells 配置ROOT的环境将umask设为077或者027 查看用户环境中路径设置情况，不要有./ NIS的安全问题/var/yp/securenets加入信任主机采用NIS+ 用户账号和环境安全(cont.)第6页/共23页 Telnet和ftpinetd 守护进程 /etc/ ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd telnet stream tcp nowait root /usr/local/bin/tcpd /etc/servi

6、cesftp 21/tcptelnet 23/tcp取消不必要的服务，然后kill HUP inetdPID网络服务第7页/共23页网络服务(cont.) r服务（见下页图）2)$HOME/.rhosts 3)修改 tcpd的访问控制 first check /etc/e.g.second check /etc/e.g.ALL: /usr/bin/mailx -s %d: connection attempt from %c 第8页/共23页网络服务(cont.)第9页/共23页网络服务(cont.) 取消NFS服务修改/etc/dfs/dfstabNFS server启动脚本NFS clie

7、nt启动脚本 rpcbind安全依靠远程系统的IP地址和远程用户的UID来验证 第10页/共23页ndd 修改核心和TCP/IP的设备参数 ndd /dev/arp ? ndd /dev/icmp ? ndd /dev/ip ? ndd /dev/tcp ? #ndd -set /dev/arp arp_debug 0 0： 代表特性禁止 #ndd -set /dev/arp arp_debug 1 1： 代表特性允许 第11页/共23页ndd(cont.) 减少ARP过期时间 #ndd -set /dev/arp arp_cleanup_interval 60000 #ndd -set /d

8、ev/ip ip_ire_flush_interval 60000 60000=60000 ms 默认是300000 建立静态ARP表 #more file1 08:00:20:ba:a1:f2user. 08:00:20:ee:de:1f #arp -f file1 禁止ARP#ifconfig interface -arp (前提是使用静态的ARP表 )第12页/共23页ndd(cont.) 关闭IP转发#ndd -set /dev/ip ip_forwarding 0 严格限定多主宿主机#ndd -set /dev/ip ip_strict_dst_multihoning 1 关闭转发包

9、广播#ndd -set /dev/ip ip-forward_directed_broadcasts 0 关闭转发源路由包#ndd -set /dev/ip ip_forward_src_routed 0 第13页/共23页ndd(cont.) 关闭对echo广播的响应#ndd -set /dev/ip ip_respond_to_echo_boadcast 0 关闭响应时间戳广播 #ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0 关闭地址掩码广播#ndd -set /dev/ip ip_respind_to_address_mask_

10、broadcast 0 忽略ICMP重定向错误报文#ndd -set /dev/ip ip_ignore_redirect 1 第14页/共23页ndd(cont.) 禁止本机发送错误重定向报文#ndd -set /dev/ip ip_send_redirects 0 关闭时间戳响应 #ndd -set /dev/ip ip_respond_to_timestamp 0 提高未连接队列大小(SYN flood attack)#ndd -set /dev/tcp tcp_conn_req_max_q0 4096 提高连接队列大小(连接耗尽攻击)#ndd -set /dev/tcp tcp_con

11、n_req_max_q 1024 第15页/共23页IP欺骗 攻击过程1)使被信任主机的网络暂时瘫痪2)连接到目标机的某个端口来猜测ISN基值和增加规律3)把源址址伪装成被信任主机，发送带有SYN标志的数据段请求连接 4)等待目标机发送SYN+ACK包给已经瘫痪的主机5)再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的ISN+1 6)连接建立，发送命令请求 改进办法修改/etc/default/inetinit使用更好的随机ISN生成方法 TCP_STRONG_ISS=2 第16页/共23页cron和at 查看所有的cron任务#crontab l/var/spoo

12、l/cron/crontabs cron日志/etc/default/cron里设置CRONLOG=yes cron用户配置 /etc/和/etc/ at 用户配置/etc/和/etc/ 第17页/共23页系统日志 /etc/ Example:*.err /var/adm/messages*.err is the selector field; * is the facility, . is the delimiter, and err is the level of the message/var/adm/messages Is the action field Notecan use th

13、e * to select all facilities (for example *.err); cannot use it to select all levels for a facility (for example, kern.*)第18页/共23页系统日志(cont.) Another sample /etc/#user1 and user2 receive alert messages if they are logged in.*.alert user1,user2#All logged-in users will receive emerg messages.*.emerg

14、*#If the LOGHOST variable was evaluated as TRUE, messages are #forwarded to the syslogd of the remote system. ifdef(LOGHOST, /var/log/authlog, loghost) LOGHOSTexample in host1#more /etc/hosts host1 loghost/LOGHOST is TRUE第19页/共23页系统日志(cont.) Enables TCP tracing# grep inetd /etc/usr/sbin/i

15、netd -s -t &/Add the t option# grep /etc/*./var/adm/messages#/etc/ stop#/etc/ start/restart the syslogd daemon Forward the messages to the printer #vi /etc/*./dev/lp0 第20页/共23页系统日志(cont.)Example of syslog Logged Entry第21页/共23页补丁管理 显示系统中安装的所有patch及版本showrev p patchadd p 安装patchpatchadd Note: -d option i