第2.5 Solaris概要.ppt

网络安全 2.5 Solaris (SUN_UNIX) 太阳神—中心 SUN微系统公司开发的一种UNIX操作系统 2.5.1 系统的安全 1.启动和关闭 (1)更改不必要的启动文件 通常情况下，要检查所有在/etc/rc2.d和/etc/rc3.d中以S开头的文件，所有并非必要的设备或者服务都可以重命名(不要再以S开头)，然后可以重新启动，从/var/adm/messages中来观察自启动的情况，并且从“ps-elf’的输出中加以检查。 (2)系统里的Strip 在solaris下，可以通过对“/etc/rc[S0-3].d”文件来修改启动时自引导的动作。考虑移去/etc/rc2.d中在系统中用不到的服务，建议删除/etc/init.d里除以下列表中文件外的所有内容； K15rrcd S05rmtmpfiles K15solved s20sysetup s72inetsvc s99audit s21perf S99dtlogin K25snmpd S30 S99netconfig K50pop3 S74syslog S75cron S92rtvc-config K60nfs.server K65nfs.client S69inet K92volmgt README S95SUNWmd.sync S01MOUNTFSYS S71sysid.sys S88utmpd S95rrcd (3)取消NFS服务 NFS的共享输出是由/ere/dfs/dfstab文件管理的，可以将其删除。要将NFS服务器的守护进程关闭则可以重命名/etc/rc3.d/S15nfs.server。防止一台机器成为NFS客户机，可以重命名文件/etc/rc2.d/S73nfs.client，但要注意当重命名这些自启动文件时，不要将文件的首字母设为“S”。 (4)Rpcbind中的安全问题 Rpcbind是允许RPC请求和RPC服务之间相互连接的程序，但标准的RPC是不安全的，它使用远程系统的IP地址和远程用户的UID来验证。一般的系统可能需要某些RPC存在，但对各种服务器如Webservers，FTPservers，mailservers等最好将RPC服务关闭，也可以通过一些安全工具来确定RPC服务是否会影响到系统的安全性。可以通过将/etc/rc2.d/S71RPC改名来禁止RPC。 (5)sendmail的设置（发送邮件的设置） /usr/lib/sendmail守护程序并没有被打开，因为不必总在25端口监听mail的列表请求，要使用它可以在root的crontab文件中增加如下信息： “0****/usr/lib/sendmail -q/var/adm/sendmail.log 21” 这样sendmail进程将每隔一小时被调用去处理排队中的邮件。 2.防止在堆栈中执行代码 入侵者常用的系统漏洞是堆栈溢出，他们在堆栈里巧妙地插入一段代码，利用它们的溢出来执行，以获得对系统的某种权限。要让系统在堆栈缓冲溢出攻击中不易受侵害，可以在/etc/system里添加如下语句： set noexec_user_stack=1 set noexec_user_stack_ log=1 第一句可以防止在堆栈中执行插入的代码，第二句则是在入侵者想运行exploit的时候做记录，一旦重启机器，这些改变就会生效。如果这不是一个可以关闭的系统，那么用adb来改变一个运行中的系统参数也是可能的。当然会有些合法使用可执行堆栈的程序在管理员做出上述改变后而不能正常运行。但事实上这样的程序并不多，目前只有GNUada编译器会出现这样的情况。 3.防止任何人都可以用su命令成为root 如果要防止任何人都可以用“su”命令成为root或只让某些用户有权使用“su”命令，那么可在“/etc/pam.d/su”文件中加入下面两行。(建议尽量限制用户通过“su”命令成为root。) auth sufficient/lib/security/pam_rootok.so debug auth required/lib/security/pam_wheel.so group=wheel 这两行的意思是：只有“wheel”组的成员才能用su命令成为root。注意，“wheel”组是系统中用于这个目的的特殊账号，不能用别的组名。加入这两行之后，“/etc/pam.d/s