solaris安全手册..docVIP

Solaris安全手册 发布日期: 1999-12-8 内容: 1，Preparation 2，Initial OS installation 3，Stripping/configuring OS: 1st pass 4，Connect to test network 5，Installing tools sysadmin software 6，Stripping/configuring OS: 2nd pass 7，Create Tripwire image, backup, test 8，Install, test, harden applications. 9，Install on live network, test 1. Preparation 使用一个拥有所有权利的机器安全的多，因为这样可以隔离，方便查找问题所在。 总之：在你的机器上运行你一些最必要的服务。考虑拆除键盘，屏幕，这样可以 避免使用X11和知道命令行所示，在一个隔离的信任的网络段中进行测试。明确你 SUN的Disksuite时要考虑你是否 RPC服务，因为DISKSUITE必须使用RPC服务。明确各种应用程序是怎样工作的 . 2，初始化安装操作系统。 OK提示时发送Stop-A信息(~#,~%b,或者F5，主要取决 tip,cu或者vt100终端)，然后开始安装过程-boot cdrom - install使用最 end user bundle(除非你要额外的server/developer工具)，设置主机名，终端， IP参数，时区等等，不要激活NIS或者NFS及不要激活电源管理。选择手工划分分区：把 /usr和/opt和ROOT分离开来以便这些分区可以以只读方式挂(mount)起来。考虑把大的 /var文件系统和拥有较多的数据量如(web,ftp)划分为独立的分区。 2GB建议200MB / (+var), 200MB swap, 600MB /usr 及 1GB 给 /opt 2GB建议300MB / (+var+opt), 200MB swap, 500MB /usr ROOT设置一个7到8字符大小写结合等比较强壮的密码，再重启动。 SUN的安全补丁。一般的在CD上就包含这些安全补丁包。重启动及作为ROOT重 showrev -p查看补丁列表。 3，配置操作系统 (mount):为了减少木马和不授权的修改，在/etc/vfstab,在mount /时请使 remount,nosuid选项；在/var上请带上nosuid选项；在/tmp后加上size=100m,nosuid选 (允许/tmp只能使用100M空间及不允许执行SUID程序)；如果软盘不需要的话再把/dev/fd行 (下面的命令假定你使用的是c-shell)使NFS无效： rm /etc/rc2.d/{S73nfs.client,K28nfs.server} /etc/rc3.d/S15nfs.server /etc/dfs/dfstab使Sendmail守护程序无效，虽然sendmail不是 EMAIL还可以通过它了发送(但不能接 )。设定只要一个主机来接受EMAIL，另必须使用smap或其他等同命令来把sendmail危险程度 rm /etc/rc2.d/S88sendmail 再在cron行中增加处理邮件队列的命令： 0 * * * * /usr/lib/sendmail -q rm /etc/rc2.d/{S74autofs,S30,S71sysid.sys,S72autoinstall} rm /etc/rc2.d/{S93cacheos.finish,S73cachefs.daemon,S80PRESERVE} rm /etc/rc2.d/{S85power,K07dmi} rm /etc/rc3.d/S77dmi If you have server/developer packages: rm /etc/rc2.d/{S47asppp,S89bdconfig,S70uucp} 使RPC无效：这一般来说是建议关闭此功能的，但一些程序如DISKSUITE会开启RPC服务，所以一般 DISKSUITE工具。如果你不想使RPC无效，则一定要使用信息包过滤器。 rm /etc/rc2.d/S71rpc (除非有一个本地打印机存在)： rm /etc/rc2.d/{S80lp,S80spc} naming Services Caching Daemon(名字服务缓冲守护程序)服务无效: mv /etc/rc2.d/S76nscd /etc/rc2.d/.S76nscd CDE程序无效(除非你坚持要使用图形控制台)： rm /etc/rc2.d/S99dtlog