solaris 安全 faq2.docVIP

solaris 安全 faq(2) 4) (一些有用的资源--略) 5) 如何使我的Solaris Web server更安全? 下面的方法可以令你的以Solaris为基础的系统十分安全，你同时还可以配以利用防火墙及过滤路由 器来组成一个完整而强大的网络拓扑，但是，没有任何系统是完美的，所以你除了关注安全动态，给机 器作好防范之外，也不应该在机器上装载其他无关的第三方的软件--webserver需要的是安全，而不是 对管理员的方便。 5.0) Web server安全检查 用下面的安全检查列表来察看你的系统是否是安全地安装的，当然如果你有特殊的安全需求则不一定以此为准： 在完成一切安全设置前将系统与互联网断开 仅仅安装系统的核心部分以及需要的软件包 安装推荐的安全补丁 修改系统的开始文件来进行 在/etc/init.d/inetinit中关闭IP转发 改变/tmp的存取权限(可以在系统的开始文件中加入脚本 用ps检查进程情况 Invoke sendmail from cron to process queued mail occasionally. 安装配置tcp_wrappers, S/Key, wu-ftp及tripwire于你的系统环境。 编辑/etc/hosts.allow来确定可进入的机器，并且编辑/etc/inetd.conf注释掉所有不需要的服务 用syslog记录下所有的telnet连接通信 Mount上的文件系统要是只读而且是no-suid的 确定/noshell是除了root之外所有不希望进入的帐号的默认shell 删除/etc/auto_*, /etc/dfs/dfstab, p/var/spool/cron/crontabs/* (except root). 使用静态路由 测试你的系统，包括允许及拒绝访问的配置及记帐系统 考虑使用更安全版本的sendmail, syslog, bind以及crontab来替代现有的 安装xntp来有更精确的时间戳 考虑更详细地系统记帐 保持监听和测试Web server的习惯 在你完成上面的配置之后，你的系统已经会比安装一个标准的UNIX系统，并配以标准配置更安全了。 5.1) 硬件上 在系统完全安装好并且配置得更安全之前，不要将它放到互联网上——从理论上说，一些入侵者喜欢 在你把系统弄得完美之前溜进去放几个后门——而且最好从CD-ROM安装你的系统并且将二进制文件 加载在磁带机或者软盘上物理写保护 5.2) 安装系统 从最新的，可靠的Solaris2.x版本安装，每一版本的Solaris都会比前一版更安全一些的。 Solaris是非常灵活并且包含了大量工具可供使用的。但不幸的是，这些外带的功能软件包可能也会 导致一些潜在的危险，所以要建立一个安全的系统，最好的办法是，只安装基本的OS部份，其余的软件 包则以必要为原则，非必需的包就可以不装——这样还可以使机器更快和更稳定:) 在Solaris的安装程序里，你可以选择Core SPARC installation cluster来安装，事实上，就连 这个选项都还有些东西是不必要的确良:(，但它的确是一个安全的系统基础，另一个好处是，它需要的空 间很少，看看下面你就知道了： s0: / 256 megabytes s1: swap 256 megabytes s2: overlap s3: s4: s5: s6: /local ??? megabytes (rest of the drive) s7: /var要足够大以放置审核记录文件，而swap分区则与你的硬件(内存)相适应就行了，当然大的swap 分区可以在应付DoS攻击时更强有力。 现在可以用另外的机器，ftp到:/pub/patches并且下载最新的推荐补丁，将它放 在磁带机中转到你的“安全主机”上，然后安装这些补丁，当然有些补丁可能安装不上，因为它所 要补的那个软件你没有安装:) 5.3) 系统里的Strip 在Solaris下，你可以通过对/etc/rc[S0-3].d文件来修改启动时自引导的动作： 考虑移去/etc/rc2.d中在你系统中用不到的服务，我还建议你移除/etc/init.d里除下以下列表中 文件外的所有东西： K15rrcd S05RMTMPFILES K15solved S20sysetup S72inetsvc S99audit S21perf S99dtlogin K25snmpd S30 S99netconfig K50pop3 S74syslog S75cron S92rtvc