Solaris安全手册[1]

solaris安全手册

发布日期: 1999-12-8
内容:

1，preparation 
2，initial os installation 
3，stripping/configuring os: 1st pass 
4，connect to test network 
5，installing tools & sysadmin software 
6，stripping/configuring os: 2nd pass 
7，create tripwire image, backup, test 
8，install, test, harden applications. 
9，install on live network, test 

1. preparation
最小限度保证安全的方法是只在主机上运行一个或两个服务。使
用一个机器比只使用一个拥有所有权利的机器安全的多，因为这
样可以隔离，方便查找问题所在。总之：在你的机器上运行你一
些最必要的服务。考虑拆除键盘，屏幕，这样可以避免使用x11
和知道命令行所示，在一个隔离的信任的网络段中进行测试。明
确你的系统和硬件配置能产生什么样的结果，如在安装sun的
disksuite时要考虑
你是否需要rpc服务，因为disksuite必须使用rpc服务。明确各
种应用程序是怎样工作的如：使用什么端口和文件.
2，初始化安装操作系统。
连接串口控制台，开机，当出现ok提示时发送stop-a信息
(~#,~%b,或者f5，主要取决于你使用tip,cu或者vt100终端)，然
后开始安装过程-"boot cdrom - install"
使用最小安装 end user bundle(除非你要额外的
server/developer工具)，设置主机名，终端，ip参数，时区等
等，不要激活nis或者nfs及不要激活电源管理。选择手工划分分
区：把/usr和/opt和root分离开来以便这些分区可以以只读方式
挂(mount)起来。考虑把大的/var文件系统和拥有较多的数据量
如(web,ftp)划分为独立的分区。
如果硬盘是2gb建议200mb / (+var), 200mb swap, 600mb /usr
及 1gb 给 /opt
如果硬盘是2gb建议300mb / (+var+opt), 200mb swap,  500mb
/usr
给root设置一个7到8字符大小写结合等比较强壮的密码，再重启
动。
接着安全由sun的安全补丁。一般的在cd上就包含这些安全补丁
包。重启动及作为root重启动后，你可以使用showrev -p查看补
丁列表。
3，配置操作系统
磁盘共享(mount):为了减少木马和不授权的修改，在
/etc/vfstab,在mount /时请使用"remount,nosuid"选项；在
/var上请带上"nosuid"选项；在/tmp后加上
"size=100m,nosuid"选项(允许/tmp只能使用100m空间及不允许
执行suid程序)；
如果软盘不需要的话再把"/dev/fd"行注释掉。
(下面的命令假定你使用的是c-shell)
使nfs无效：
rm /etc/rc2.d/{s73nfs.client,k28nfs.server}
/etc/rc3.d/s15nfs.server /etc/dfs/dfstab使sendmail守护程
序无效，虽然sendmail不是作为一个守护程序来运行的，但两进
制程序是依然存在的，email还可以通过它了发送(但不能接
受)。设定只要一个主机来接受email，另必须使用smap或其他等
同命令来把sendmail危险程度降低到最底。
rm /etc/rc2.d/s88sendmail
再在cron行中增加处理邮件队列的命令：
0 * * * * /usr/lib/sendmail -q 
在关闭一些其他的服务：
rm
/etc/rc2.d/{s74autofs,s30sysid.net,s71sysid.sys,s72autoinstall}
rm
/etc/rc2.d/{s93cacheos.finish,s73cachefs.daemon,s80preserve}
rm /etc/rc2.d/{s85power,k07dmi}
rm /etc/rc3.d/s77dmi
if you have server/developer packages:
rm /etc/rc2.d/{s47asppp,s89bdconfig,s70uucp}
使rpc无效：这一般来说是建议关闭此功能的，但一些程序如
disksuite会开启rpc服务，所以一般建议不使用disksuite工
具。如果你不想使rpc无效，则一定要使用信息包过滤器。
rm /etc/rc2.d/s71rpc
使打印服务无效(除非有一个本地打印机存在)：
rm /etc/rc2.d/{s80lp,s80spc}
使naming services caching daemon(名字服务缓冲守护程序)服
务无效:
mv /etc/rc2.d/s76nscd /etc/rc2.d/.s76nscd
使cde程序无效(除非你坚持要使用图形控制台)：
rm /etc/rc2.d/s99dtlogin
使ntp-network time protocol无效(ntp会增加带宽和不安全的
因素，建议使用
rdate到一台使用ntp的机器来获得精确时间)：
rm /etc/rc2.d/s74xntpd
使snmp无效：
rm /etc/rc2.d/k07snmpdx /etc/rc3.d/s76snmpdx
在inetinit中是ip forwarding和sourec routing(源路)由无效
(假如有超过一个网络接口的话)。在/etc/init.d/inetinit中增
加下面所示设置:
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_forwarding 0
根据rfc1948建议在/etc/default/inetinit中增加如下的生成初
始化序列号设置来防止tcp序列号预测攻击(ip欺骗):
tcp_strong_iss=2
在/etc/system中增加如下设置来防止某些缓冲溢出攻击。这些
保护是那些需在堆栈中执行的攻击方式。但需要硬件的支持(只
在sun4u/sun4d/sun4m系统中有效)：
set noexec_user_stack=1 
set noexec_user_stack_log=1
使用默认路由：在/etc/defaultrouter中增加ip地址，或使用
"route"在/etc/rc2.d/s99static_routes中建立启动文件。为了
使动态路由无效：
touch /etc/notrouter
为了使多路广播(multicasting)无效请在/etc/init.d/inetsvc
中注解掉
"route add 224.0.0.0"周围的几行。
为了记录inetd连接的所有信息，在inetd低端的启动行中增加
"-t"参数，
即::  /usr/sbin/inetd -s -t 
在/etc/hosts中配置一些你想取舍的主机(一些你不想通过dns解
析的)。
/etc/inetd.conf:
先使所有服务无效；
配置你真正需要的服务，但必须使用fwtk netacl或tcp
wrappers来允许最小限度的ip地址访问和各种记录
4，连接并测试网络
系统通过上面的安全剥离和筛选，你必须肯定系统能正常工作，
把它连接到一个安全隔离的网络。重起并以root身份登录控制
台，检查控制台启动时的错误信息并根据需要进行修改。
5，安装系统管理工具软件
这部分将安装标准的工具和实用程序。最重要的是ssh，这些工
具必须在其他机器上编译和精心测试过的。
环境：
dns客户端：在/etc/resolv.conf中增加域名和dns服务；在
/etc/nsswitch.conf中增加dns入口的主机。
email：如果主机不需要在子网外发送email，就不需要使用
mailhost的别名。否则的话必须编辑/etc/mail/aliases，在
/etc/hosts中设置mailhost，在/etc/mail/sendmail.cf取消dj
行的注释并把它设置为dj$w.yourdomain.com.
如果dns没有配置，就在 /etc/hosts中增加这太机器的别名
hostname.yourdomain.com。
现在发送一封测试email:mailx -v -s test_email root