教你如何配置安全的SOLARIS系统[整理][2]

    把所有的系统账户加入到/etc/ftpusers(solaris 9的该文件现更改为/etc/ftpd/ftpusers)文件： 
    root 、daemon、sys、bin、adm、lp、uucp、nuucp、listen、nobody 

3.3.2禁止FTP&服务暴露系统敏感信息 
    编辑/etc/default/ftpd文件，假如文件不存在就新建一个，在文件中的加进入下一项：    BANNER=XXXX(XXXX可以任意改变为任何一个版本信息)，将该系统版本信息屏蔽. 

3.3.3ftp服务会话日志记录 
    /etc/inet/inetd.conf中的ftpd为（记录） 
    ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd –dl 

3.4加强Telnet服务安全 
3.4.1禁止Telnet服务暴露系统敏感信息 
    防止telnetd banner泄露信息 ，修改/etc/default/telnetd文件 ，加入以下一项：BANNER=XXXX(XXXX可以任意改变为任何一个版本信息)，将该系统版本信息屏蔽. 

3.4.2更改Telnet服务端口号 
    修改文件/etc/services的Telnet一项，将端口号改为非23，使用Telnet服务时需注明端口号。 

3.5加强NFS服务安全 
    检查/etc/dfs/dfstab文件share语句，缺省时共享目录为可读可写，加入“-o”选项增加安全，“-o rw”可读可写，“-o ro”只读，可授权某系统和某用户。 

3.6防止TCP序列号预测攻击(ip欺骗) 
    在/etc/default/inetinit中增加设置来防止TCP序列号预测攻击(ip欺骗)TCP_STRONG_ISS=2 

3.7系统路由安全 
    如果Solaris机器有超过一块的网卡的话，它将会在不同网卡间转发数据包，这一行为可以在/etc/init.d/inetinit中得到控制。要在Solaris 2.4或者更低版本机器下关闭它，可以将ndd -set /dev/ip ip_forwarding 0添加于在inetinit文件未尾。在Solaris 2.5以上，只要touch /etc/notrouter.网络系统用静态路由比较安全。 

3.8调整网络参数，加强网络安全 
    使IP forwarding和sourec routing(源路)由无效 
    在Inetinit中使IP forwarding和sourec routing(源路)由无效(假如有超过一个网络接口的话)。在/etc/init.d/inetinit中增加下面所示设置: 
    禁止系统转发定向广播包 
    #ndd -set /dev/ip ip_forward_directed_broadcasts 0 
    关闭原路由寻址 ：#ndd -set /dev/ip ip_forward_src_routed 0 
    禁止系统转发IP包：#ndd -set /dev/ip ip_forwarding 0 
    缩短ARP的cache保存时间: (default is 5 min) 
    #ndd -set /dev/arp arp_cleanup_interval 2 min 
    关闭echo广播来防止ping攻击（ # default is 1 ） 
    #ndd -set /dev/ip ip_respond_to_echo_broadcast 0

[b:c5b2726b8e]四、防止堆栈缓冲益出安全策略 [/b:c5b2726b8e]
    入侵者常常使用的一种利用系统漏洞的方式是堆栈溢出，他们在堆栈里巧妙地插入一段代码，利用它们的溢出来执行，以获得对系统的某种权限。要让你的系统在堆栈缓冲溢出攻击中更不易受侵害，你可以在/etc/system里加上如下语句：set noexec_user_stack=1 
set noexec_user_stack_log =1 
    第一句可以防止在堆栈中执行插入的代码，第二句则是在入侵者想运行exploit的时候会做记录。

[b:c5b2726b8e]五、日志系统安全策略[/b:c5b2726b8e] 
5.1定时检查系统日志文件 
    Solaris系统通过syslogd进程运行日志系统，配置文件/etc/syslog.conf，可编辑此文件让日志系统记录更多信息，需重启/usr/sbin/syslogd进程，重读取配置文件。通常日志系统的文件分别存放在两个位置，/var/adm保存本地系统日志，/var/log保存登录其它系统时日志。 

5.2设置utmpx和wtmpx文件权限，确保日志系统安全。 
    文件/var/adm/utmpx记录了所有当前登录到系统中的用户，文件/var/adm/wtmpx记录了系统所有的登录和注销。这两个文件是以数据库的格式存在的。
设置权限#chmod 544 /var/adm/utmpx 
            #chmod 544 /var/adm/wtmpx

[b:c5b2726b8e]六、其它系统安全设置[/b:c5b2726b8e] 
6.1 crontab命令 
6.1.1不要使用crontab –e命令，因为它会在/tmp下建立所有用户都可读的crontab副本访问cron系统。用如下的方法： 
编辑文件：mycronfile 
crontab<mycronfile 

6.1.2在/etc/default/cron文件中增加如下行： CRONLOG=YES 记录所有的crontab行为 

6.2对su的纪录 
    创建/etc/default/su文件 
    SULOG=/var/adm/sulog 
    SYSLOG=YES 
    CONSOLE=/dev/console 
    PATH=/usr/bin: 
    SUPATH=/usr/sbin:/usr/bin 

6.3为OpenBoot设置密码 
    在Solaris中设置密码 
    #eeprom security-password 
    在OpenBoot中设置密码 
    ok password 
    在Solaris中设置安全级别（command） 
    #eeprom security-mode=command 
    在OpenBoot中设置安全级别（command） 
    ok setenv security-mode command 
    在OpenBoot中设置安全级别（full） 
    ok setenv security-mode full 

6.4限制.rhosts和/etc/hosts.equiv文件的使用