教你如何配置安全的SOLARIS系统[整理][4]

    对不管是root帐号还是普通用户帐号的保密都有足够的重视。最好不要设置类似于guest、public、test之类公用的容易猜出口令的帐号。 
    对系统中应该具有setuid权限的文件作一列表，定时检查有没有这之外的文件被设置了setuid权限。 
    下面有一个自己编的小程序与大家分享。 
    程序功能描述：检查有没有/usr/secu/masterlist文件记录之外的其它文件被设置了setuid权限 
    事先要求：在系统调试完成，所有需要安装的软件安装好以后，执行下面命令生成检查对照文件 
    # mkdir –p /usr/secu 
    # find / -perm –4000 –print > /usr/secu/masterlist 
    程序： 
    cd /tmp 
    [ -f secrcheck ] && rm secrcheck find / -perm -4000 -print >secrcheck for f in `cat secrcheck` do grep -w $f /usr/secu/masterlist >/dev/null if [ "$?" != "0" ]; then echo $f is not in list 
    fi done 
    rm secrcheck 在需要对系统做检查时，执行本shell程序。也可以放在定时进程中定时检查。程序由于需要在整个文件系统中做查找操作，需要比较长的时间。 
     请您作完本文中的实验后，别忘把文件的权限改回原状。

[b:c5b2726b8e]八、Solaris系统安全之审计[/b:c5b2726b8e]
作为C2安全等级操作系统（公安部二级），Solaris最主要的安全功能之一就是审计功能，本文将简单介绍Solaris审计功能的使用和启动。
目的：纪录系统和用户事件，并对审计过程自身进行保护。这里值得注意的就是纪录事件的细度。Solaris提供了很强大的审计功能，甚至可以纪录每一条调试信息，但是这样做是不明智的，因为很多信息对用户没用，而且会使系统性能下降。审计细度需要管理员根据用途和需要自行订制。 
实现： 
    8.1. 查看日志 
    1) history文件 
    通常在根目录下，隐藏文件，记录了root执行的命令 
    2) /var/adm 
    messages：记载来自系统核心的各种运行日志，可以记载的内容是由/etc/syslog.conf决定的 
    sulog：记载着普通用户尝试su成为其它用户的纪录。它的格式为： 发生时间 +/-(成功/失败) pts号 
    utmpx：这两个文件是不具可读性的，它们记录着当前登录在主机上的用户，管理员可以用w，who等命令来看 
    wtmpx：相当于历史纪录，记录着所有登录过主机的用户，时间，来源等内容，可用last命令来看 
    3) /var/log 
    syslog文件，这个文件的内容一般是纪录mail事件的 

    8.2. syslog 
    1) 实时错误检查： 
    tail –f /var/adm/messages 
    -f在监视器上允许看见每条记录 /var/adm/messages记录事件路径 
    2) /etc/syslog.conf语法： 
    *.err;kern.debug;deamon.notice;mail.crit /var/adm/messages 

    工具认可的值 
    值 描述 
    user 用户进程产生的消息。这是来自没有在文件列表中的设备的消息的默认优先级 
    kern 由内核产生的消息 
    mail 邮件系统 
    daemon 系统守护进程 
    auth 授权系统，如login、su 
    lpr 行式打印机假脱机系统 
    news 网络新闻系统USENET保留值 
    uucp 为UUCP系统保留值，目前UUCP不使用syslog机制 
    cron Cron/at工具；crontab、at、cron 
    local0-7 为本地使用保留 
    mark 内部用于由syslog产生的时间戳消息 
    * 除标记工具之外的所有工具 
    级别认可的值（按重要性降序排列） 
    emerg 用于通常必须广播给所有用户的恐慌情况 
    alert 必须立即被修正的情况，例如被损坏的系统数据库 
    crit 用户对关键情况的告警，例如设备错误 
    err 用于其他错误 
    warning 用于所有的警告信息 
    notice 用于没有错误但是可能需要特别处理的情况。 
    info 通知消息 
    debug 用于通常只在调试时才使用的消息 
    none 不发送从指出的设备发来的消息到选定文件中 
    3) 例如如果要纪录登录信息（telnet），可以这样做： 
    /etc/default/login中：SYSLOG=YES 
    /etc/syslog.conf中添加：auth.notice /export/home/wangyu/log 
    （把日志记录在/export/home/wangyu/log文件中，中间不是空格，是Tab） 
    重新启动syslog守护进程 
    当telnet上去的时候，我们看到/export/home/wangyu/log中有： 
    Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1     FROM 192.168.0.9 

    8.3. Loghost 
    编辑/etc/syslog.conf，语法： 
    *.err;kern.debug;deamon.notice;mail.crit @loghost