📄 329.html
字号:
2.23) 如果我必须运行NFS,如何使它更安全? <br><br>在/etc/dfs/dfstab中的所有文件将被所有人共享,默认情况下,NFS客户会以"-o rw"或者"-o ro"选项<br>共享。 <br>必须使用"nosuid"参数来使setuid程序失效。<br>不要通过rpcbind来运行nfs mount。而是用更安全的rpcbind替代程序或者安装SUN最新的rpcbind补丁。<br>在可能的情况下,尽量使用secure-RPC。否则的话,你运行的是"AUTH_UNIX"认证,它仅仅依靠客户的IP地<br>址来进行验证,很容易有IP欺骗的情况发生。<br>在可能的情况下,不要使用NFS,因为它的信息传递是通过明文的(甚至你用了"AUTH_DES"或者"AUTH_KERB"来<br>进行认证)所以传输的任何文件对嗅探来说是及危险的。<br>有程序可以猜度ROOT所mountr的文件名柄,并且获得NFS server上的文件。 <br><br>2.24) 如何让sendmail更安全? <br><br>sendmail总是不断地有新漏洞被发现,怎样才能使它更安全呢?<br><br>使用最新版本的Berkeley sendmail (see section 3) <br>使用smrsh (section 3) <br>从/etc/aliases里删除decode <br>将/etc/aliases的权限设为644 <br>可以考虑使用代理防火墙来过滤SMTP中不必要的命令。<br><br>2.25) NIS是安全的吗,如何使其更强壮? <br><br>NIS从来就不是一个安全的服务,如果配置得当的话NIS+会更好些,就象暴力破解密码一样,NIS域名<br>如果被猜出来,就会给入侵者提供相当丰富的信息,要关闭这个漏洞,可以将信任主机的地址放在<br>/var/yp/securenets中。并且考虑使用NIS+或者secure RPC。<br><br>2.26) 匿名FTP要怎样才会安全可靠? <br><br>Solaris 2.5 ftpd(1M)包含了一个很好的FTP配置说明<br><br>cp /etc/nsswitch.conf ~ftp/etc <br>确保包含~ftp的文件系统在被安装是没有用nosuid选项<br>在~ftp下任何文件的属主都不是"ftp" <br>更详细的信息参见它的配置说明及FAQ<br><br>2.27) 如何将X配置得更安全? <br><br>使用SUN-DES-1选项来调用Secure RPC来通过X鉴别,可以使用xhost +user@host来通过访问请求。<br><br>2.28) 如何打开SUN-DES-1的鉴别机制? <br><br>set DisplayManager*authorize: true <br>set DisplayManager._0.authName: SUN-DES-1 <br>rm ~/.Xauthority <br>增加对localhost的许可权限:通过xauth local/unix:0 SUN-DES-1 unix.local@nisdomain<br> xauth local:0 SUN-DES-1 unix.local@nisdomain <br>Start X via xinit -- -auth ~/.Xauthority <br>把你自己加入,并移去其他所有人:xhost +user@ +unix.local@nisdomain -local -localhost <br>赋予用户foo进入主机"node"的权限: <br><br>允许foo进入node: xhost +foo@ <br>建立适当的foo的xauthority: xauth add node:0 SUN-DES-1 unix.node@nisdomain <br>foo现在就能连上"node"了: xload -display node:0 <br><br>2.29) 我需要安装哪些补丁? <br><br>用showrev -p命令来察看补丁在系统里的安装情况,在你想保护的主机以及大众都可以访问的主机<br>上,你应该到SUN公司的主页上去查找相关的补丁包来安装,并且应该常常查看最新的补丁发布情况。<br><br>2.30) 如何防止在堆栈中执行代码? <br><br>入侵者常常使用的一种利用系统漏洞的方式是堆栈溢出,他们在堆栈里巧妙地插入一段代码,利用<br>它们的溢出来执行,以获得对系统的某种权限。<br><br>要让你的系统在堆栈缓冲溢出攻击中更不易受侵害,你可以在/etc/system里加上如下语句:<br><br>set noexec_user_stack=1<br>set noexec_user_stack_log =1<br><br>第一句可以防止在堆栈中执行插入的代码,第二句则是在入侵者想运行exploit的时候会做记录:)<br><br>3) 应该增加或者替代哪些程序? <br><br>3.1) inetd <br> <br>inetd可以用xinetd代替,以增加日志功能。 <br>xinetd: <br><a href="ftp://qiclab.scn.rain.com/pub/security/xinetd*" target=_blank>ftp://qiclab.scn.rain.com/pub/security/xinetd*</a> <br>或 <a href="ftp://ftp.dlut.edu.cn/pub/unix/sun-source/xinetd-2.1.tar.Z(不知是否为最新版本)." target=_blank>ftp://ftp.dlut.edu.cn/pub/unix/sun-source/xinetd-2.1.tar.Z(不知是否为最新版本).</a> <br> <br>3.2) ifstatus <br><br>ifstatus可以确定你的网卡是否工作于混杂模式(有人进行网络监听?) <br>url: <br><a href="ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/" target=_blank>ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/</a> <br> <br>3.3) xntp <br><br>xntp是有个更安全的网络时间协议(Network Time Protocol). <br>URL: <br><a href="ftp://ftp.udel.edu/pub/ntp/xntp3-5.93.tar.gz" target=_blank>ftp://ftp.udel.edu/pub/ntp/xntp3-5.93.tar.gz</a> (1907KB) <br>3.4) sendmail <br><br>用Berkeley Sendmail(http://www.sendmail.org/)替代Solaris自带的sendmail. <br> <br>3.5) rpcbind <br><br>可以用如下URL中的rpcbind替换Solaris自带的rpcbind, 这个rpcbind包含了类似 <br>于tcpwrapper的功能并关闭了通过rpcbind访问NFS. <br> <br><a href="ftp://ftp.win.tue.nl/pub/security/rcpbind_1.1.tar.Z" target=_blank>ftp://ftp.win.tue.nl/pub/security/rcpbind_1.1.tar.Z</a> <br><br>3.6) 口令检查程序 <br><br>很不幸,Solaris 上还未发布passwd+及npasswd, 这两个程序可以用于检查在UNIX <br>上那些愚蠢的口令。 <br> <br>3.7) crack <br><br>crack可以找出/etc/shadow中那些容易猜测的口令,虽然运行crack将会使CPU的 <br>负载加重,但它在第一次运行时就可以给出10%系统帐号的口令。 <br> <br>URL: (我想国内很多站点已有此程序了。) <br><a href="ftp://sable.ox.ac.uk/pub/comp/security/software/crackers/" target=_blank>ftp://sable.ox.ac.uk/pub/comp/security/software/crackers/</a> <br> <br>3.8) ftp <br><br>不用多说,使用wu-ftpd, 国内站点上有的是,如果找不到,试试: <br>URL: <br><a href="ftp://ftp.dlut.edu.cn/pub/unix/ftp/wu-ftpd/" target=_blank>ftp://ftp.dlut.edu.cn/pub/unix/ftp/wu-ftpd/</a> <br>OR: <br><a href="ftp://wuarchive.wustl.edu/packages/wuarchive-ftpd" target=_blank>ftp://wuarchive.wustl.edu/packages/wuarchive-ftpd</a> <br><br>3.9) fix-modes <br><br>用于纠正Solaris 2.2 ~ 2.6系统中敏感文件及目录的属性,以适应安全性需要。 <br>URL: <br><a href="ftp://ftp.dlut.edu.cn/pub/unix/security/fix-modes.tar.gz" target=_blank>ftp://ftp.dlut.edu.cn/pub/unix/security/fix-modes.tar.gz</a> <br>OR: <br><a href="http://www.fwi.uva.nl./pub/comp/solaris/fix-modes.tar.gz" target=_blank>http://www.fwi.uva.nl./pub/comp/solaris/fix-modes.tar.gz</a> <br><br>3.10) noshell <br><br>可用于不希望登陆系统的用户的shell, 能够记录发生的事件并防止用户login. <br> <br>3.11) bind<br><br>标准的Solaris里带的bind有着众所周知的安全问题(参见CERT第4部份),现在的发行版已经做<br>了修补。<br><br>3.12) netcat<br><br>NetCat对系统管理员和入侵者来说都是很实用的工具,它可以在两个系统间建立灵活我TCP连接。<br><br>4) (一些有用的资源--略) <br><br>5) 如何使我的Solaris Web server更安全? <br><br>下面的方法可以令你的以Solaris为基础的系统十分安全,你同时还可以配以利用防火墙及过滤路由<br>器来组成一个完整而强大的网络拓扑,但是,没有任何系统是完美的,所以你除了关注安全动态,给机<br>器作好防范之外,也不应该在机器上装载其他无关的第三方的软件--webserver需要的是安全,而不是<br>对管理员的方便。<br><br>5.0) Web server安全检查<br><br>用下面的安全检查列表来察看你的系统是否是安全地安装的,当然如果你有特殊的安全需求则不一定以此为准:<br><br>在完成一切安全设置前将系统与互联网断开<br>仅仅安装系统的核心部分以及需要的软件包<br>安装推荐的安全补丁<br>修改系统的开始文件来进行<br>在/etc/init.d/inetinit中关闭IP转发<br>改变/tmp的存取权限(可以在系统的开始文件中加入脚本<br>用ps检查进程情况<br>Invoke sendmail from cron to process queued mail occasionally. <br>安装配置tcp_wrappers, S/Key, wu-ftp及tripwire于你的系统环境。<br>编辑/etc/hosts.allow来确定可进入的机器,并且编辑/etc/inetd.conf注释掉所有不需要的服务<br>用syslog记录下所有的telnet连接通信<br>Mount上的文件系统要是只读而且是no-suid的<br>确定/noshell是除了root之外所有不希望进入的帐号的默认shell<br>删除/etc/auto_*, /etc/dfs/dfstab, p/var/spool/cron/crontabs/* (except root). <br>使用静态路由<br>测试你的系统,包括允许及拒绝访问的配置及记帐系统<br>考虑使用更安全版本的sendmail, syslog, bind以及crontab来替代现有的 <br>安装xntp来有更精确的时间戳<br>考虑更详细地系统记帐<br>保持监听和测试Web server的习惯 <br><br>在你完成上面的配置之后,你的系统已经会比安装一个标准的UNIX系统,并配以标准配置更安全了。<br><br>5.1) 硬件上......<br><br>在系统完全安装好并且配置得更安全之前,不要将它放到互联网上——从理论上说,一些入侵者喜欢<br>在你把系统弄得完美之前溜进去放几个后门——而且最好从CD-ROM安装你的系统并且将二进制文件<br>加载在磁带机或者软盘上物理写保护.......<br><br>5.2) 安装系统<br><br>从最新的,可靠的Solaris2.x版本安装,每一版本的Solaris都会比前一版更安全一些的。<br><br>Solaris是非常灵活并且包含了大量工具可供使用的。但不幸的是,这些外带的功能软件包可能也会<br>导致一些潜在的危险,所以要建立一个安全的系统,最好的办法是,只安装基本的OS部份,其余的软件<br>包则以必要为原则,非必需的包就可以不装——这样还可以使机器更快和更稳定:)<br><br>在Solaris的安装程序里,你可以选择Core SPARC installation cluster来安装,事实上,就连<br>这个选项都还有些东西是不必要的确良:(,但它的确是一个安全的系统基础,另一个好处是,它需要的空<br>间很少,看看下面你就知道了:<br><br>s0: / 256 megabytes<br>s1: swap 256 megabytes<br>s2: overlap<br>s3:<br>s4: <br>s5: <br>s6: /local ??? megabytes (rest of the drive)<br>s7:<br><br>/var要足够大以放置审核记录文件,而swap分区则与你的硬件(内存)相适应就行了,当然大的swap<br>分区可以在应付DoS攻击时更强有力。<br><br>现在可以用另外的机器,ftp到sunsolve.sun.com:/pub/patches并且下载最新的推荐补丁,将它放<br>在磁带机中转到你的“安全主机”上,然后安装这些补丁,当然有些补丁可能安装不上,因为它所<br>要补的那个软件你没有安装:)<br><br>5.3) 系统里的Strip <br><br>在Solaris下,你可以通过对/etc/rc[S0-3].d文件来修改启动时自引导的动作:<br><br>考虑移去/etc/rc2.d中在你系统中用不到的服务,我还建议你移除/etc/init.d里除下以下列表中<br>文件外的所有东西:<br><br>K15rrcd S05RMTMPFILES K15solved S20sysetup<br>S72inetsvc S99audit S21perf <br>S99dtlogin K25snmpd S30sysid.net S99netconfig<br>K50pop3 S74syslog S75cron S92rtvc-config <br>K60nfs.server K65nfs.client S69inet <br>K92volmgt README S95SUNWmd.sync<br>S01MOUNTFSYS S71sysid.sys S88utmpd S95rrcd<br><br>这些文件可能会与你的不同--这取决于你机器里的图形卡/是否使用Solaris DiskSuits等等。<br>移除/etc/rc3.d里的文件........<br><br>举例来说,在Solaris 2.4中,你应该编辑/etc/init.d/inetinit在文件的尾部增加以下行:<br><br>ndd -set /dev/ip ip_forward_directed_broadcasts 0<br>ndd -set /dev/ip ip_forward_src_routed 0<br>ndd -set /dev/ip ip_forwarding 0<br><br>并且通过设定ndd -set /dev/ip ip_strict_dst_multihoming 1来关闭"ip_strict_dst_multihoming" <br>核心变量。solaris机器就不会在两块网卡间转发IP包,这可以防止host spoof。<br><br>* 在Solaris 2.5下,只要建立一个叫/etc/notrouter的文件就能阻止IP转发,要重新打开它,只要移除<br>/etc/notrouter并重启动系统就行了。It's important to note that there is a small time <br>window between when this file is created and when routing is disabled, <br>theoretically allowing some routing to take place. <br><br>在Solaris 2.4下,添加一个新的脚本名为/etc/init.d/tmpfix: <br><br><br>#!/bin/sh<br>#ident "@(#)tmpfix 1.0 95/08/14"<br><br>if [ -d /tmp ]<br>then<br> /usr/bin/chmod 1777 /tmp<br> /usr/bin/chgrp sys /tmp<br>⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -