solaris 安全 faq(3)转.txt

LINUX下的安装声卡等操作和技巧介绍

S/Key/misc/ftpd.c，这个C程序示范了如何让S/Key支持WU-Archive ftp，你可以对新版的WU-FTP 
做类似的改动，当然你可能要阅读wu-ftp FAQ以增加了解。 

编译并且安装了这些二进制文件后(tcpd, wu-ftpd及keyinit, keysu,keysh)，它们会被安装在 
/usr/local/bin中，当编译wu-ftpd时你需要指定一个配置文件及日志的存放目录，我们推荐你将 
配置文件放在/etc下，将日志文件放在/var下，Q5.7更详细地说明了wu-ftp的配置。 

用/noshell来阻止那些不想让他们进入的帐号，让/noshell成为那些人的shell。这些帐号不允许登陆 
并且会记录下登陆的企图，入侵者无法通过这种帐号入侵。 

5.5) 限制通过网络进入系统 


telnet和ftp守护进程是从inetd进程启动的，inetd的配置文件是/etc/inetd.conf,还包含了其它 
的各种服务，所以你可以干脆移去这个文件，新建一个只包括以下两行的文件： 

ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd 
telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd 

当然这是基于你需要telnet及ftp的基础上的，如果你连这两个服务都不用的话，你就可以将它注释 
掉或者删除，这样在系统启动的时候inetd甚至就起不来了:) 

tcpd的访问控制是由/etc/hosts.allow和/etc/hosts.deny文件控制的，tcpd先查找/etc/hosts.allow 
，如果你在这里面允许了某几台主机的telnet或ftp访问的话，那么deny访问就是对其它所有机器的了。 
这是“默认拒绝”的访问控制策略，下面是一个hosts.allow文件的样本： 

ALL: 172.16.3.0/255.255.255.0 

这将允许172.16.3.0网络的主机上任何用户访问你的telnet及ftp服务，记住在这里要放置IP地址，因 
为域名比较容易受到欺骗攻击…… 

现在我们准备拒绝其余所有人的连接了，将下面的语句放在/etc/hosts.deny中： 

ALL: ALL: /usr/bin/mailx -s "%d: connection attempt from %c" root@mydomain.com 

这条指令不仅拒绝了其它所有的连接，而且能够让tcpd发送email给root——一旦有不允许的连接尝试 
发生时。 

现在你可能希望用syslog记录下所有的访问记录，那么在/etc/syslog.conf放进如下语句： 

auth.auth.notice;auth.info /var/log/authlog 

注意两段语句间的空白是tab键，否则syslog可能会不能正常工作。 

Sendmail将用以cron来调用sendmail来替代。 

5.6) 配置S/Key 

S/Key是一个用于实现安全的一次性口令方案的软件，它根据一系列信息（包括一个秘密口令）通过MD4 
处理而形成的初始钥匙，该初始钥匙再交给MD4进行处理，资助将128位的数字签名缩成64位，该64位信息 
再次传给MD4函数，这个过程一直持续直到达到期望值…… 

开始使用S/Key时，要建立一个以/usr/local/bin/keysh为shell的帐号： 
在/etc/passwd中加入 

access:x:100:100:Access Account:/tmp:/usr/local/bin/keysh 

并且在/etc/shadow中加入 

access:NP:6445:::::: 

然后使用passwd access命令来设定用户的访问密码。 

由于/usr/local/bin/keysh不是一个标准的shell，所以你的/etc/shells文件中内容如下： 

/sbin/sh 
/usr/local/bin/keysh 

只有使用这两种login shell的用户才允许接入。 

然后建立一个文件/etc/skeykeys并赋予一定的许可权限： 

touch /etc/skeykeys 
chmod 600 /etc/skeykeys 
chown root /etc/skeykeys 
chgrp root /etc/skeykeys 

使用keyinit access命令来初始化S/Key秘密口令。 

现在你可以配置允许用户通过keysu命令来成为超级用户，首先改变/etc/group: 

root::0:root,access 

只有在这里列出来的用户才允许通过keysu成为超级用户。现在你可以使用不着keyinit root命令来初 
始化超级用户的S/Key秘密口令，我建议该口令要与user的有所区别。 

本来你可以将/bin/su删掉以确定用户只能使用keysu……，但不幸的是，许多脚本使用/bin/su来开启 
进程，所以你只需用chmod 500 /bin/su来改变它的权限就行了。 


5.7) 配置wu-ftp 

配置wu-ftp需要经验:)，当你编译wu-ftpd时，你需要指定一个存放配置文件的地方，这个文件夹里将 
包含一个pid文件夹和三个文件，一个ftp conversions文件可以是空的，但不能没有，还有ftpusers文 
件包含了所有在password文件中存在但不允许登陆系统ftp的用户名称，也就是如uucp、bin之类的系统 
帐号都将应该被限制。root最好是永远都被扔在这里面:)。 

最后一个文件是ftpaccess： 

class users real 172.16.3.* 

log commands real 
log transfers real inbound,outbound 

这将允许从172.16.3.0的任何用户ftp而拒绝所有其它的，所有的文件与命令将被记录下来，并且存放 
在你指定的记录文件目录。 

至于建立匿名FTP，你要小心，因为很容易配置错误。 

建立一个特殊帐户如： 

ftp:*:400:400:Anonymous FTP:/var/spool/ftp:/bon/false 

因为使用了chroot()功能，必须建立一个小的文件系统，包含了bin\etc\pub目录： 

这里面要注意的有： 

确保bin及etc下的所有文件属主都是root，且任何人不可写，只有执行权限，最好另外拷贝 
一份passwd到ftp的etc中，即使被入侵者得到了，也不会泄露太多信息。 

详细配置情况还需要看关于wu-ftp的faq。 

5.8) 限制对文件及文件系统的存取权限 

下载并使用fix-modes，这个程序会将系统里不安全的文件存取权限（文件/目录）找出来。 

使用nosuid参数来配置/etc/vfstab，以防止setuid程序从UFS文件系统执行 

/proc - /proc proc - no - 
fd - /dev/fd fd - no - 
swap - /tmp tmpfs - yes - 
/dev/dsk/c0t3d0s1 - - swap - no - 

/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0 / ufs 1 no remount,nosuid 
/dev/dsk/c0t3d0s4 /dev/rdsk/c0t3d0s4 /usr ufs 1 no ro 
/dev/dsk/c0t3d0s5 /dev/rdsk/c0t3d0s5 /var ufs 1 no nosuid 
/dev/dsk/c0t3d0s6 /dev/rdsk/c0t3d0s6 /local ufs 2 yes nosuid 

5.9) 测试配置 

重启你的机器，确定下面这些东西： 

你可以从你配置为允许tcpd连接的机器telnet及ftp到你的server。 

尝试从其它未被允许的机器进入，应该会拒绝并email告知当事人。 

你只能以user的身份远程telnet或者ftp上站，不能以root登陆。 

用户可以通过/usr/local/bin/keysu成为超级用户。 

ps -ef只有少量的进程显示，最好不要有sendmail和各种NFS进程。 

touch /usr/FOO会得到错误提示，因为文件系统是ro的。 

成为超级用户，将ps命令复制到/，要保持它的setuid位，然后删除它的二进制文件。 

好了，祝贺你，你已经建立了一个比较安全的系统了:) 

5.10) 最后：一些建议 

使用XNTP来确定精确的时间。 

在你把机器放到网上前，用tripwire和MD5做一个校验，如果系统被入侵，你可以通过保存的校验和 
来判断哪些程序被替换掉了。 

考虑使用进程记录来记来系统里占用资源的情况。 

定期改变你的S/Key secrets并且选择一个好的密码，在各地方的密码最好不要一样…… 

------------------------------------------------- 
对Solaris及网络安全我都没多少经验，不懂 
的地方都是妄自猜度，错误想必不少，请指点！ 
mailto:quack@antionline.org