📄 330.html
字号:
0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M 440 -c -s -n 30 loginlog<br>0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M 440 -c -s -n 30 sulog<br>0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M 440 -c -s -n 2 vold.log<br>0 4 * * 6 /secure/rotate_cron <br><br>crons<br><br>删除不需要的crons:rm /var/spool/cron/crontabs/{lp,sys,adm}<br><br>Root cron 条目:<br>通过可信赖的来源使用rdate设定日期(你或许使用NTP协议,这将使时间<br>精确一些,但正向上面所说的增加带宽和不必要的安全问题):<br>## Synchronise the time(同步时间):<br>0 * * * * /usr/bin/rdate YOURTIMEHOST >/dev/null 2>&1<br><br>文件权限<br>必须限制一些有关ROOT操作的权限或干脆使其无效:<br>chmod 0500 /usr/sbin/snoop /usr/sbin/devinfo <br>chmod o-r /var/spool/cron/crontabs/* <br>chmod 000 /bin/rdist <br>chmod o-rx /etc/security <br>chmod og-rwx /var/adm/vold.log<br>chmod u-s /usr/lib/sendmail #Except for mailgateways<br>chmod 400 /.shosts /etc/sshd_config /etc/ssh_known_hosts<br><br>再在登录信息上设置警告用户非授权登录的信息(如果要起诉侵入者你就需要<br>这些信息)。如在Telnet和SSH,在/etc/motd中设置警告语句:<br>ATTENTION: You have logged onto a secured XXXX Corporation server.<br>Access by non YYYY administrators is forbidden.<br>For info contact YYYY@XXX.com<br><br>重新启动,通过SSH登录,现在使用ps -e来显示进程列表:<br>PID TTY TIME CMD<br>0 ? 0:00 sched<br>1 ? 0:00 init<br>2 ? 0:00 pageout<br>3 ? 0:09 fsflush<br>156 ? 0:00 ttymon<br>152 ? 0:00 sac<br>447 ? 0:06 sshd<br>88 ? 0:00 inetd<br>98 ? 0:00 cron<br>136 ? 0:00 utmpd<br>605 ? 0:00 syslogd<br>175 console 0:00 ttymon<br>469 pts/1 0:00 csh<br>466 ? 0:01 sshd<br>625 pts/1 0:00 ps<br>及使用netstat -a 将显示最小的网络连接(如只有SSH):<br>UDP<br>Local Address Remote Address State<br>-------------------- -------------------- -------<br>*.syslog Idle<br>*.* Unbound<br><br>TCP<br>Local Address Remote Address Swind Send-Q Rwind Recv-Q State<br>-------------------- -------------------- ----- ------ ----- ------ -------<br>*.* *.* 0 0 0 0 IDLE<br>*.22 *.* 0 0 0 0 LISTEN<br>*.* *.* 0 0 0 0 IDLE<br><br>7,建立Tripwire映象,备份和测试<br>-测试 SSH和标准工具是否能正常工作?检查LOG条目,检查控制台信息来了解<br>系统是否按照你设想的计划实现。<br>-当所有工作运行的正常时,就freeze(冻结)/usr有可能的话冻结/opt:<br>在/etc/vfstab中增加"ro"选项以只读方式挂上(mount)/usr和/opt分区,这样<br>减少木马程序和非认证的修改。以nosuid方式mount其他分区。<br>重启<br>-如果CD-ROMS不需要的话,是卷管理无效,使用如下命令可以在你需要时重新启用:<br><br>mv /etc/rc2.d/S92volmgt /etc/rc2.d/.S92volmgt<br>-最后安全TRIPWIRE(或者其他使用hashing算法的文件检查工具),初始化它的数<br>据库和运行常规的检查来检测文件的改变。如果可能的话使TRIPWIRE的数据库<br>安装在另一个机器上或一次性写入介质。如果还需要更安全的措施,那么就拷贝<br>TRIPWIRE和它的数据库并使用SSH远程运行。这将使入侵者很难知道TRIPWIRE在<br>使用。<br><br>8,安装,测试应用程序<br>应该考虑把应用程序安装在独立的分区或者在/opt分区,如果使用/opt,在安装<br>时必须以读写方式来挂起此分区,在安装和测试后必须再设置回只读方式。<br>根据服务器的功能,选择你所需要的如:ftpd,BIND,proxies等等,在安装应用<br>程序时遵照以下的规则来安装:<br>--在应用程序启动之前umask是否设置好如(如:022)<br>--应用程序是不是能以非ROOT身份运行?是否很好的设置密码若最少8位加标点,<br>字符大小写<br>--注意是否所有文件的权限设置正确,即是不是只能有应用程序用户自己拥有<br>读写权限,有没有全局能读写的文件<br>--当应用程序在写LOG记录时是否安全?有没有可能把密码写到安装LOG中去<br>(不用感到好笑,这很普遍)<br>下面是一些安装常用服务所需要的安全问题<br>1,FTP服务(ftp)<br>-如果你使用Western University wu-ftpd,必须知道它存在一些历史BUG,如<br>(请参看 CERT advisories CA-93:06, CA-94:07, <br>CA-95:16 and Auscert AA-97.03 and AA-1999.02),最起码使用V2.6.0或以后<br>的版本。<br>2,配置/etc/ftpusers的系统帐号使其不能用来FTP,如使以ROOT身份登录FTP<br>无效,把"root"增加到/etc/ftpusers.要想把所有系统帐号加入到你的新系统<br>中去可使用如下方法:<br>awk -F: '{print $1}' /etc/passwd > /etc/ftpusers <br>-FTP可以通过/etc/ftpusers选择性的激活每个用户;也可以使用下面的方法:<br>对于那些不能通过FTP访问此机器的,提供他们一些不正规的SHELL(如BASH<br>和TCSH),但不把新的SHELL加入到/etc/shells,这样FTP访问将被拒绝。相反,<br>要把一个非标准的SHELL加入到/etc/shells才能使FTP正常工作。<br>-使LOGGING有效:把"-l"选项增加到/etc/inetd.conf中去,另外"-d"选项将增加<br>debug输出。<br>-FTP可以限制IP地址或基于tcp wrappers的主机名。<br>-如果需要匿名FTP访问,必须非常谨慎,一个chroot的环境是必须的。<br>具体请参看in.ftpd 手册。避免允许上传文件权利。如果需要上传文件的权利,<br>需不允许下载上载了的文件,隐藏上载文件名及不允许他们覆盖方式操作。<br>-使用FTP强烈建议使用chroot.<br>-把FTP数据放在独立的磁盘分区,以nosuid方式mount。<br>2,DNS服务:<br>-使用最新的BIND(Berkeley Internet Name Server)来代替SUN的named,<br>BIND有很多好的特征,若容易DEBUG和当有安全问题发现时很快更新。<br>具体请参看网站:<br><a href="http://www.isc.org/view.cgi?/products/BIND/index.phtml." target=_blank>http://www.isc.org/view.cgi?/products/BIND/index.phtml.</a> <br>-使用8.1.2或以后的版本<br>-使用测试工具www.uniplus.ch/direct/testtool/dnstest.html来测试DNS。<br>-使用nslookup和dig来检查服务结果。<br>-如果在DNS客户端存在问题检查/etc/nsswitch.conf和/etc/resolv.conf,<br>使用nslookup -d2来获得DEBUG的信息。尝试杀掉nscd守护程序。<br>-如果服务器端有问题使用named -d来读console LOG,一般这LOG在syslog<br>文件中的"daemon"段。<br>-要获得name服务的统计使用<br>kill -ABRT `cat /etc/named.pid` 将会把统计信息记录<br>到/usr/tmp/named.stats.<br>-要查看改变设置后的配置信息使用HUP信号<br>kill -HUP `cat /etc/named.pid` <br>更多的请参看www.ebsinc.com/solaris/dns.html <br>3,有关chroot环境请参看如下网站:<br><a href="http://www.sunworld.com/swol-01-1999/swol-01-security.html" target=_blank>http://www.sunworld.com/swol-01-1999/swol-01-security.html</a> <br><br>以下准备正式运行系统<br>如果可能请使用多人进行最后测试,以便忘记某些重要的东西。<br>使用网络漏洞扫描器扫描系统,保证只有你想使用的服务在运行。<br>如商用扫描器IIS和免费扫描 器nmap或Satan.<br>检查/opt和/usr分区是否为只读状态。<br>初始化Tripwire(或等同的检查工具)<br>最后测试什么在工作,什么是禁止的,检查console/log条目,<br>开始时经常查看LOG记录。<br>9,系统正式运行<br>详细检查;使用不同的人以不同的观点及在不同的网络点登录测试应用软件。<br>10,常规维护<br><br>下面是根据你系统的重要程度决定你要每小时,每天,每星期,每个月要做的事情:<br>-检查SUN公司的pathdiag来不断升级系统,特别注意系统内核的补丁。<br>-检查所有错误和不寻常的活动记录:<br>syslog (/var/adm/messages or /var/log/*, depending on syslog.conf), <br>/var/cron/log, last, /var/adm/sulog, /var/adm/loginlog, <br>application/server logs. <br>-运行tripwire<br>-注意一些新的漏洞及安全建议,订阅CERT,CIAC的安全公告和供应商的<br>安全列表如(Sun, Microsoft)<br><br>其他附加信息:<br>Free Tools<br>SSH notes: <a href="http://www.boran.com/security/ssh_stuff.html" target=_blank>http://www.boran.com/security/ssh_stuff.html</a><br>TCP Wrappers <a href="http://www.cert.org/ftp/tools/tcp_wrappers" target=_blank>http://www.cert.org/ftp/tools/tcp_wrappers</a> <br>SMAP & FWTK <a href="http://www.fwtk.org" target=_blank>http://www.fwtk.org</a> <br>Top, gzip, lsof, traceroute, perl: <a href="http://www.sunfreeware.com" target=_blank>http://www.sunfreeware.com</a> <br>Rdist <a href="http://www.magnicomp.com/rdist/rdist.shtml" target=_blank>http://www.magnicomp.com/rdist/rdist.shtml</a> <br>Sample tools for analysing logs:<br>Logcheck <a href="http://www.psionic.com/abacus/logcheck" target=_blank>http://www.psionic.com/abacus/logcheck</a> <br>Swatch <a href="ftp://ftp.stanford.edu/general/security-tools/swatch" target=_blank>ftp://ftp.stanford.edu/general/security-tools/swatch</a> <br><br>Security Portal Research Centre:<br>Firewall products<br><a href="http://www.securityportal.com/research/center.cgi?Category=firewalls" target=_blank>http://www.securityportal.com/research/center.cgi?Category=firewalls</a> <br>Firewall white papers <br><a href="http://www.securityportal.com/research/center.cgi?Category=whitefaqfire" target=_blank>http://www.securityportal.com/research/center.cgi?Category=whitefaqfire</a> <br>Tripwire:<br>Commercial Version <a href="http://www.tripwiresecurity.com" target=_blank>http://www.tripwiresecurity.com</a> (starts at $495.-/server)<br>Free version V1.2 <a href="http://www.cert.org/ftp/tools/tripwire" target=_blank>http://www.cert.org/ftp/tools/tripwire</a> (last updated in 1994). <br>Sunworld security columns <br><a href="http://www.sunworld.com/sunworldonline/common/swol-backissues-columns.html" target=_blank>http://www.sunworld.com/sunworldonline/common/swol-backissues-columns.html</a><br>Padded Cells: <br><a href="http://www.sunworld.com/swol-01-1999/swol-01-security.html" target=_blank>http://www.sunworld.com/swol-01-1999/swol-01-security.html</a> <br><br>本文由〖105网络安全中心〗成员-XUNDI 整理<br><br>如要转载请保持文章完整,并注明文章来源<br><br><a href="http://www2.lib.dlut.edu.cn/new/mirror/xitong/tppmsgs/msgs0.htm#20" target=_blank>http://www2.lib.dlut.edu.cn/new/mirror/xitong/tppmsgs/msgs0.htm#20</a><br></p></td>
</tr>
</table>
<p>
<CENTER><a href="http://www.jsp001.com/forum/newreply.php?action=newreply&threadid=330">点这里对该文章发表评论</a></CENTER>
<p>该文章总得分是 <font color=red>0</font> 分,你认为它对你有帮助吗?
[<a href=javascript:void(0) onclick=window.open("http://www.jsp001.com/forum/codeVote.php?threadid=330&intVote=4","","menubar=no,toolbar=no,location=no,directories=no,status=no,resizable=no,scrollbars=no,width=70,height=40,top=0,left=0")>非常多</a>](<font color=red>0</font>)
[<a href=javascript:void(0) onclick=window.open("http://www.jsp001.com/forum/codeVote.php?threadid=330&intVote=2","","menubar=no,toolbar=no,location=no,directories=no,status=no,resizable=no,scrollbars=no,width=70,height=40,top=0,left=0")>有一些</a>](<font color=red>0</font>)
[<a href=javascript:void(0) onclick=window.open("http://www.jsp001.com/forum/codeVote.php?threadid=330&intVote=1","","menubar=no,toolbar=no,location=no,directories=no,status=no,resizable=no,scrollbars=no,width=70,height=40,top=0,left=0")>无帮助</a>](<font color=red>0</font>)
[<a href=javascript:void(0) onclick=window.open("http://www.jsp001.com/forum/codeVote.php?threadid=330&intVote=-1","","menubar=no,toolbar=no,location=no,directories=no,status=no,resizable=no,scrollbars=no,width=70,height=40,top=0,left=0")>是灌水</a>](<font color=red>0</font>) </p>
<script language="javascript" src="http://www.jsp001.com/include/read_thread_script.php?threadid=330"></script>
<p><CENTER>
Copyright © 2001 - 2009 JSP001.com . All Rights Reserved <P>
<IMG SRC="../image/jsp001_small_logo.gif" WIDTH="85" HEIGHT="30" BORDER=0 ALT="">
</CENTER></p>
</body>
</html>⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -