329.html

Jsp精华文章合集,JSP方面各种知识介绍

	/usr/bin/chown root /tmp<br>
<br>
并且连接/etc/init.d/tmpfix到/etc/rc2.d/S79tmpfix，这样这个脚本就会在系统启动时执行了。<br>
这可以使入侵者更难在系统里夺取root权限。在Solaris 2.5则不必如此。<br>
<br>
另外还有一些好的建议，就是在启动时为用户设定安全的umask，下面的script就是做这事儿的：<br>
<br>
     umask 022  # make sure umask.sh gets created with the proper mode<br>
     echo "umask 022" &gt; /etc/init.d/umask.sh<br>
     for d in /etc/rc?.d<br>
     do<br>
         ln /etc/init.d/umask.sh $d/S00umask.sh<br>
     done<br>
<br>
Note: 脚本名称中的".sh"是必需的，这样脚本才会在本shell而不是它的子shell中执行。<br>
<br>
删除/etc/auto_*文件，删除/etc/init.d/autofs可以防止automounter在启动时就运行。<br>
<br>
删除/etc/dfs/dfstab，清除/etc/init.d以防止机器成为NFS服务器。<br>
<br>
删除crontab文件，你可以将/var/spool/cron/crontabs中属主root以外的文件全部删除。<br>
<br>
使用静态路由，建立/etc/defaultrouter来维护之，以避免spoof。如果你必须通过不同的网关，考虑增<br>
加/usr/bin/route命令于/etc/init.d/inetinit以取代运行routed。 <br>
<br>
当地切完成时，重启机器，彻底地查看进程，ps -ef的输出应该是这样的：<br>
<br>
     UID   PID  PPID  C    STIME TTY      TIME COMD<br>
    root     0     0 55   Mar 04 ?        0:01 sched<br>
    root     1     0 80   Mar 04 ?       22:44 /etc/init -<br>
    root     2     0 80   Mar 04 ?        0:01 pageout<br>
    root     3     0 80   Mar 04 ?       33:18 fsflush<br>
    root  9104     1 17   Mar 13 console  0:00 /usr/lib/saf/ttymon -g -h -p myhost console login:  -T sun -d /dev/console -l co<br>
    root    92     1 80   Mar 04 ?        5:15 /usr/sbin/inetd -s<br>
    root   104     1 80   Mar 04 ?       21:53 /usr/sbin/syslogd<br>
    root   114     1 80   Mar 04 ?        0:11 /usr/sbin/cron<br>
    root   134     1 80   Mar 04 ?        0:01 /usr/lib/utmpd<br>
    root   198     1 25   Mar 04 ?        0:00 /usr/lib/saf/sac -t 300<br>
    root   201   198 33   Mar 04 ?        0:00 /usr/lib/saf/ttymon<br>
    root  6915  6844  8 13:03:32 console  0:00 ps -ef<br>
    root  6844  6842 39 13:02:04 console  0:00 -sh<br>
<br>
/usr/lib/sendmail守护程序并没有打开，因为你不必总在25端口监听mail的列表请求，你可以在root的<br>
crontab文件中增加：<br>
<br>
0 * * * * /usr/lib/sendmail -q &gt; /var/adm/sendmail.log 2&gt;&amp;1<br>
<br>
这条命令要以每小时调用sendmail进程处理排队中的邮件。 <br>
<br>
5.4) 安装第三方软件<br>
<br>
你需要的第一个软件是TCP Wrappers软件包——由Wietse Venema写的，它提供了一个小的二<br>
进制文件叫tcpd，能够用它来控制对系统服务的进出——比如telnet及ftp，它在/etc/inetd.conf<br>
中启动，访问控制可以由IP地址、域名或者其它参数来限制，并且tcpd可以提升syslog的记录<br>
级别，在系统遇到未经认证的连接时，发送email或者警告给管理员。 <br>
<br>
然后安装S/Key来控制远程连接的安全性，可以在Q5.6中看到详细的配置方法。<br>
<br>
如果你打算打开ftp服务(不管是匿名ftp或者是出了管理目的)，你需要取得一份WU-Archive ftp，<br>
最好要拿到它的最新版本，否则会有一些安全漏洞存在，如果你认为需要管理员的远程登陆服务的<br>
话，可能得修改S/Key来支持ftp daemon。在Crimelabs S/Key的发行版本中，你可以在找到<br>
S/Key/misc/ftpd.c，这个C程序示范了如何让S/Key支持WU-Archive ftp，你可以对新版的WU-FTP<br>
做类似的改动，当然你可能要阅读wu-ftp FAQ以增加了解。<br>
<br>
编译并且安装了这些二进制文件后(tcpd, wu-ftpd及keyinit, keysu,keysh)，它们会被安装在<br>
/usr/local/bin中，当编译wu-ftpd时你需要指定一个配置文件及日志的存放目录，我们推荐你将<br>
配置文件放在/etc下，将日志文件放在/var下，Q5.7更详细地说明了wu-ftp的配置。<br>
<br>
用/noshell来阻止那些不想让他们进入的帐号，让/noshell成为那些人的shell。这些帐号不允许登陆<br>
并且会记录下登陆的企图，入侵者无法通过这种帐号入侵。<br>
<br>
5.5) 限制通过网络进入系统 <br>
<br>
<br>
telnet和ftp守护进程是从inetd进程启动的，inetd的配置文件是/etc/inetd.conf,还包含了其它<br>
的各种服务，所以你可以干脆移去这个文件，新建一个只包括以下两行的文件：<br>
<br>
ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd<br>
telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd<br>
<br>
当然这是基于你需要telnet及ftp的基础上的，如果你连这两个服务都不用的话，你就可以将它注释<br>
掉或者删除，这样在系统启动的时候inetd甚至就起不来了:)<br>
<br>
tcpd的访问控制是由/etc/hosts.allow和/etc/hosts.deny文件控制的，tcpd先查找/etc/hosts.allow<br>
，如果你在这里面允许了某几台主机的telnet或ftp访问的话，那么deny访问就是对其它所有机器的了。<br>
这是“默认拒绝”的访问控制策略，下面是一个hosts.allow文件的样本：<br>
<br>
ALL: 172.16.3.0/255.255.255.0<br>
<br>
这将允许172.16.3.0网络的主机上任何用户访问你的telnet及ftp服务，记住在这里要放置IP地址，因<br>
为域名比较容易受到欺骗攻击…… <br>
<br>
现在我们准备拒绝其余所有人的连接了，将下面的语句放在/etc/hosts.deny中： <br>
<br>
ALL: ALL: /usr/bin/mailx -s "%d: connection attempt from %c" root@mydomain.com<br>
<br>
这条指令不仅拒绝了其它所有的连接，而且能够让tcpd发送email给root——一旦有不允许的连接尝试<br>
发生时。<br>
<br>
现在你可能希望用syslog记录下所有的访问记录，那么在/etc/syslog.conf放进如下语句：<br>
<br>
auth.auth.notice;auth.info           /var/log/authlog<br>
<br>
注意两段语句间的空白是tab键，否则syslog可能会不能正常工作。<br>
<br>
Sendmail将用以cron来调用sendmail来替代。<br>
<br>
5.6) 配置S/Key <br>
<br>
S/Key是一个用于实现安全的一次性口令方案的软件，它根据一系列信息（包括一个秘密口令）通过MD4<br>
处理而形成的初始钥匙，该初始钥匙再交给MD4进行处理，资助将128位的数字签名缩成64位，该64位信息<br>
再次传给MD4函数，这个过程一直持续直到达到期望值……<br>
<br>
开始使用S/Key时，要建立一个以/usr/local/bin/keysh为shell的帐号：<br>
在/etc/passwd中加入<br>
<br>
access:x:100:100:Access Account:/tmp:/usr/local/bin/keysh<br>
<br>
并且在/etc/shadow中加入<br>
<br>
access:NP:6445::::::<br>
<br>
然后使用passwd access命令来设定用户的访问密码。<br>
<br>
由于/usr/local/bin/keysh不是一个标准的shell，所以你的/etc/shells文件中内容如下：<br>
<br>
/sbin/sh<br>
/usr/local/bin/keysh<br>
<br>
只有使用这两种login shell的用户才允许接入。<br>
<br>
然后建立一个文件/etc/skeykeys并赋予一定的许可权限：<br>
<br>
touch /etc/skeykeys<br>
chmod 600 /etc/skeykeys<br>
chown root /etc/skeykeys<br>
chgrp root /etc/skeykeys<br>
<br>
使用keyinit access命令来初始化S/Key秘密口令。<br>
<br>
现在你可以配置允许用户通过keysu命令来成为超级用户，首先改变/etc/group:<br>
<br>
root::0:root,access<br>
<br>
只有在这里列出来的用户才允许通过keysu成为超级用户。现在你可以使用不着keyinit root命令来初<br>
始化超级用户的S/Key秘密口令，我建议该口令要与user的有所区别。<br>
<br>
本来你可以将/bin/su删掉以确定用户只能使用keysu……，但不幸的是，许多脚本使用/bin/su来开启<br>
进程，所以你只需用chmod 500 /bin/su来改变它的权限就行了。<br>
<br>
<br>
5.7) 配置wu-ftp <br>
<br>
配置wu-ftp需要经验:)，当你编译wu-ftpd时，你需要指定一个存放配置文件的地方，这个文件夹里将<br>
包含一个pid文件夹和三个文件，一个ftp conversions文件可以是空的，但不能没有，还有ftpusers文<br>
件包含了所有在password文件中存在但不允许登陆系统ftp的用户名称，也就是如uucp、bin之类的系统<br>
帐号都将应该被限制。root最好是永远都被扔在这里面:)。<br>
<br>
最后一个文件是ftpaccess：<br>
<br>
class users real 172.16.3.*<br>
<br>
log commands real<br>
log transfers real inbound,outbound<br>
<br>
这将允许从172.16.3.0的任何用户ftp而拒绝所有其它的，所有的文件与命令将被记录下来，并且存放<br>
在你指定的记录文件目录。<br>
<br>
至于建立匿名FTP，你要小心，因为很容易配置错误。<br>
<br>
建立一个特殊帐户如：<br>
<br>
ftp:*:400:400:Anonymous FTP:/var/spool/ftp:/bon/false<br>
<br>
因为使用了chroot()功能，必须建立一个小的文件系统，包含了bin\etc\pub目录：<br>
<br>
这里面要注意的有：<br>
<br>
确保bin及etc下的所有文件属主都是root，且任何人不可写，只有执行权限，最好另外拷贝<br>
一份passwd到ftp的etc中，即使被入侵者得到了，也不会泄露太多信息。<br>
<br>
详细配置情况还需要看关于wu-ftp的faq。<br>
<br>
5.8) 限制对文件及文件系统的存取权限<br>
<br>
下载并使用fix-modes，这个程序会将系统里不安全的文件存取权限（文件/目录）找出来。<br>
<br>
使用nosuid参数来配置/etc/vfstab，以防止setuid程序从UFS文件系统执行<br>
<br>
/proc           	-       /proc      proc    -   no   -<br>
fd              	-       /dev/fd    fd      -   no   -<br>
swap            	-       /tmp       tmpfs   -   yes  -<br>
/dev/dsk/c0t3d0s1       -       -          swap    -   no   -<br>
<br>
/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0  /       ufs  1   no   remount,nosuid<br>
/dev/dsk/c0t3d0s4 /dev/rdsk/c0t3d0s4  /usr    ufs  1   no   ro<br>
/dev/dsk/c0t3d0s5 /dev/rdsk/c0t3d0s5  /var    ufs  1   no   nosuid<br>
/dev/dsk/c0t3d0s6 /dev/rdsk/c0t3d0s6  /local  ufs  2   yes  nosuid<br>
<br>
5.9) 测试配置<br>
<br>
重启你的机器，确定下面这些东西：<br>
<br>
你可以从你配置为允许tcpd连接的机器telnet及ftp到你的server。<br>
<br>
尝试从其它未被允许的机器进入，应该会拒绝并email告知当事人。<br>
<br>
你只能以user的身份远程telnet或者ftp上站，不能以root登陆。 <br>
<br>
用户可以通过/usr/local/bin/keysu成为超级用户。<br>
<br>
ps -ef只有少量的进程显示，最好不要有sendmail和各种NFS进程。<br>
<br>
touch /usr/FOO会得到错误提示，因为文件系统是ro的。<br>
<br>
成为超级用户，将ps命令复制到/，要保持它的setuid位，然后删除它的二进制文件。<br>
<br>
好了，祝贺你，你已经建立了一个比较安全的系统了:)<br>
<br>
5.10) 最后：一些建议<br>
<br>
使用XNTP来确定精确的时间。<br>
<br>
在你把机器放到网上前，用tripwire和MD5做一个校验，如果系统被入侵，你可以通过保存的校验和<br>
来判断哪些程序被替换掉了。<br>
<br>
考虑使用进程记录来记来系统里占用资源的情况。<br>
<br>
定期改变你的S/Key secrets并且选择一个好的密码，在各地方的密码最好不要一样……<br>
<br>
-------------------------------------------------<br>
对Solaris及网络安全我都没多少经验，不懂<br>
的地方都是妄自猜度，错误想必不少，请指点！<br>
mailto:quack@antionline.org<br>
<br>
</p>
</td>
  </tr>
</table>

<p>
<CENTER><a href="http://www.jsp001.com/forum/newreply.php?action=newreply&threadid=329">点这里对该文章发表评论</a></CENTER>
<p>该文章总得分是 <font color=red>0</font> 分，你认为它对你有帮助吗？
				[<a href=javascript:void(0) onclick=window.open("http://www.jsp001.com/forum/codeVote.php?threadid=329&intVote=4","","menubar=no,toolbar=no,location=no,directories=no,status=no,resizable=no,scrollbars=no,width=70,height=40,top=0,left=0")>非常多</a>](<font color=red>0</font>) 
				[<a href=javascript:void(0) onclick=window.open("http://www.jsp001.com/forum/codeVote.php?threadid=329&intVote=2","","menubar=no,toolbar=no,location=no,directories=no,status=no,resizable=no,scrollbars=no,width=70,height=40,top=0,left=0")>有一些</a>](<font color=red>0</font>) 
				[<a href=javascript:void(0) onclick=window.open("http://www.jsp001.com/forum/codeVote.php?threadid=329&intVote=1","","menubar=no,toolbar=no,location=no,directories=no,status=no,resizable=no,scrollbars=no,width=70,height=40,top=0,left=0")>无帮助</a>](<font color=red>0</font>) 
				[<a href=javascript:void(0) onclick=window.open("http://www.jsp001.com/forum/codeVote.php?threadid=329&intVote=-1","","menubar=no,toolbar=no,location=no,directories=no,status=no,resizable=no,scrollbars=no,width=70,height=40,top=0,left=0")>是灌水</a>](<font color=red>0</font>) </p>
<script language="javascript" src="http://www.jsp001.com/include/read_thread_script.php?threadid=329"></script>
<p><CENTER>
Copyright &copy; 2001 - 2009 JSP001.com . All Rights Reserved <P>

<IMG SRC="../image/jsp001_small_logo.gif" WIDTH="85" HEIGHT="30" BORDER=0 ALT="">
</CENTER></p>

</body>
</html>