Solaris基本安全配置规范.docVIP

Solaris基本安全配置规范发布于2005-05-28 被读4869次 【字体：大 中 小】 Solaris的安全配置可以从以下几个方面来考虑:1. 本地安全增强包括:?限制某些强大命令的访问设置正确的文件权限应用组和用户的概念suid/sgid的文件最少rw-rw-rw的文件最少等2. 网络安全增强包括:?使用安全的协议来管理禁止所有不需要的服务禁止系统间的信任关系禁止不需要的帐号增强认证需要的密码保护存在危险的网络服务限制访问等3. 应用安全增强包括:?限制用户的权限限制进程所有者的权限检查应用相关文件权限限制访问其他系统资源应用所依赖的suid/sgid文件最少使用应用本身的安全特性删除samples和其他无用的组件4. 监控与警报包括:?日志、完整性、入侵检测等一些使用工具等下面就详细讲述具体的配置过程。一、 操作系统配置1． 安装1.1 安装必威体育精装版的补丁??安装patches对系统稳定和安全十分重要。看系统中安装了那些补丁???#showrev?–p???????更新更安全的补丁在??1.2 初始安装时需要创建?/var分区，日志文件存在/var分区1.3 安装最小的系统2． 打开审计功能审计包括很多的内容，可以根据需求设置。可以参考本文档中的日志和监控部分。3． 系统参数配置3.1?eeprom安全???“eeprom?security=command”系统将改变安全级别，并提示输入密码???对于一般用户，从硬盘启动，不需要输入密码???如果选择从光盘启动，则需要密码。主要防止物理接触。???此项为可选配置，视具体需求而定。3.2?将coredump大小设置为0在/etc/system中加入如下一行：set?sys:coredumpsize?=?0将每次重启产生的coredump大小设置为0，不需要无用的信息。可选3.3?修正堆栈错误，防止溢出（只对2.6后有效）hacker进入系统后大部分是利用buffer?overflow取得root?shell为了防止基于堆栈的缓冲区溢出，在/etc/system文件中加入??????set??noexec_user_stack=1????????#61664;防止在堆栈中执行set??noexec_user_stack_log=1?????#61664;当某人试图运行增加一个记录然后改变文件权限：#chmod?644?/etc/system????????3.4?只允许root进行电源管理(只对2.6及以后版本有效)????编辑/etc/default/sys-suspend:????将?????PERMS=console-owner????改为???PERMS=-????并做?#/bin/chmod?0755?/usr/openwin/bin/sys-suspend????此项防止SYN?Flood攻击3.5?设置/tmp目录粘滞位，mode?1777???????????创建文件/etc/rc3.d/S79tmpfix:/bin/cat? EOF /etc/rc3.d/S79tmpfix#!/bin/sh#ident?@(#)tmpfix?1.0?95/09/14if?[?-d?/tmp?]then/usr/bin/chmod?g-s?/tmp/usr/bin/chmod?1777?/tmp/usr/bin/chgrp?sys?/tmp/usr/bin/chown?sys?/tmpfiEOF改变S79tmpfix文件权限:#/usr/bin/chmod?755?/etc/rc3.d/S79tmpfix??????????此项给/tmp加上粘滞位，只允许写而不允许删除。这样，当黑客往/tmp写.socket文件时不允许删除。??????3.6?禁止stop-‘A’键??????????在/etc/default/kbd中，改变或加入?“KEYBOARD_ABORT=disable”??????????此项防止启动后，按stop-‘A’或L1-‘A’得到ok提示符，使用启动盘可以进入单用户模式，防止黑客物理接触机器。但此项不禁止可以作为密码丢失时的应急处理4． 用户管理4.1?禁止所有不需要的系统帐户编辑/etc/passwd，将需要禁止帐户的**用NP代替Example:?noaccess:NP:60002:60002:No?Access?User:/:/sbin/noshell需要禁止的帐户有:bin,?daemon,?adm,?lp,?smtp,?sys,?uucp,?