在/secure中安装安全脚本如:rotate_cron, rotate_log, wtrim.pl, rdistd 并改变属性来保护/secure:chmod -R 700 /secure; chown -R root /secure 6,在次配置和筛选系统安全:许多在CD中OS的补丁是不够及时的,因此从sunsolve.sun.ch中获取patchdiag 工具来查看安全补丁并下载安装这些补丁。
配置登录记录 在/etc/default/su中使SU记录有效。使用以下方法使尝试登录失败记录有效: touch /var/log/loginlog; chmod 600 /var/log/loginlog; chgrp sys /var/log/loginlog
SYSLOG记录:根据syslog.conf例子来分散LOG分析记录,即把多项服务的记录分散到各个单独的LOG文档,有条件的话在(/etc/hosts)中指定一台机器作为loghost
syslog “loghost“ 需要一个大的磁盘作为LOG记录的存储介质。建立空的LOGS文档并设立相应的权限:
cd /var/log; touch daemonlog authlog kernlog userlog maillog lprlog cronlog newslog locallog alertlog;
chmod 600 daemonlog authlog kernlog userlog maillog lprlog cronlog newslog locallog alertlog;
kill -1 `pgrep syslogd`
使用rotate_log来修剪和压缩LOGS文档,在root cron中增加如下条目: ## Prune syslog logs weekly, keeping the last 6 months or so: 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 40 al ertlog 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 40 au thlog 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 20 cr onlog 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 40 da emonlog 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 40 ke rnlog 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 40 lo callog 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 20 ne wslog 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 40 us erlog 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 10 lp rlog 55 23 * * 6 /secure/rotate_log -L /var/log -c -m 600 -M 400 -c -s -n 20 ma illog # Reset syslog daemon 0,15,30 0 * * 0 kill -HUP `cat /etc/syslog.pid`
为了您自己使用上面的条目请在root cron中使其他的log修剪(pruning)无效: #10 3 * * 0,4 /etc/cron.d/logchecker #10 3 * * 0 /usr/lib/newsyslog #15 3 * * 0 /usr/lib/fs/nfs/nfsfind #1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1 #30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clea n
Pruning of login & other logs:
## Empty login/logout records at year end 0 0 31 12 * /secure/wtrim.pl wtmp 0 0 31 12 * /secure/wtrim.pl wtmpx 20 # Solaris 2.x logs: 0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M 440 -c -s -n 30 logi nlog 0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M 440 -c -s -n 30 sulo g 0 4 * * 6 /secure/rotate_log -L /var/adm -c -m 640 -M 440 -c -s -n 2 vold. log 0 4 * * 6 /secure/rotate_cron
crons
删除无需的crons:rm /var/spool/cron/crontabs/{lp,sys,adm}
Root cron 条目:通过可信赖的来源使用rdate设定日期(您或许使用NTP协议,这将使时间精确一些,但正向上面所说的增加带宽和不必要的安全问题): ## Synchronise the time(同步时间): 0 * * * * /usr/bin/rdate YOURTIMEHOST >/dev/null 2>&1
文档权限必须限制一些有关ROOT操作的权限或干脆使其无效: chmod 0500 /usr/sbin/snoop /usr/sbin/devinfo chmod o-r /var/spool/cron/crontabs/* chmod 000 /bin/rdist chmod o-rx /etc/security chmod og-rwx /var/adm/vold.log chmod u-s /usr/lib/sendmail #Except for mailgateways chmod 400 /.shosts /etc/sshd_config /etc/ssh_known_hosts
再在登录信息上配置警告用户非授权登录的信息(假如要起诉侵入者您就需要这些信息
。如在Telnet和SSH,在/etc/motd中配置警告语句: ATTENTION: You have logged onto a secured XXXX Corporation server. Access by non YYYY administrators is forbidden. For info contact YYYY@XXX.com 重新启动,通过SSH登录,现在使用ps -e来显示进程列表: PID TTY TIME CMD 0 ? 0:00 sched 1 ? 0:00 init 2 ? 0:00 pageout 3 ? 0:09 fsflush 156 ? 0:00 ttymon 152 ? 0:00 sac 447 ? 0:06 sshd 88 ? 0:00 inetd 98 ? 0:00 cron 136 ? 0:00 utmpd 605 ? 0:00 syslogd 175 console 0:00 ttymon 469 pts/1 0:00 csh 466 ? 0:01 sshd 625 pts/1 0:00 ps 及使用netstat -a 将显示最小的网络连接(如只有SSH): UDP Local Address Remote Address State -------------------- -------------------- ------- *.syslog Idle *.* Unbound
TCP Local Address Remote Address Swind Send-Q Rwind Recv-Q State -------------------- -------------------- ----- ------ ----- ------ ------ - *.* *.* 0 0 0 0 IDLE *.22 *.* 0 0 0 0 LISTEN *.* *.* 0 0 0 0 IDLE
7,建立Tripwire映象,备份和测试 -测试 SSH和标准工具是否能正常工作?检查LOG条目,检查控制台信息来了解系统是否按照您设想的计划实现。 -当任何工作运行的正常时,就freeze(冻结)/usr有可能的话冻结/opt: 在/etc/vfstab中增加“ro“选项以只读方式挂上(mount)/usr和/opt分区,这样减少木马程式和非认证的修改。以nosuid方式mount其他分区。重启-假如CD-ROMS无需的话,是卷管理无效,使用如下命令能够在您需要时重新启用:
mv /etc/rc2.d/S92volmgt /etc/rc2.d/.S92volmgt -最后安全TRIPWIRE(或其他使用hashing算法的文档检查工具),初始化他的数据库和运行常规的检查来检测文档的改变。假如可能的话使TRIPWIRE的数据库安装在另一个机器上或一次性写入介质。假如还需要更安全的措施,那么就拷贝TRIPWIRE和他的数据库并使用SSH远程运行。这将使入侵者很难知道TRIPWIRE在使用。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
