8,安装,测试应用程式应该考虑把应用程式安装在单独的分区或在/opt分区,假如使用/opt,在安装时必须以读写方式来挂起此分区,在安装和测试后必须再配置回只读方式。根据服务器的功能,选择您所需要的如:ftpd,BIND,proxies等等,在安装应用程式时遵照以下的规则来安装: --在应用程式启动之前umask是否配置好如(如:022) --应用程式是不是能以非ROOT身份运行?是否很好的配置密码若最少8位加标点,字符大小写 --注意是否任何文档的权限配置正确,即是不是只能有应用程式用户自己拥有读写权限,有没有全局能读写的文档 --当应用程式在写LOG记录时是否安全?有没有可能把密码写到安装LOG中去(不用感到好笑,这很普遍)下面是一些安装常用服务所需要的安全问题 1,FTP服务(ftp) -假如您使用Western University wu-ftpd,必须知道他存在一些历史BUG,如 (请参看 CERT advisories CA-93:06, CA-94:07, CA-95:16 and Auscert AA-97.03 and AA-1999.02),最起码使用V2.6.0或以后的版本。 2,配置/etc/ftpusers的系统帐号使其不能用来FTP,如使以ROOT身份登录FTP无效,把“root“增加到/etc/ftpusers.要想把任何系统帐号加入到您的新系统中去可使用如下方法: awk -F: ‘{print $1}‘ /etc/passwd > /etc/ftpusers -FTP能够通过/etc/ftpusers选择性的激活每个用户;也能够使用下面的方法:对于那些不能通过FTP访问此机器的,提供他们一些不正规的SHELL(如BASH和TCSH),但不把新的SHELL加入到/etc/shells,这样FTP访问将被拒绝。相反,要把一个非标准的SHELL加入到/etc/shells才能使FTP正常工作。 -使LOGGING有效:把“-l“选项增加到/etc/inetd.conf中去,另外“-d“选项将增加debu g输出。 -FTP能够限制IP地址或基于tcp wrappers的主机名。 -假如需要匿名FTP访问,必须很谨慎,一个chroot的环境是必须的。具体请参看in.ftpd 手册。避免允许上传文档权利。假如需要上传文档的权利,需不允许下载上载了的文档,隐藏上载文档名及不允许他们覆盖方式操作。 -使用FTP强烈建议使用chroot. -把FTP数据放在单独的磁盘分区,以nosuid方式mount。 2,DNS服务: -使用最新的BIND(Berkeley Internet Name Server)来代替SUN的named,BIND有很多好的特征,若容易DEBUG和当有安全问题发现时很快更新。具体请参看网站: www.isc.org/view.cgi?/products/BIND/index.phtml. -使用8.1.2或以后的版本 -使用测试工具www.uniplus.ch/direct/testtool/dnstest.html来测试DNS。 -使用nslookup和dig来检查服务结果。 -假如在DNS客户端存在问题检查/etc/nsswitch.conf和/etc/resolv.conf,使用nslo okup -d2来获得DEBUG的信息。尝试杀掉nscd守护程式。 -假如服务器端有问题使用named -d来读console LOG,一般这LOG在syslog文档中的“ daemon“段。 -要获得name服务的统计使用 kill -ABRT `cat /etc/named.pid` 将会把统计信息记录到/usr/tmp/named.stats. -要查看改变配置后的配置信息使用HUP信号 kill -HUP `cat /etc/named.pid` 更多的请参看www.ebsinc.com/solaris/dns.html 3,有关chroot环境请参看如下网站: www.sunworld.com/swol-01-1999/swol-01-security.html
以下准备正式运行系统假如可能请使用多人进行最后测试,以便忘记某些重要的东西。使用网络漏洞扫描器扫描系统,确保只有您想使用的服务在运行。如商用扫描器IIS和免费扫描 器nmap或Satan. 检查/opt和/usr分区是否为只读状态。初始化Tripwire(或等同的检查工具) 最后测试什么在工作,什么是禁止的,检查console/log条目,开始时经常查看LOG记录。 9,系统正式运行周详检查;使用不同的人以不同的观点及在不同的网络点登录测试应用软件。 10,常规维护
下面是根据您系统的重要程度决定您要每小时,每天,每星期,每个月要做的事情: -检查SUN公司的pathdiag来不断升级系统,特别注意系统内核的补丁。 -检查任何错误和不寻常的活动记录: syslog (/var/adm/messages or /var/log/*, depending on syslog.conf), /var/cron/log, last, /var/adm/sulog, /var/adm/loginlog, application/server logs. -运行tripwire -注意一些新的漏洞及安全建议,订阅CERT,CIAC的安全公告和供给商的安全列表如(Sun, Microsoft)
其他附加信息: Free Tools SSH notes: www.boran.com/security/ssh_stuff.html TCP Wrappers www.cert.org/ftp/tools/tcp_wrappers SMAP & FWTK www.fwtk.org Top, gzip, lsof, traceroute, perl: www.sunfreeware.com Rdist www.magnicomp.com/rdist/rdist.shtml Sample tools for analysing logs: Logcheck www.psionic.com/abacus/logcheck Swatch ftp://ftp.stanford.edu/general/security-tools/swatch
Security Portal Research Centre: Firewall products www.securityportal.com/research/center.cgi?Category=firewalls Firewall white papers www.securityportal.com/research/center.cgi?Category=whitefaqfire Tripwire: Commercial Version www.tripwiresecurity.com (starts at $495.-/server) Free version V1.2 www.cert.org/ftp/tools/tripwire (last updated in 1994). Sunworld security columns www.sunworld.com/sunworldonline/common/swol-backissues-columns.html Padded Cells: www.sunworld.com/swol-01-1999/swol-01-security.html
| kmsina 回复于:2002-07-30 16:46:14 |
| 我要仔细看看,呵呵 |
| 南非蜘蛛 回复于:2002-07-30 16:55:14 |
| 我倒,这是什么呀?看得我眼睛都晕 |
| Lost in spy 回复于:2002-07-30 16:59:05 |
| 哇噢,铺天盖地,倒:& |
| josephxd 回复于:2002-07-30 17:01:15 |
| 不好意思,我拷來的時候就是這樣的,老大慢點看吧. |
| llzh35 回复于:2002-10-22 11:42:21 |
| 我晕呀,好多呀 |
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
