如何增强solaris安全

本文介绍如何一步步加强Solaris SPARC/x86操作系统的安全性。这里介绍的内容并不适合于各种可能的安装情况，仅仅以最普遍的情况为基础进行讨论。本文内容稍加变化就可用于其他Unix系统。

注意

1) 在所有步骤未完之前保证本机系统和外部网络隔绝(注: 拔掉网线即可)

2) 只安装操作系统的核心部分以及那些非常必要的软件包

细节

1. 安装配置完操作系统之后确认root的umask设置是077或者027，执行/usr/bin/umask [-S] 确认。

2. 确认root的PATH环境变量设置是安全的，应该只包含/usr/bin:/sbin:/usr/sbin，避免当前工作目录.出现在PATH环境变量中，这有助于对抗特洛伊木马。

echo $PATH | grep ":." 确认

3. 检查/etc/rc2.d和/etc/rc3.d目录下的所有"S"打头的脚本文件，将那些启动不必要服务的脚本文件改名，确认新文件名不以"S"打头。重启动确认这些变动生效，检查/var/adm/messages日志文件，用ps -elf检查是否还有无关进程启动。

4. 编辑/etc/default/login文件，确认 CONSOLE=/dev/console 有效。为了阻止root用户远程ftp，在/etc/ftpusers文件中增加root帐号。

5. 删除/etc/hosts.equiv和/.rhosts文件，编辑/etc/inetd.conf文件，屏蔽所有r系列服务。ps -ef | grep inetd | awk '{print $2;}' | xargs kill -1迫使修改后的/etc/inetd.conf文件生效。

6. 删除、禁用或者注释掉不必要帐号，包括"sys"、"uucp"、"nuucp"和"listen"。

推荐的做法，将/etc/passwd文件中的口令域设置成"NP"，比如

uucp:NP:5:5:uucp Admin:/usr/lib/uucp:

如果使用了/etc/shadow文件，就不要修改/etc/passwd文件，而应该修改/etc/shadow文件中的相应行

uucp:NP:6445::::::

还可以考虑将/etc/passwd文件中的shell域设置成/bin/false

7. /etc/logindevperm文件包含的配置信息用于设置登录相关设备(控制台、键盘等等)的权限，检查该文件中的权限设置，如果必要可以修改成期望值。关于该文件更多信息参看logindevperm(4)手册页。

8. /etc目录下的文件都不应该是同组可写的，通过chmod -R g-w /etc命令取消同组可写权限。

9. 缺省情况下，如果Solaris主机有多块网卡，它们之间的IP转发功能是打开的。对于Solaris 2.4(或者更低版本),在/etc/init.d/inetinit文件的最后增加一行

ndd -set /dev/ip ip_forwarding 0

对于Solaris 2.5(或者更高版本)，简单地"touch /etc/notrouter"即可。注意,启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。

10.通过/etc/auto_*配置文件控制自动mount特性。为了禁止自动mount功能，删除/etc/auto_*配置文件(或者注释掉相关入口点)，屏蔽/etc/rc2.d/S74autofs启动脚本。

11.NFS输出通过/etc/dfs/dfstab文件控制，应该删除该文件或者注释掉相关入口点。为了禁止NFS服务守护进程启动,将/etc/rc3.d/S15nfs.server改名。为了阻止本机成为NFS客户端，将/etc/rc2.d/S73nfs.client文件改名。在更改这些启动脚本文件名的时候，确认不以"S"字母打头。

12.仔细查/var/spool/cron/crontabs目录下各个系统帐号(adm、lp、root、sys,uucp)的定时任务文件。可以考虑编辑/etc/default/cron文件，设置如下CRONLOG=YES这将导致对所有定时任务做日志。

13.使用动态路由接受守护进程(比如in.routed、in.rdisc)的主机容易遭受路由相关的攻击，包括DoS和监听。尽可能采用静态路由，在启动脚本文件中用route命令增加静态路由，而不是采用动态路由接受守护进程。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有