鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 操作系统维护 > solaris > >

Solaris系统安全加固列表(2)

来源:互联网 作者:佚名 时间:2015-06-03 08:40
四 系统加固 为OpenBoot设置密码 在Solaris中设置密码 # eeprom security password 在OpenBoot中设置密码 ok password 在Solaris中设置安全级别(command) # eeprom security mode=command 在OpenBoot中设置安全级别(command) ok setenv security mode co

   四系统加固
为OpenBoot设置密码

在Solaris中设置密码 # eeprom securitypassword
在OpenBoot中设置密码 ok password
在Solaris中设置安全级别(command) # eeprom securitymode=command
在OpenBoot中设置安全级别(command) ok setenv securitymode command
在OpenBoot中设置安全级别(full) ok setenv securitymode full

取消不必须账号
移去或者锁定那些不是必须的帐号比如sys\uucp\nuucp\listen等等简单的办法是在/etc/shadow的password域中放上NP字符
(简单办法是 passwd l username)

文件系统
/etc目录中应该没有文件是组或者其他用户可写的
find /etc/ type f –perm –g+w –print (查找组可写文件)
find /etc/ type f –perm –o+w –print (查找其他用户可写文件)
chmod –R gow /etc (改变任何错误的组/其他用户的写权限)
/var/adm/utmp和/var/adm/utmpx文件的权限应该是

XWindows手工锁定(当管理员离开电脑的时候)
CDE中面板上的加锁图标
OpenWindows中鼠标右键UtilitiesLock Screen

/etc的存取权限
用chmod R gw /etc命令来移去组用户对/etc的写权限

打开数据包转发
#ndd –set /dev/ip ip_forwarding (在系统作为路由器的情况中执行)
关闭数据包转发
#ndd –set /dev/ip ip_forwarding (建议把这条命令加入/etc/initd/inetinit中)
忽略重定向数据包(否则有遭到DOS的隐患)
#ndd –set /dev/ip ip_ignore_redirects (加入/etc/initd/inetinit)
不发送重定向数据包
#ndd –set /dev/ip ip_send_redirects (加入/etc/initd/inetinit)
禁止转发定向广播(如果网桥连结则不禁止)
#ndd –set /dev/ip ip_forward_directed_broadcasts (加入/etc/initd/inetinit)
禁止转发在数据源设置了路由的数据包
#ndd –set /dev/ip ip_forward_src_routed (加入/etc/initd/inetinit)

利用/etc/notrouter关闭IP转发
创建/etc/notrouter文件重启计算机(入侵者如果可以访问根目录可以使用ndd命令重新开启IP转发)
/etc/inet/hosts中的配置
Localhost (所有系统都有这一项)
Loghost (syslog使用的)
wy_solaris (主机IP和主机名)
/etc/defaultrouter包含了默认路由器的名称或者IP
如果使用了默认路由器在/etc/inet/hosts文件中必须包含路由器的名称因为如果设置了路由表系统将不会运行任何目录服务(DNSNIS或者NIS+)

cron(任务在/var/spool/cron/crontabs/ 一般行为在/etc/default/cron)
格式minute hour dayofmonth month dayofweek command
(每项间用空格同一项两个数字间用逗号每项为数字或者星号)
配置
查看命令 crontab –l
)进入只有本用户可读的目录
)crontab –l > mycronfile
)编辑mycronfile
)crontab < mycronfile
不要使用crontab –e命令因为它会在/tmp下建立所有用户都可读的crontab副本
访问cron系统
/etc/crond/cronallow (允许)
/etc/crond/crondeny (不允许)
存在cronallow其中没有某用户则不允许此用户访问cron系统
存在crondeny其中没有某用户则允许此用户访问cron系统
在/etc/default/cron里设置了"CRONLOG=yes" 来记录corn的动作
PATH中不应包含/tmp~字样
at(任务在/var/spool/cron/atjobs)
/etc/crond/atallow和/etc/crond/atdeny和cron文件完全一样

增加静态路由
格式 route add net netaddress subnetmask router hops
例如 route add net
(要到达xx的网络需要将数据包送往路由器距离xx有一个跃点这个命令将增加到启动文件/etc/rcd/Sinetsvc)
增加动态路由(会带来安全隐患)
在/etc/rcd/Sinetsvc中增加和是的命令行
运行inrouted或者inrdisc
诊断工具snoop可以sniff只有root可以使用可以把snoop从不需要的UNIX机器上删除

root的umask设置错误
修改/etc/profile文件将umask设为或者

堆栈缓冲溢出攻击防护设置
在/etc/system里加上如下语句禁止缓冲溢出
echo "set noexec_user_stack=" >> /etc/system
echo "set noexec_user_stack_log=" >> /etc/system
(对 Solaris 可以对单个程序设定堆栈不可执行属性前提是有该程序的源码例如# cc M /usr/lib/ld/mapnoexstk myprogramc)

使IP forwarding和sourec routing(源路)由无效
在Inetinit中使IP forwarding和sourec routing(源路)由无效(假如有超过一个网络接口的话)    

网友评论
<