知识大全 教你如何配置安全的SOLARIS系统
Posted 文件
篇首语:百艺通,不如一艺精。本文由小常识网(cha138.com)小编为大家整理,主要介绍了知识大全 教你如何配置安全的SOLARIS系统相关的知识,希望对你有一定的参考价值。
教你如何配置安全的SOLARIS系统 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
一 帐号和口令安全策略 更改口令文件 影像文件 组文件的权限 /etc/passwd 必须所有用户都可读 root用户可写 –rw r—r— /etc/shadow 只有root可读 –r /etc/group 必须所有用户都可读 root用户可写 –rw r—r— 修改不必要的系统帐号 移去或者锁定那些系统帐号 比如sys uucp nuucp listen lp adm等等 简单的办法是在/etc/shadow的password域中放上NP字符 还可以考虑将/etc/passwd文件中的shell域设置成/bin/false 修改口令策略 修改/etc/default/passwd文件 MAXWEEKS= 口令至少每隔 星期更改一次 MINWEEKS= 口令至多每隔 星期更改一次 WARNWEEKS= 修改口令后第三个星期会收到快要修改口令的信息 PASSLENGTH= 用户口令长度不少于 个字符 二 用户授权安全策略 移去组及其它用户对/etc的写权限 执行命令#chmod R go w /etc 禁止root远程登录 在/etc/default/login中设置 CONSOLE=/dev/concle setuid和setgid特殊权限 Setuid是指设置程序的有效执行用户身份(uid)为该文件的属主 而不是调用该程序进程的用户身份 Setgid与之类似 Setuid和setgid用 s 显示出来为s权限 存在于主人和属组的执行权限的位置上 系统设置特殊权限 使用户执行某些命令时 具有root的执行权限 命令执行完成 root身份也随之消失 因此特殊权限关系系统的安全 可执行命令#find / perm print 寻找系统中具有setuid权限的文件 存为列表文件 定时检查有没有这之外的文件被设置了setuid权限 审计并日志所有以root身份的登陆情况 添加或编辑/etc/default/login文件如下 SYSLOG= YES syslog记录root的登陆失败 成功的情况 设置远程登陆会话超时时间 添加或编辑/etc/default/login文件如下 TIMEOUT= 确定登陆需要密码验证 添加或编辑/etc/default/login文件如下 PASSREQ= YES UMASK设置 umask命令设置用户文件和目录的文件创建缺省屏蔽值 若将此命令放入 profile文件 就可控制该用户后续所建文件的存取许可 umask命令与chmod命令的作用正好相反 它告诉系统在创建文件时不给予什么存取许可 安装配置完操作系统之后确认root的umask设置是 或者 执行 /usr/bin/umask [ S] 确认 增加或修改/etc/default/login文件中如下行 UMASK= 并增加上行到如下的文件中 /etc/ login /etc/ profile /etc/skel/local cshre /etc/skel/local login /etc/skel/local profile 用户环境配置文件的PATH或者LD_LIBRARY_PATH中移去 从如下的文件中移走 确认root的PATH环境变量设置是安全的 应该只包含/usr/bin:/sbin:/usr/sbin 避免当前工作目录 出现在PATH环境变量中 这有助于对抗特洛伊木马 #echo $PATH | grep : 确认 / login /etc/ login /etc/default/login / cshrc /etc/skel/local profile /etc/skel/local cshrc / profile /etc/skel/local login /etc/profile 三 网络与服务安全策略 关闭不用的服务 在nf中关闭不用的服务 首先复制/etc/inet/nf #cp /etc/inet/nf /etc/inet/nf backup 然后用vi编辑器编辑nf文件 对于需要注释掉的服务在相应行开头标记 # 字符即可 在Services中关闭不用的服务 首先复制/etc/inet/services #cp /etc/inet/services /etc/inet/services backup 然后用vi编辑器编辑Services文件 对于需要注释掉的服务在相应行开头标记 # 字符即可 在nf services中进行修改后 找到inetd进程的ID号 用kill向其发送HUP信号进行刷新 举例如下 #ps ef | grep inetd #kill HUP 进程号 或/usr/sbin/inetd –s –t 增加 t选项以加强网络访问控制 根据需要关闭不用的服务 可关闭如下服务 tftp ypupdate(NIS程序) dtspcd(邮 件收发程序) rquotad name uucp(网络实用系统) snmp(简单网络管理协议)等 关闭系统的自启动服务 在系统/etc/rc* d的目录下 根据需要停用以下服务: sendmail 把/etc/rc d/S sendmai更名为tc/rc d/X sendmail DNS 将/etc/rc d/S inetsv注释掉in named一项 lp 把/etc/rc d/S lp更名为 /etc/rc d/X lp uucp 把/etc/rc d/S uucp更名为/etc/rc d/x uucp snmp 把/etc/rc d/S snmpdx和 /etc/rc d/S dmi 更名 为/etc/rc d/s snmpdx和/etc/rc d/s dmi autoinstall 把/etc/rc d/S autoinstallg更名为/etc/rc d/s autoinstall 加强FTP服务安全 禁止系统用户的FTP服务 把所有的系统账户加入到/etc/ftpusers(solaris 的该文件现更改为/etc/ftpd/ftpusers)文件 root daemon sys bin adm lp uucp nuucp listen nobody 禁止FTP&服务暴露系统敏感信息 编辑/etc/default/ftpd文件 假如文件不存在就新建一个 在文件中的加进入下一项 BANNER=XXXX(XXXX可以任意改变为任何一个版本信息) 将该系统版本信息屏蔽 ftp服务会话日志记录 /etc/inet/nf中的ftpd为(记录) ftp stream tcp nowait root /usr/sbin/in ftpd in ftpd –dl 加强Telnet服务安全 禁止Telnet服务暴露系统敏感信息 防止telnetd banner泄露信息 修改/etc/default/telnetd文件 加入以下一项 BANNER=XXXX(XXXX可以任意改变为任何一个版本信息) 将该系统版本信息屏蔽 更改Telnet服务端口号 修改文件/etc/services的Telnet一项 将端口号改为非 使用Telnet服务时需注明端口号 加强NFS服务安全 检查/etc/dfs/dfstab文件share语句 缺省时共享目录为 可读可写 加入 o 选项增加安全 o rw 可读可写 o ro 只读 可授权某系统和某用户 防止TCP序列号预测攻击(ip欺骗) 在/etc/default/inetinit中增加设置来防止TCP序列号预测攻击(ip欺骗)TCP_STRONG_ISS= 系统路由安全 如果Solaris机器有超过一块的网卡的话 它将会在不同网卡间转发数据包 这一行为可以在/etc/init d/inetinit中得到控制 要在Solaris 或者更低版本机器下关闭它 可以将ndd set /dev/ip ip_forwarding 添加于在inetinit文件未尾 在Solaris 以上 只要touch /etc/notrouter 网络系统用静态路由比较安全 调整网络参数 加强网络安全 使IP forwarding和sourec routing(源路)由无效 在Inetinit中使IP forwarding和sourec routing(源路)由无效(假如有超过一个网络接口的话) 在/etc/init d/inetinit中增加下面所示设置: 禁止系统转发定向广播包 #ndd set /dev/ip ip_forward_directed_broadcasts 关闭原路由寻址 #ndd set /dev/ip ip_forward_src_routed 禁止系统转发IP包 #ndd set /dev/ip ip_forwarding 缩短ARP的cache保存时间: (default is min) #ndd set /dev/arp arp_cleanup_interval min 关闭echo广播来防止ping攻击( # default is ) #ndd set /dev/ip ip_respond_to_echo_broadcast 四 防止堆栈缓冲益出安全策略 入侵者常常使用的一种利用系统漏洞的方式是堆栈溢出 他们在堆栈里巧妙地插入一段代码 利用它们的溢出来执行 以获得对系统的某种权限 要让你的系统在堆栈缓冲溢出攻击中更不易受侵害 你可以在/etc/system里加上如下语句 set noexec_user_stack= set noexec_user_stack_log = 第一句可以防止在堆栈中执行插入的代码 第二句则是在入侵者想运行exploit的时候会做记录 五 日志系统安全策略 定时检查系统日志文件 Solaris系统通过syslogd进程运行日志系统 配置文件/etc/nf 可编辑此文件让日志系统记录更多信息 需重启/usr/sbin/syslogd进程 重读取配置文件 通常日志系统的文件分别存放在两个位置 /var/adm保存本地系统日志 /var/log保存登录其它系统时日志 设置utmpx和wtmpx文件权限 确保日志系统安全 文件/var/adm/utmpx记录了所有当前登录到系统中的用户 文件/var/adm/wtmpx记录了系统所有的登录和注销 这两个文件是以数据库的格式存在的 设置权限#chmod /var/adm/utmpx #chmod /var/adm/wtmpx 六 其它系统安全设置 crontab命令 不要使用crontab –e命令 因为它会在/tmp下建立所有用户都可读的crontab副本访问cron系统 用如下的方法 编辑文件 mycronfile crontab相关参考
知识大全 手把手教你RequisitePro的SQL Server配置[3]
手把手教你RequisitePro的SQLServer配置[3] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起
知识大全 手把手教你RequisitePro的SQL Server配置[2]
手把手教你RequisitePro的SQLServer配置[2] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起
知识大全 手把手教你RequisitePro的SQL Server配置[4]
手把手教你RequisitePro的SQLServer配置[4] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起
基系统的安装和模块的选取 配置好基系统是非常重要的因为这样可以建造一个非常稳定的基础还可省去以后编译内核的麻烦不过 bf内核的选项非常繁多过程和编译内核相似对新手来说是一次很好的锻炼机
教你如何配置Struts2web.xml文件 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! St
Acegi安全系统的配置 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! &n
启动Windows系统时,要想直接进入最小系统配置的安全模式,按__
启动Windows系统时,要想直接进入最小系统配置的安全模式,按_____。A、F7键B、F8键C、F9键D、F10键答案:B解析:开机时按F8键可进入安全模式。故选B。
知识大全 安全模式进不去系统,最后一次正确配置也不进不去系统,怎么整。
windowsupdate更新失败!安全模式进不去系统,最后一次正确配置也不进不去系统,怎么整。方案一:重启电脑,按住F8,要进入能够显示“最后一次正确配置的系统”的安全模式下,华硕主板的单按F8与多
Solaris10下安装Oracle10g 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 一系统
知识大全 配置windows update失败 还原更改请勿关闭计算机,安全模式也进不去怎么办
配置windowsupdate失败还原更改请勿关闭计算机,安全模式也进不去怎么办那试试重启后按f8进入系统高级菜单选择用“最后一次正确配置”进入系统看看。进不去系统,一般是系统文件被损坏,要重装系统。