*.* *.* 0 0 0 0 IDLE
*.22 *.* 0 0 0 0 LISTEN
*.* *.* 0 0 0 0 IDLE
7,建立Tripwire映象,备份和测试
-测试 SSH和标准工具是否能正常工作?检查LOG条目,检查控制台信息来了解系统是否按照你设想的计划实现 。
-当所有工作运行的正常时,就freeze(冻结)/usr有可能的话冻结/opt:
在/etc/vfstab中增加ro选项以只读方式挂上(mount)/usr和/opt分区,这样减少木马程序和非认证的修改 。以nosuid方式mount其他分区 。
重启-如果CD-ROMS不需要的话,是卷管理无效,使用如下命令可以在你需要时重新启用:
mv /etc/rc2.d/S92volmgt /etc/rc2.d/.S92volmgt
-最后安全TRIPWIRE(或者其他使用hashing算法的文件检查工具),初始化它的数据库和运行常规的检查来检测文件的改变 。如果可能的话使TRIPWIRE的数据库安装在另一个机器上或一次性写入介质 。如果还需要更安全的措施,那么就拷贝TRIPWIRE和它的数据库并使用SSH远程运行 。这将使入侵者很难知道TRIPWIRE在使用 。
8,安装,测试应用程序
应该考虑把应用程序安装在独立的分区或者在/opt分区,如果使用/opt,在安装时必须以读写方式来挂起此分区,在安装和测试后必须再设置回只读方式 。根据服务器的功能,选择你所需要的如:ftpd,BIND,proxIEs等等,在安装应用程序时遵照以下的规则来安装:
--在应用程序启动之前umask是否设置好如(如:022)
--应用程序是不是能以非ROOT身份运行?是否很好的设置密码若最少8位加标点,字符大小写
--注意是否所有文件的权限设置正确,即是不是只能有应用程序用户自己拥有
读写权限,有没有全局能读写的文件
--当应用程序在写LOG记录时是否安全?有没有可能把密码写到安装LOG中去(不用感到好笑,这很普遍)下面是一些安装常用服务所需要的安全问题
1,FTP服务(ftp)
-如果你使用Western University wu-ftpd,必须知道它存在一些历史BUG,如
(请参看 CERT advisorIEs CA-93:06, CA-94:07,
CA-95:16 and Auscert AA-97.03 and AA-1999.02),最起码使用V2.6.0或以后
的版本 。
2,配置/etc/ftpusers的系统帐号使其不能用来FTP,如使以ROOT身份登录FTP无效,把root增加到/etc/ftpusers.要想把所有系统帐号加入到你的新系统中去可使用如下方法:
awk -F: '{print $1}' /etc/passwd > /etc/ftpusers
-FTP可以通过/etc/ftpusers选择性的激活每个用户;也可以使用下面的方法:
对于那些不能通过FTP访问此机器的,提供他们一些不正规的SHELL(如BASH和TCSH),但不把新的SHELL加入到/etc/shells,这样FTP访问将被拒绝 。相反,要把一个非标准的SHELL加入到/etc/shells才能使FTP正常工作 。
-使LOGGING有效:把-l选项增加到/etc/inetd.conf中去,另外-d选项将增加debug输出 。
-FTP可以限制IP地址或基于tcp wrappers的主机名 。
-如果需要匿名FTP访问,必须非常谨慎,一个chroot的环境是必须的 。
具体请参看in.ftpd 手册 。避免允许上传文件权利 。如果需要上传文件的权利,需不允许下载上载了的文件,隐藏上载文件名及不允许他们覆盖方式操作 。
-使用FTP强烈建议使用chroot.
-把FTP数据放在独立的磁盘分区,以nosuid方式mount 。
2,DNS服务:
-使用最新的BIND(Berkeley Internet Name Server)来代替SUN的named,BIND有很多好的特征,若容易DEBUG和当有安全问题发现时很快更新 。
具体请参看网站:
www.isc.org/vIEw.cgi?/products/BIND/index.pHTML.
-使用8.1.2或以后的版本
-使用测试工具www.uniplus.ch/direct/testtool/dnstest.html来测试DNS 。
-使用nslookup和dig来检查服务结果 。
-如果在DNS客户端存在问题检查/etc/nsswitch.conf和/etc/resolv.conf,使用nslookup -d2来获得DEBUG的信息 。尝试杀掉nscd守护程序 。
推荐阅读
- 以Solaris架设FTP虚拟系统
- Solaris10中新的Dtrace工具
- solaris下做raid1做磁盘镜像
- Solaris 做Raid1小结!
- 1 Solaris下实现socks5代理
- 2 Solaris下实现socks5代理
- 4 Solaris下实现socks5代理
- 3 Solaris下实现socks5代理
- 使用JumpStart快速安装Solaris
- 使用Yassp工具包安装安全的Solaris系统