5.5) 限制通过网络进入系统
telnet和ftp守护进程是从inetd进程启动的,inetd的配置文件是/etc/inetd.conf,还包含了其它的各种服务,所以你可以干脆移去这个文件,新建一个只包括以下两行的文件:
ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd
telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd
当然这是基于你需要telnet及ftp的基础上的,如果你连这两个服务都不用的话,你就可以将它注释掉或者删除,这样在系统启动的时候inetd甚至就起不来了:)
tcpd的访问控制是由/etc/hosts.allow和/etc/hosts.deny文件控制的,tcpd先查找/etc/hosts.allow,如果你在这里面允许了某几台主机的telnet或ftp访问的话,那么deny访问就是对其它所有机器的了。这是“默认拒绝”的访问控制策略,下面是一个hosts.allow文件的样本:
ALL: 172.16.3.0/255.255.255.0
这将允许172.16.3.0网络的主机上任何用户访问你的telnet及ftp服务,记住在这里要放置IP地址,因为域名比较容易受到欺骗攻击……
现在我们准备拒绝其余所有人的连接了,将下面的语句放在/etc/hosts.deny中:
ALL: ALL: /usr/bin/mailx -s "%d: connection attempt from %c" root@mydomain.com
这条指令不仅拒绝了其它所有的连接,而且能够让tcpd发送email给root――一旦有不允许的连接尝试发生时。
现在你可能希望用syslog记录下所有的访问记录,那么在/etc/syslog.conf放进如下语句:
auth.auth.notice;auth.info /var/log/authlog
注意两段语句间的空白是tab键,否则syslog可能会不能正常工作。
Sendmail将用以cron来调用sendmail来替代。
5.6) 配置S/Key
S/Key是一个用于实现安全的一次性口令方案的软件,它根据一系列信息(包括一个秘密口令)通过MD4处理而形成的初始钥匙,该初始钥匙再交给MD4进行处理,资助将128位的数字签名缩成64位,该64位信息再次传给MD4函数,这个过程一直持续直到达到期望值……
开始使用S/Key时,要建立一个以/usr/local/bin/keysh为shell的帐号:
在/etc/passwd中加入
access:x:100:100:Access Account:/tmp:/usr/local/bin/keysh
并且在/etc/shadow中加入
access:NP:6445::::::
然后使用passwd access命令来设定用户的访问密码。
由于/usr/local/bin/keysh不是一个标准的shell,所以你的/etc/shells文件中内容如下:
/sbin/sh
/usr/local/bin/keysh
只有使用这两种login shell的用户才允许接入。
然后建立一个文件/etc/skeykeys并赋予一定的许可权限:
touch /etc/skeykeys
chmod 600 /etc/skeykeys
chown root /etc/skeykeys
chgrp root /etc/skeykeys
使用keyinit access命令来初始化S/Key秘密口令。
现在你可以配置允许用户通过keysu命令来成为超级用户,首先改变/etc/group:
root::0:root,access
只有在这里列出来的用户才允许通过keysu成为超级用户。现在你可以使用不着keyinit root命令来初始化超级用户的S/Key秘密口令,我建议该口令要与user的有所区别。
本来你可以将/bin/su删掉以确定用户只能使用keysu……,但不幸的是,许多脚本使用/bin/su来开启进程,所以你只需用chmod 500/bin/su来改变它的权限就行了。
5.7) 配置wu-ftp
配置wu-ftp需要经验:),当你编译wu-ftpd时,你需要指定一个存放配置文件的地方,这个文件夹里将包含一个pid文件夹和三个文件,一个ftp conversions文件可以是空的,但不能没有,还有ftpusers文件包含了所有在password文件中存在但不允许登陆系统ftp的用户名称,也就是如uucp、bin之类的系统帐号都将应该被限制。root最好是永远都被扔在这里面:)。
最后一个文件是ftpaccess:
class users real 172.16.3.*
log commands real
log transfers real inbound,outbound
这将允许从172.16.3.0的任何用户ftp而拒绝所有其它的,所有的文件与命令将被记录下来,并且存放在你指定的记录文件目录。
至于建立匿名FTP,你要小心,因为很容易配置错误。
建立一个特殊帐户如:
ftp:*:400:400:Anonymous FTP:/var/spool/ftp:/bon/false
因为使用了chroot()功能,必须建立一个小的文件系统,包含了bin\etc\pub目录:
这里面要注意的有:
确保bin及etc下的所有文件属主都是root,且任何人不可写,只有执行权限,最好另外拷贝一份passwd到ftp的etc中,即使被入侵者得到了,也不会泄露太多信息。
详细配置情况还需要看关于wu-ftp的faq。
5.8) 限制对文件及文件系统的存取权限
下载并使用fix-modes,这个程序会将系统里不安全的文件存取权限(文件/目录)找出来。
使用nosuid参数来配置/etc/vfstab,以防止setuid程序从UFS文件系统执行
/proc - /procproc- no -
fd- /dev/fdfd- no -
swap- /tmp tmpfs - yes-
/dev/dsk/c0t3d0s1 - -swap- no -
/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0/ ufs1 no remount,nosuid
/dev/dsk/c0t3d0s4 /dev/rdsk/c0t3d0s4/usrufs1 no ro
/dev/dsk/c0t3d0s5 /dev/rdsk/c0t3d0s5/varufs1 no nosuid
/dev/dsk/c0t3d0s6 /dev/rdsk/c0t3d0s6/localufs2 yesnosuid
5.9) 测试配置
重启你的机器,确定下面这些东西:
你可以从你配置为允许tcpd连接的机器telnet及ftp到你的server。
尝试从其它未被允许的机器进入,应该会拒绝并email告知当事人。
你只能以user的身份远程telnet或者ftp上站,不能以root登陆。
用户可以通过/usr/local/bin/keysu成为超级用户。
ps -ef只有少量的进程显示,最好不要有sendmail和各种NFS进程。
touch /usr/FOO会得到错误提示,因为文件系统是ro的。
成为超级用户,将ps命令复制到/,要保持它的setuid位,然后删除它的二进制文件。
好了,祝贺你,你已经建立了一个比较安全的系统了:)
5.10) 最后:一些建议
使用XNTP来确定精确的时间。
在你把机器放到网上前,用tripwire和MD5做一个校验,如果系统被入侵,你可以通过保存的校验和来判断哪些程序被替换掉了。
考虑使用进程记录来记来系统里占用资源的情况。
定期改变你的S/Key secrets并且选择一个好的密码,在各地方的密码最好不要一样……
对Solaris及网络安全我都没多少经验,不懂
的地方都是妄自猜度,错误想必不少,请指点!
mailto:quack@antionline.org
