分享
 
 
 

Solaris安全FAQ(下)

王朝other·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

5.5) 限制通过网络进入系统

telnet和ftp守护进程是从inetd进程启动的,inetd的配置文件是/etc/inetd.conf,还包含了其它的各种服务,所以你可以干脆移去这个文件,新建一个只包括以下两行的文件:

ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd

telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd

当然这是基于你需要telnet及ftp的基础上的,如果你连这两个服务都不用的话,你就可以将它注释掉或者删除,这样在系统启动的时候inetd甚至就起不来了:)

tcpd的访问控制是由/etc/hosts.allow和/etc/hosts.deny文件控制的,tcpd先查找/etc/hosts.allow,如果你在这里面允许了某几台主机的telnet或ftp访问的话,那么deny访问就是对其它所有机器的了。这是“默认拒绝”的访问控制策略,下面是一个hosts.allow文件的样本:

ALL: 172.16.3.0/255.255.255.0

这将允许172.16.3.0网络的主机上任何用户访问你的telnet及ftp服务,记住在这里要放置IP地址,因为域名比较容易受到欺骗攻击……

现在我们准备拒绝其余所有人的连接了,将下面的语句放在/etc/hosts.deny中:

ALL: ALL: /usr/bin/mailx -s "%d: connection attempt from %c" root@mydomain.com

这条指令不仅拒绝了其它所有的连接,而且能够让tcpd发送email给root――一旦有不允许的连接尝试发生时。

现在你可能希望用syslog记录下所有的访问记录,那么在/etc/syslog.conf放进如下语句:

auth.auth.notice;auth.info /var/log/authlog

注意两段语句间的空白是tab键,否则syslog可能会不能正常工作。

Sendmail将用以cron来调用sendmail来替代。

5.6) 配置S/Key

S/Key是一个用于实现安全的一次性口令方案的软件,它根据一系列信息(包括一个秘密口令)通过MD4处理而形成的初始钥匙,该初始钥匙再交给MD4进行处理,资助将128位的数字签名缩成64位,该64位信息再次传给MD4函数,这个过程一直持续直到达到期望值……

开始使用S/Key时,要建立一个以/usr/local/bin/keysh为shell的帐号:

在/etc/passwd中加入

access:x:100:100:Access Account:/tmp:/usr/local/bin/keysh

并且在/etc/shadow中加入

access:NP:6445::::::

然后使用passwd access命令来设定用户的访问密码。

由于/usr/local/bin/keysh不是一个标准的shell,所以你的/etc/shells文件中内容如下:

/sbin/sh

/usr/local/bin/keysh

只有使用这两种login shell的用户才允许接入。

然后建立一个文件/etc/skeykeys并赋予一定的许可权限:

touch /etc/skeykeys

chmod 600 /etc/skeykeys

chown root /etc/skeykeys

chgrp root /etc/skeykeys

使用keyinit access命令来初始化S/Key秘密口令。

现在你可以配置允许用户通过keysu命令来成为超级用户,首先改变/etc/group:

root::0:root,access

只有在这里列出来的用户才允许通过keysu成为超级用户。现在你可以使用不着keyinit root命令来初始化超级用户的S/Key秘密口令,我建议该口令要与user的有所区别。

本来你可以将/bin/su删掉以确定用户只能使用keysu……,但不幸的是,许多脚本使用/bin/su来开启进程,所以你只需用chmod 500/bin/su来改变它的权限就行了。

5.7) 配置wu-ftp

配置wu-ftp需要经验:),当你编译wu-ftpd时,你需要指定一个存放配置文件的地方,这个文件夹里将包含一个pid文件夹和三个文件,一个ftp conversions文件可以是空的,但不能没有,还有ftpusers文件包含了所有在password文件中存在但不允许登陆系统ftp的用户名称,也就是如uucp、bin之类的系统帐号都将应该被限制。root最好是永远都被扔在这里面:)。

最后一个文件是ftpaccess:

class users real 172.16.3.*

log commands real

log transfers real inbound,outbound

这将允许从172.16.3.0的任何用户ftp而拒绝所有其它的,所有的文件与命令将被记录下来,并且存放在你指定的记录文件目录。

至于建立匿名FTP,你要小心,因为很容易配置错误。

建立一个特殊帐户如:

ftp:*:400:400:Anonymous FTP:/var/spool/ftp:/bon/false

因为使用了chroot()功能,必须建立一个小的文件系统,包含了bin\etc\pub目录:

这里面要注意的有:

确保bin及etc下的所有文件属主都是root,且任何人不可写,只有执行权限,最好另外拷贝一份passwd到ftp的etc中,即使被入侵者得到了,也不会泄露太多信息。

详细配置情况还需要看关于wu-ftp的faq。

5.8) 限制对文件及文件系统的存取权限

下载并使用fix-modes,这个程序会将系统里不安全的文件存取权限(文件/目录)找出来。

使用nosuid参数来配置/etc/vfstab,以防止setuid程序从UFS文件系统执行

/proc - /procproc- no -

fd- /dev/fdfd- no -

swap- /tmp tmpfs - yes-

/dev/dsk/c0t3d0s1 - -swap- no -

/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0/ ufs1 no remount,nosuid

/dev/dsk/c0t3d0s4 /dev/rdsk/c0t3d0s4/usrufs1 no ro

/dev/dsk/c0t3d0s5 /dev/rdsk/c0t3d0s5/varufs1 no nosuid

/dev/dsk/c0t3d0s6 /dev/rdsk/c0t3d0s6/localufs2 yesnosuid

5.9) 测试配置

重启你的机器,确定下面这些东西:

你可以从你配置为允许tcpd连接的机器telnet及ftp到你的server。

尝试从其它未被允许的机器进入,应该会拒绝并email告知当事人。

你只能以user的身份远程telnet或者ftp上站,不能以root登陆。

用户可以通过/usr/local/bin/keysu成为超级用户。

ps -ef只有少量的进程显示,最好不要有sendmail和各种NFS进程。

touch /usr/FOO会得到错误提示,因为文件系统是ro的。

成为超级用户,将ps命令复制到/,要保持它的setuid位,然后删除它的二进制文件。

好了,祝贺你,你已经建立了一个比较安全的系统了:)

5.10) 最后:一些建议

使用XNTP来确定精确的时间。

在你把机器放到网上前,用tripwire和MD5做一个校验,如果系统被入侵,你可以通过保存的校验和来判断哪些程序被替换掉了。

考虑使用进程记录来记来系统里占用资源的情况。

定期改变你的S/Key secrets并且选择一个好的密码,在各地方的密码最好不要一样……

对Solaris及网络安全我都没多少经验,不懂

的地方都是妄自猜度,错误想必不少,请指点!

mailto:quack@antionline.org

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有