![](/icons/95903yi.gif)
1、安全
![](/icons/95903de.gif)
2、对于管理员
![](/icons/95903de.gif)
3、分层保护策略:假设某些安全保护层完全失效
4、服务最小化
5、为最坏
![](/icons/95903de.gif)
2、物理安全
1、记录进出机房
![](/icons/95903de.gif)
![](/icons/95903dou.gif)
2、审查PROM是否被更换
![](/icons/95903dou.gif)
3、每个系统
![](/icons/95903de.gif)
![](/icons/95903yi.gif)
![](/icons/95903dou.gif)
4、系统安装完毕移除CD-ROM
5、将版本介质放入不在本场地
![](/icons/95903de.gif)
3、账号和口令策略
1、超级用户
![](/icons/95903de.gif)
![](/icons/95903de.gif)
PATH = /usr/bin:/sbin:/usr/sbin
任何用户
![](/icons/95903de.gif)
2、口令文件、影像文件、组文件
/etc/passwd 必须所有用户都可读
![](/icons/95903dou.gif)
/etc/shadow 只有root可读 –r--------
/etc/group 必须所有用户都可读
![](/icons/95903dou.gif)
3、口令安全
solaris强制口令最少6位
![](/icons/95903dou.gif)
![](/icons/95903de.gif)
强迫test账号每隔30天修改
![](/icons/95903yi.gif)
#passwd –n 30 test
强迫test账号在下次登录
![](/icons/95903de.gif)
#passwd –f test
禁止test账号修改口令
#passwd –n 2 –x 1 test
封锁test账号
![](/icons/95903dou.gif)
#passwd –l test
4、组口令
用
![](/icons/95903new.gif)
由于sysadmin组可执行adm
![](/icons/95903int.gif)
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
![](/icons/95903de.gif)
删除不需要
![](/icons/95903de.gif)
![](/icons/95903dou.gif)
#passwd (通常封锁
![](/icons/95903de.gif)
提取/etc/shadow中user
![](/icons/95903de.gif)
![](/icons/95903zifu.gif)
![](/icons/95903de.gif)
封锁user账号
5、修改口令策略
/etc/default/passwd文件
MAXWEEKS=4 口令至少每隔4星期更改
![](/icons/95903yi.gif)
MINWEEKS=1 口令至多每隔1星期更改
![](/icons/95903yi.gif)
WARNWEEKS=3 修改口令后第 3个星期会收到快要修改口令
![](/icons/95903de.gif)
PASSLENGTH=6 用户口令长度不少于6个
![](/icons/95903zifu.gif)
6、限制使用su
![](/icons/95903de.gif)
#chgrp sysadmin /bin/su
#chmod o-rwx /bin/su
7、su
![](/icons/95903de.gif)
/etc/default/su文件
SULOG=/var/adm/sulog
SYSLOG=YES
CONSOLE=/dev/console
PATH=/usr/bin:
SUPATH=/usr/sbin:/usr/bin
8、禁止root远程登录
/etc/default/login中设置CONSOLE=/dev/null
在/etc/ftpusers里加上root
![](/icons/95903dou2.gif)
在SSH 配置文件加:permitRootLogin = no
(Solaris 9自带SSH
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
![](/icons/95903dou2.gif)
![](/icons/95903dou.gif)
4、系统加固
1、为OpenBoot设置密码
在Solaris中设置密码 # eeprom security-password
在OpenBoot中设置密码 ok password
在Solaris中设置安全级别(command) # eeprom security-mode=command
在OpenBoot中设置安全级别(command) ok
![](/icons/95903set.gif)
在OpenBoot中设置安全级别(full) ok
![](/icons/95903set.gif)
2、取消不必须账号
移去或者锁定那些不是必须
![](/icons/95903de.gif)
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
![](/icons/95903de.gif)
![](/icons/95903de.gif)
![](/icons/95903zifu.gif)
![](/icons/95903dou2.gif)
(简单办法是 passwd -l username)
3、文件系统
/etc目录中应该没有文件是组或者其他用户可写
![](/icons/95903de.gif)
find /etc/ -type f –perm –g+w –pr
![](/icons/95903int.gif)
find /etc/ -type f –perm –o+w –pr
![](/icons/95903int.gif)
chmod –R go-w /etc (改变任何
![](/icons/95903cuowu.gif)
![](/icons/95903de.gif)
![](/icons/95903de.gif)
/var/adm/utmp和/var/adm/utmpx文件
![](/icons/95903de.gif)
4、X-Windows手工锁定(当管理员离开电脑
![](/icons/95903de.gif)
CDE中面板上
![](/icons/95903de.gif)
OpenWindows中-鼠标右键-Utilities-Lock Screen
5、/etc
![](/icons/95903de.gif)
用chmod -R g-w /etc命令来移去组用户对/etc
![](/icons/95903de.gif)
![](/icons/95903dou2.gif)
6、打开数据包转发
#ndd –
![](/icons/95903set.gif)
![](/icons/95903de.gif)
关闭数据包转发
#ndd –
![](/icons/95903set.gif)
忽略重定向数据包(否则有遭到DOS
![](/icons/95903de.gif)
#ndd –
![](/icons/95903set.gif)
不发送重定向数据包
#ndd –
![](/icons/95903set.gif)
禁止转发定向广播(如果网桥连结则不禁止)
#ndd –
![](/icons/95903set.gif)
禁止转发在数据源设置了路由
![](/icons/95903de.gif)
#ndd –
![](/icons/95903set.gif)
7、利用/etc/notrouter关闭IP转发
创建/etc/notrouter文件
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
/etc/inet/hosts中
![](/icons/95903de.gif)
127.0.0.1 Localhost (所有系统都有这
![](/icons/95903yi.gif)
192.168.0.13 Loghost (syslog使用
![](/icons/95903de.gif)
192.168.0.109 wy_solaris (主机IP和主机名)
/etc/defaultrouter包含了默认路由器
![](/icons/95903de.gif)
如果使用了默认路由器
![](/icons/95903dou.gif)
![](/icons/95903de.gif)
![](/icons/95903dou.gif)
![](/icons/95903yinwei.gif)
![](/icons/95903dou.gif)
8、cron(任务在/var/spool/cron/crontabs/
![](/icons/95903yi.gif)
格式:minute hour day-of-month month day-of-week command
(每项间用空格
![](/icons/95903dou.gif)
![](/icons/95903yi.gif)
![](/icons/95903dou.gif)
配置:
查看命令 crontab –l
(1)进入只有本用户可读
![](/icons/95903de.gif)
(2)crontab –l > mycronfile
(3)编辑mycronfile
(4)crontab < mycronfile
不要使用crontab –e命令
![](/icons/95903dou.gif)
![](/icons/95903yinwei.gif)
![](/icons/95903de.gif)
访问cron系统
/etc/cron.d/cron.allow (允许)
/etc/cron.d/cron.deny (不允许)
存在cron.allow
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
存在cron.deny
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
在/etc/default/cron里设置了"CRONLOG=yes" 来记录corn
![](/icons/95903de.gif)
PATH中不应包含“/tmp”“~”“.”字样
at(任务在/var/spool/cron/atjobs)
/etc/cron.d/at.allow和/etc/cron.d/at.deny和cron文件完全
![](/icons/95903yi.gif)
9、增加静态路由
格式: route add net net-address subnet-mask router hops
例如: route add net 10.15.0.0 255.255.0.0 10.14.48.2 1
(要到达10.15.x.x
![](/icons/95903de.gif)
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
![](/icons/95903yi.gif)
![](/icons/95903dou2.gif)
增加动态路由(会带来安全隐患)
在/etc/rc2.d/S72inetsvc中增加和是
![](/icons/95903de.gif)
运行in.routed或者in.rdisc
诊断工具snoop可以sn
![](/icons/95903if.gif)
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
![](/icons/95903de.gif)
10、root
![](/icons/95903de.gif)
![](/icons/95903cuowu.gif)
修改/etc/profile文件
![](/icons/95903dou.gif)
11、堆栈缓冲溢出攻击防护设置
在/etc/system里加上如下语句
![](/icons/95903dou.gif)
echo "
![](/icons/95903set.gif)
echo "
![](/icons/95903set.gif)
(对 Solaris 9
![](/icons/95903dou.gif)
![](/icons/95903chengxu.gif)
![](/icons/95903dou.gif)
![](/icons/95903chengxu.gif)
![](/icons/95903de.gif)
![](/icons/95903dou.gif)
12、使IP forwarding和sourec routing(源路)由无效
在Inetinit中使IP forwarding和sourec routing(源路)由无效(假如有超过
![](/icons/95903yi.gif)
![](/icons/95903de.gif)
![](/icons/95903dou2.gif)
ndd -
![](/icons/95903set.gif)
ndd -
![](/icons/95903set.gif)
ndd -
![](/icons/95903set.gif)
13、防止TCP序列号预测攻击(ip欺骗)
建议在/etc/default/inetinit中增加如下
![](/icons/95903de.gif)
![](/icons/95903chushi.gif)
14、(如果有ftp服务)不要使用匿名ftp
/etc/inet/inetd.conf中
![](/icons/95903de.gif)
ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd –dl
决不能用root身份使用ftp(口令不加密)
/etc/ftpusers中
![](/icons/95903de.gif)
![](/icons/95903de.gif)
FTP 服务暴露系统敏感信息
编辑/etc/default/ftpd文件
![](/icons/95903dou.gif)
![](/icons/95903yi.gif)
![](/icons/95903dou.gif)
![](/icons/95903de.gif)
![](/icons/95903yi.gif)
![](/icons/95903yi.gif)
![](/icons/95903dou.gif)
15、关闭NFS服务
16、用SSH替代Telnet服务
17、限制.rhosts、.netrc和/etc/hosts.equiv文件
![](/icons/95903de.gif)
限制.rhosts、.netrc和/etc/hosts.equiv文件
![](/icons/95903de.gif)
![](/icons/95903dou2.gif)
![](/icons/95903dou2.gif)
![](/icons/95903dou.gif)
![](/icons/95903dou.gif)
![](/icons/95903dou2.gif)
![](/icons/95903dou2.gif)
/usr/bin/touch /.rhosts /.netrc /etc/hosts.equiv
/usr/bin/chmod 0 /.rhosts /.netrc /etc/hosts.equiv
.rhosts文件可以作为
![](/icons/95903yi.gif)
![](/icons/95903de.gif)
![](/icons/95903dou.gif)
![](/icons/95903de.gif)
![](/icons/95903de.gif)
![](/icons/95903dou.gif)
![](/icons/95903de.gif)
![](/icons/95903dou2.gif)
运行下面
![](/icons/95903de.gif)
# find –name “.rhosts” –pr
![](/icons/95903int.gif)
18、使多路广播(multicasting)无效
为了使多路广播(multicasting)无效请在/etc/init.d/inetsvc中注解掉"route add 224.0.0.0"周围
![](/icons/95903de.gif)
![](/icons/95903dou2.gif)
19、关闭系统
![](/icons/95903de.gif)
更改 /etc/rc2.d/K07snmpdx 和/etc/rc3.d/S76snmpdx文件名
20、X-Windows不安全
![](/icons/95903dou.gif)
21、加强网络访问控制
编辑/etc/inet.d/inetsvc
![](/icons/95903dou.gif)
类似命令/usr/sbin/inetd –s –t
停止再运行inetd
运行
![](/icons/95903de.gif)
22、网络访问控制
原则:去掉不必要
![](/icons/95903de.gif)
![](/icons/95903dou.gif)
![](/icons/95903de.gif)
Solaris网络服务(/etc/inet/services)[没有被注释/* */
![](/icons/95903de.gif)
#ident "@(#)services 1.27 00/11/06 SMI" /* SVr4.0 1.8 */
#
#
# Copyright (c) 1999-2000 by sun Microsystems, Inc.
# All rights reserved.
#
# Network services, Internet style
#
tcpmux 1/tcp /*必须*/
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users
daytime 13/tcp
daytime 13/udp
netstat 15/tcp
chargen 19/tcp ttytst source
chargen 19/udp ttytst source
ftp-data 20/tcp /*依服务可选*/
ftp 21/tcp /*依服务可选*/
ssh 22/tcp /*依服务可选*/
telnet 23/tcp /*依服务可选*/
smtp 25/tcp mail /*依服务可选*/
time 37/tcp timserver
time 37/udp timserver
name 42/udp nameserver
whois 43/tcp nicname # usually to sri-nic
do
![](/icons/95903main.gif)
do
![](/icons/95903main.gif)
bootps 67/udp # BOOTP/DHCP server
bootpc 68/udp # BOOTP/DHCP client
hostnames 101/tcp hostname # usually to sri-nic
pop2 109/tcp pop-2 # Post Office Protocol - V2
pop3 110/tcp # Post Office Protocol - Version 3
sunrpc 111/udp rpcbind
sunrpc 111/tcp rpcbind
imap 143/tcp imap2 # Internet Mail Access Protocol v2
ldap 389/tcp # Lightweight Directory Access Protocol
ldap 389/udp # Lightweight Directory Access Protocol
submission 587/tcp # Mail Message Submission
submission 587/udp # see RFC 2476
ldaps 636/tcp # LDAP protocol over TLS/SSL (was sldap)
ldaps 636/udp # LDAP protocol over TLS/SSL (was sldap)
#
# Host spec
![](/icons/95903if.gif)
#
tftp 69/udp
rje 77/tcp
finger 79/tcp
link 87
最新评论