[ 永遠的UNIX::UNIX技術資料的寶庫 ]   GB | BIG5
首頁 > 安全技術 > 系統 > 正文
加強Solaris SPARC/x86操作系統的安全性
本文出自: 作者: (2001-10-15 09:00:00)
作者:Dexter D. Laggui 
整理:小四 < mailto: scz@nsfocus.com > 
主頁:http://www.nsfocus.com 
日期:2001-03-05 

    

摘要

    本文介紹如何一步步加強Solaris SPARC/x86操作系統的安全性。這裡介紹的內
容並不適合各種可能的安裝情況,僅僅以最普遍的情況為基礎進行討論。本文內容
稍加變化就可用其他Unix系統。

注意

1) 在所有步驟未完之前保証本機系統和外部網絡隔絕(注: 拔掉網線即可)
2) 只安裝操作系統的核心部分以及那些非常必要的軟件包

細節

1. 安裝配置完操作系統之確認root的umask設置是077或者027,執行
   /usr/bin/umask [-S] 確認。

2. 確認root的PATH環境變量設置是安全的,應該只包含/usr/bin:/sbin:/usr/sbin,
   避免當前工作目錄.出現在PATH環境變量中,這有助對抗特洛伊木馬。
   echo $PATH | grep ":." 確認

3. 檢查/etc/rc2.d和/etc/rc3.d目錄下的所有"S"打頭的腳本文件,將那些啟動不必
   要服務的腳本文件改名,確認新文件名不以"S"打頭。重啟動確認這些變動生效,
   檢查/var/adm/messages日志文件,用ps -elf檢查是否還有無關進程啟動。

4. 編輯/etc/default/login文件,確認 CONSOLE=/dev/console 有效。為了阻止
   root用戶遠程ftp,在/etc/ftpusers文件中增加root帳號。

5. 刪除/etc/hosts.equiv和/.rhosts文件,編輯/etc/inetd.conf文件,屏蔽所有r
   系列服務。ps -ef | grep inetd | awk '{print $2;}' | xargs kill -1迫使修
   改的/etc/inetd.conf文件生效。

6. 刪除、禁用或者注釋掉不必要的帳號,包括"sys"、"uucp"、"nuucp"和"listen"。
   推薦的做法,將/etc/passwd文件中的口令域設置成"NP",比如

   uucp:NP:5:5:uucp Admin:/usr/lib/uucp:

   如果使用了/etc/shadow文件,就不要修改/etc/passwd文件,而應該修改
   /etc/shadow文件中的相應行

   uucp:NP:6445::::::

   還可以考慮將/etc/passwd文件中的shell域設置成/bin/false

7. /etc/logindevperm文件包含的配置信息用設置登錄相關設備(控制台、鍵盤等
   等)的權限,檢查該文件中的權限設置,如果必要可以修改成期望值。關該文件
   更多信息參看logindevperm(4)手冊頁。

8. /etc目錄下的文件都不應該是同組可寫的,通過chmod -R g-w /etc命令取消同組
   可寫權限。

9. 缺省情況下,如果Solaris主機有多塊網卡,它們之間的IP轉發功能是打開的。對
   Solaris 2.4(或者更低版本),在/etc/init.d/inetinit文件的最增加一行

   ndd -set /dev/ip ip_forwarding 0

   對Solaris 2.5(或者更高版本),簡單地"touch /etc/notrouter"即可。注意,
   啟動過程中IP轉發功能關閉前Solaris主機依舊可以在多塊網卡之間進行IP轉發,
   存在小小的潛在安全隱患。

10.

   通過/etc/auto_*配置文件控制自動mount特性。為了禁止自動mount功能,刪除
   /etc/auto_*配置文件(或者注釋掉相關入口點),屏蔽/etc/rc2.d/S74autofs啟動
   腳本。

11.

   NFS輸出通過/etc/dfs/dfstab文件控制,應該刪除該文件或者注釋掉相關入口點。
   為了禁止NFS服務守護進程啟動,將/etc/rc3.d/S15nfs.server改名。為了阻止本
   機成為NFS客戶端,將/etc/rc2.d/S73nfs.client文件改名。在更改這些啟動腳本
   文件名的時候,確認不以"S"字母打頭。

12. 

   仔細檢查/var/spool/cron/crontabs目錄下各個系統帳號(adm、lp、root、sys、
   uucp)的定時任務文件。可以考慮編輯/etc/default/cron文件,設置如下行

   CRONLOG=YES

   這將導致對所有定時任務做日志。

13.

   使用動態路由接受守護進程(比如in.routed、in.rdisc)的主機容易遭受路由相關
   的攻擊,包括DoS和監聽。盡可能採用靜態路由,在啟動腳本文件中用route命令
   增加靜態路由,而不是採用動態路由接受守護進程。

14.

   為了防止基ARP協議的攻擊,在可能的情況下採用arp命令手工增加ARP入口點,
   刪除不必要的ARP入口點。

15.

   rpcbind使得RPC客戶端可以獲得RPC服務的當前端口信息,不幸的是,標準RPC機
   制不安全,它採用"AUTH_UNIX"驗証機制,依賴遠程客戶端的IP地址和遠程用戶
   UID進行身份識別,而這兩者都是很容易偽造、欺騙、修改的。對特定用途的服
   務器,比如WWW服務器、FTP服務器、郵件服務器等等,應該關閉對RPC的支持,這
   通過更改/etc/rc2.d/S71rpc啟動腳本文件名實現。此時必須仔細驗証剩余功能不
   受取消RPC支持的影響。

16.

   /etc/utmp的權限可以設置成0644,而不會影響系統正常運做。在Solaris 2.6/7
   上這是一個到/var/adm/utmp文件的符號鏈接,應該chmod 0644 /var/adm/utmp

17.

   Solaris上很多setuid、setgid程序只有root或者屬主自己才會使用,完全可以取
   消setuid、setgid設置而不影響普通用戶的工作。用如下命令找出系統中所有
   setuid過的程序

   # find / -perm -4000 -print

   考慮取消如下命令的setuid設置

   /usr/bin/tip
   /usr/bin/ct
   /usr/bin/cu
   /usr/bin/uuglist
   /usr/bin/uuname
   /usr/bin/uustat
   /usr/lib/exrecover
   /usr/bin/uux
   /usr/lib/accton
   /usr/lib/fs/ufs/ufsrestore
   /usr/bin/uucp
   /usr/lib/news/inews
   /usr/lib/fs/ufs/ufsdump
   /usr/lib/uucp/uuxqt
   /usr/lib/uucp/uucico
   /usr/lib/uucp/remote.unknown
   /usr/lib/uucp/uusched
   /usr/sbin/allocate

   類似的,用如下命令找出系統中所有setgid過的程序

   # find / -perm -2000 -print

   考慮取消如下命令的setgid設置

   /usr/bin/mailx
   /usr/bin/netstat
   /usr/bin/nfsstat
   /usr/bin/write
   /usr/bin/ipcs
   /usr/lib/fs/ufs/ufsdump
   /usr/sbin/arp
   /usr/sbin/prtconf
   /usr/bin/swap
   /usr/sbin/sysdef
   /usr/sbin/wall
   /usr/sbin/dmesg
   /usr/openwin/bin/wsinfo
   /usr/openwin/bin/ff.core
   /usr/kvm/crash
   /usr/openwin/bin/mailtool
   /usr/openwin/bin/xload
   /usr/kvm/eeprom
   /usr/vmsys/bin/chkperm

   創建一份系統中剩余setuid、setgid程序的列表,定期檢查是否有變化,比如多
   出其他setuid、setgid程序來。

18.

   檢查系統提供的每一種網絡服務是否是工作環境所必需的,如果不是,就屏蔽它。
   其中一部分在啟動腳本中設置,另外一部分在/etc/inetd.conf文件中配置,注釋
   掉不必要的網絡服務,ps -ef | grep inetd | awk '{print $2;}' | xargs kill -1
   迫使修改的/etc/inetd.conf文件生效。需要屏蔽的網絡服務包括

   tftp
   systat
   rexd
   ypupdated
   netstat
   rstatd
   rusersd
   sprayd
   walld
   exec
   comsat
   rquotad
   name
   uucp

   如果要求系統非常安全,應該用一個只包含了telnet和ftp(如果這兩個服務是必
   需的)服務的inetd.conf代替標準的inetd.conf文件。

19.

   在漫長的Unix歲月中,in.fingerd暴露出某些安全問題,如果你確實需要提供
   finger服務,應該以nobody身份啟動它,而不是root身份。考慮修改
   /etc/inetd.conf配置文件中的入口點以愚弄那些進行finger探測的人

   # finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
   finger stream tcp nowait nobody /bin/cat cat /etc/drexx-pgp.txt 

20.

   缺省情況下,syslog提供了最小程度的系統日志功能,修改/etc/syslog.conf文
   件,使得syslog記錄更多日志信息,根據日志重要程度分別記錄到不同地方。任
   何與安全相關的日志信息應該加密存放到文件中。不幸的是,必須重啟syslog
   才能讀取新的配置文件。

   譯者: syslogd(1M)手冊頁上說kill -HUP可以迫使重讀/etc/syslog.conf文件,
         但是在Solaris 2.6/7的測試中的確發現某些情況下只有重啟syslog才能讓
         新配置文件生效,原因未明,建議如有可能先殺掉當前syslog進程,然
         重啟之。

21.

   用如下命令設置對EEPROM的口令保護

   # /usr/sbin/eeprom security-mode=command

   此時Stop-A進入ok狀態,只能執行boot和go命令,其余命令需要口令認証。不
   幸的是,這樣做並不能真正保護機器的安全性,那些物理接近主機的人可以打開
   機箱替換EEPROM。一般來說,替換EEPROM的同時導致hostid變化,記錄本機原始
   hostid,確認EEPROM未被替換。

   譯者: 顯然這裡的說法有誤,在Stop-年進入ok狀態,可以手工修改hostid成任
         意所期望的值。

22.

   網卡混雜模式使得本機可以監聽那些目標地址不是本機的報文。一般來說,運行
   snoop應用程序的時候,網卡進入混雜模式,如果你自己並沒有運行snoop,而你
   的網卡已經進入混雜模式,很有可能一個黑客進入你的系統並正在監聽本機所在
   子網。ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/提供的工具可以
   檢查本機網卡是否處在混雜模式。

   譯者: 對Solaris 2.6/7,這個工具無效,並不能真正檢測到混雜模式的存在。
         可以考慮modinfo | grep -i bufmod以及modinfo | grep -i pfmod。只要
         使用snoop,就會加載前者,如果指定了過濾規則,者也將被加載。此外,
         對Solaris 8,可以用netstat -k hme0查看網卡是否處在混雜模式。

23.

   缺省情況下,/etc/dfs/dfstab文件中列出的所有文件系統將被輸出到外界。

   在mount點上指定"nosuid"選項,使得setuid程序的setuid設置失效。

   如果通過rpcbind做nfs mount,本機mount守護進程認為mount請求來自本機而允
   許這個操作,CERT曾經發布過關這個漏洞的描述和解決辦法。採用那些不支持
   轉發mount請求的rpcbind。

   盡可能採用安全RPC,常規"AUTH_UNIX"驗証機制依賴遠程IP地址和遠程用戶UID
   做身份鑒別,這很容易偽造、欺騙。

   盡可能關閉NFS服務,NFS傳輸過程是明文的,即使使用"AUTH_DES"或者
   "AUTH_KERB"驗証機制,所以通過NFS協議傳輸的任意文件很容易被監聽竊取。

   可以通過程序暴力猜測根mount點的文件句柄,從而越權獲取NFS服務端輸出的任
   意文件。應該採用/usr/sbin/fsirand命令隨機化那些與NFS服務輸出相關的i節點
   號,參看fsirand(1M)手冊頁。

24.

   Solaris 2.x開始攜帶新版sendmail,當然,還是幾個月就會報告新的BUG。下列
   操作有助加強sendmail的安全性

   獲取最新版Berkeley sendmail(ver 8.9.x)
   考慮使用smrsh或者Checkpoint's SMTP Security Server of FW-1
   刪除/etc/aliases中的decode設置
   chmod 0644 /etc/mail/aliases
   考慮使用一個基代理的防火牆,帶有SMTP過濾功能,過濾不必要的SMTP命令

25.

   NIS是一個不安全的分布式名字服務。NIS+如果配置得當將更安全些。如果域名被
   猜測到,NIS將暴露表中所有信息。為了阻止這個漏洞,將可信任的主機/網絡地
   址放到/var/yp/securenets文件中。也可以考慮使用安全RPC或者NIS+。最,不
   要在NIS表中包含root以及其他系統帳號的信息。

26.

   Solaris 2.5 ftpd(1M)的配置指南少了一些內容

   cp /etc/nsswitch.conf ~ftp/etc
   確保~ftp所在文件系統mount上來的時候指定了"nosuid"選項
   ~ftp目錄下所有文件屬主都不應該是"ftp"

   更多細節參看匿名ftp配置指南

27.

   使X更加安全
   在Secure RPC中使用SUN-DES-1選項傳遞X鑒別/授權信息
   xhost +user@host

28.

   激活SUN-DES-1鑒別
   set DisplayManager*authorize: true
   set DisplayManager._0.authName: SUN-DES-1
   rm ~/.Xauthority

   通過命令
   xauth local/unix:0 SUN-DES-1 unix.local@nisdomain
   和
   xauth local:0 SUN-DES-1 unix.local@nisdomain
   增加local host的訪問許可

   通過命令
   xinit -- -auth ~/.Xauthority
   啟動X

   通過命令
   xhost +user@ +unix.local@nisdomain -local -localhost
   增加自己並刪除所有其他用戶

   現在給用戶"foo"訪問主機"node"的權限
   在主機"node"上執行 xhost +foo@
   通過命令
   xauth add node:0 SUN-DES-1 unix.node@nisdomain
   為用戶"foo"創建適當的xauthority
   "foo"用戶現在可以通過命令
   xload -display node:0
   連接到主機"node"

29.

   用命令showrev -p顯示當前安裝到系統中補丁,檢查Sun的安全相關的補丁列表。
   下載安裝所有相關安全補丁。定期重新檢查補丁列表。並非所有機器都需要安裝
   所有安全補丁,但是那些敏感的、暴露出來公共訪問的主機,應該時刻安裝最新
   安全補丁。

30.

   用ftp://qiclab.scn.rain.com/pub/security/xinetd代替inetd,前者在日志功
   能上有所加強。

31.

   xntp比ntp(網絡時間協議)更安全

32. 

   總是可以從Berkeley獲取最新(也更安全)的sendmail,包括smrsh,者用執行
   任意通過sendmail激活的程序。

33.

   用支持類似tcpwrapper功能的rpcbind代替Solaris標準rpcbind,同時可以通過
   rpcbind禁止NFS訪問。

34.

   不幸的是,Solaris沒有攜帶passwd+和npasswd,它們用代替passwd,防止系統
   中出現愚蠢的口令(簡單、容易猜測)。Crack程序可以檢查/etc/shadow文件中的
   弱口令,通常能窮舉出10%的口令明文。

35.

   用wu-ftp代替標準的ftpd守護進程,前者提供了擴展的日志功能和訪問控制。

   譯者: 同時意味著其他未知風險的介入,很有可能無法立即得到修正。

36.

   noshell是一個程序,可以指定在帳號的shell域,此時該帳號永遠無法登錄進入
   系統,同時還會向日志系統報告登錄企圖。

37.

   如果在/etc/default/login文件中有如下行

   CONSOLE=/dev/null

   將只允許普通用戶在console登錄然su成root,當存在多個系統管理員的時候,
   這種設置提供了更好的安全性。

38.

   Solaris自己攜帶的標準bind存在已知安全漏洞,新版bind修正了這些漏洞。也可
   以從Sun獲取針對bind 4.9.3版的補丁。bind 4.9.4pl修正了更多安全漏洞,將出
   現在Solaris 2.6中

39.

   root帳號的PATH環境變量中永遠不應該包含當前目錄".",根據所使用的不同
   shell檢查下列文件
   /.login
   /.cshrc
   /.profile

40.

   從/etc/aliases文件中刪除"decode"別名。該文件應該為root擁有,權限是0644

41.

   /etc/utmp文件不應該是全局可寫的
   # chmod 644 /etc/utmp

42.

   除了root帳號不應該有其他UID為0的帳號

43.

   除非你的主機需要接收郵件,否則不必啟動sendmail。下列命令將徹底停止
   sendmail進程

   # /etc/rc2.d/S88sendmail stop
   # mv /etc/rc2.d/S88sendmail /etc/rc2.d/s88sendmail

44.

   使用類似tripwire的安全檢測程序,可以從如下鏈接獲取
   http://www.cs.purdue.edu/coast/archive/Archive_Indexing.html

45.

   防火牆主機不應該使用NIS,無論是client還是master。如果防火牆主機已經配置
   成NIS master或者client,最簡單的辦法是重裝操作系統。

   如果必須將防火牆主機配置成NIS master使用,它不應該使用NIS處理口令信息,
   確認/etc/nsswitch.conf文件中存在如下行

   passwd: files

   而不是

   passwd: files nis

   如果必須將防火牆主機配置成NIS client使用,它應該使用固定的服務器列表(參
   看ypinit -c),而不是使用廣播方式尋找服務器。

46.

   防火牆主機不應該使用NFS,無論是client還是server

   如果必須將防火牆主機配置成NFS server,應該將輸出的文件系統限制成只有特
   定主機才能訪問。盡可能只讀輸出文件系統,比如,在/etc/dfs/dfstab文件中

   share -F nfs -o ro=trusted_clients /logs

   如果必須將防火牆主機配置成NFS client,記得總是使用"nosuid"選項做mount操
   作,比如

   mount -F nfs -o nosuid,bg trustserver:/home /trustserver_home

47.

   在安裝完所有安全補丁應該重啟機器使之生效

48.

   從http://sunsolve.sun.com/獲取Sun安全補丁

<完> 
 
(http://www.fanqiang.com)     進入【UNIX論壇
相關文章
 

★  樊強制作 歡迎分享  ★