日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

SUN系統(tǒng)的基本安全配置

云知道

一個(gè)SUN系統(tǒng)就象和NT系統(tǒng)一樣,容易受到來自internet的各種可惡的攻擊 。幸運(yùn);
的是,不象NT,你可以用以下三個(gè)簡單的手段把SUN變的相對(duì)安全些,它們是:;

1)防止堆棧溢出;
2)關(guān)閉不用的服務(wù);
3)給系統(tǒng)打補(bǔ)丁;

#1;防止堆棧溢出;

至少90%以上的安全問題都是來自所謂的“堆棧溢出” 。攻擊者通過給一個(gè)以root身份;
運(yùn)行的程序提供比它所預(yù)期的輸入多得多的東西,使被攻擊程序無法處理而改變執(zhí)行;
流程去執(zhí)行攻擊者指定的代碼 。;

Solaris;2.6和Solaris;7都具備把用戶堆棧設(shè)成不可執(zhí)行的能力,以使這種攻擊不;
能得逞 。要使能這個(gè)特點(diǎn):;

0)變成root;
1)對(duì)/etc/system文件做個(gè)拷貝;

cp;/etc/system;/etc/system.BACKUP;

2)用你最鐘愛的編輯器編輯/etc/system文件;
3)到文件的最后,插入以下幾行:;

set;noexec_user_stack=1;
set;noexec_user_stack_log=1;

4)保存文件,退出編輯器;

一旦重啟機(jī)器,這些改變就會(huì)生效 。如果這不是一個(gè)你可以關(guān)閉的系統(tǒng),那么你用;
adb來改變一個(gè)運(yùn)行中的系統(tǒng)的參數(shù)也是可能的,但這不是我個(gè)人樂意去干的事 。;

當(dāng)然會(huì)有些合法使用可執(zhí)行堆棧的程序在你做出如上改變后而不能正常運(yùn)行 。所幸;
的是這樣的程序的并不多,我所知的就只有GNU;ada;編譯器 。;

#2;在inetd.conf中關(guān)閉用不著的服務(wù);

有許多用不著的服務(wù)自動(dòng)的處于使能狀態(tài) 。它們中可能存在的漏洞將使攻擊者甚至;
不需要一個(gè)賬戶就能控制你的機(jī)器 。關(guān)閉這些不需要的服務(wù)來保護(hù)你的系統(tǒng),你可;
以用如下方法來關(guān)閉:;

0)變成root;
1)對(duì)inetd的配置文件/etc/inetd.conf做個(gè)拷貝;

cp;/etc/inetd.conf;/etc/inetd.conf.BACKUP;

2)編輯/etc/inetd.conf文件;
未被激活的服務(wù)是在前面被“#“符號(hào)注釋掉的,舉個(gè)例子,你的部份inetd.conf可能;
是這樣的:

#;Tnamed;serves;the;obsolete;IEN-116;name;server;protocol.;
#;
name;;;dgram;;;udp;;;;;wait;;;;root;;;;/usr/sbin/in.tnamed;;;;;in.tnamed;

不需要這個(gè)服務(wù),因?yàn)槟銈冎械?9.999%不會(huì)用到這個(gè)“已經(jīng)被廢棄的IEN-116名字服務(wù);
協(xié)議“,把這個(gè)注釋掉以后,這行看起來會(huì)象是:;

#;Tnamed;serves;the;obsolete;IEN-116;name;server;protocol.;
#;
#name;;;dgram;;;udp;;;;;wait;;;;root;;;;/usr/sbin/in.tnamed;;;;;in.tnamed;
^;
|;
看到這個(gè)新的“#”;符號(hào)了吧;

我建議注釋掉幾乎所有的服務(wù),只留下:;

ftp;;;;;stream;;tcp;;;;;nowait;;root;;;;/usr/sbin/in.ftpd;;;;;;;in.ftpd;
telnet;;stream;;tcp;;;;;nowait;;root;;;;/usr/sbin/in.telnetd;;;;in.telnetd;
time;;;;stream;;tcp;;;;;nowait;;root;;;;internal;
time;;;dgram;;;udp;;;;;wait;;;;root;;;;internal;
echo;;;;stream;;tcp;;;;;nowait;;root;;;;internal;
echo;;;;dgram;;;udp;;;;;wait;;;;root;;;;internal;
discard;stream;;tcp;;;;;nowait;;root;;;;internal;
discard;dgram;;;udp;;;;;wait;;;;root;;;;internal;
daytime;stream;;tcp;;;;;nowait;;root;;;;internal;
daytime;dgram;;;udp;;;;;wait;;;;root;;;;internal;
rstatd/2-4;;;;;;tli;;;rpc/datagram_v;wait;root;/usr/lib/netsvc/rstat/rpc.rstatd;rpc.rstatd;
fs;;;;;;stream;;tcp;;;;;wait;nobody;/usr/openwin/lib/fs.auto;;;;fs;
100083/1;;;;;;;tli;;;;;rpc/tcp;wait;root;/usr/dt/bin/rpc.ttdbserverd;rpc.ttdbserverd;

在只需要不多圖形操作的服務(wù)器或是要保證相當(dāng)?shù)陌踩?,你也許應(yīng)該關(guān)掉字體服務(wù)fs,也可以;
關(guān)掉系統(tǒng)性能監(jiān)視器rstatd和tooltalk服務(wù)器ttdbserverd 。事實(shí)上在確實(shí)需要安全的機(jī)器上;
你甚至應(yīng)該注釋掉telnet和ftp 。;

你可以用grep找出機(jī)器能過inetd所提供的服務(wù):;

grep;-v;"^#";/etc/inetd.conf;

這將返回/etc/inetd.conf中所有沒被注釋掉的行 。;

推薦閱讀