日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

Solaris安全手冊(cè)( 四 )

云知道


*.* *.* 0 0 0 0 IDLE
*.22 *.* 0 0 0 0 LISTEN
*.* *.* 0 0 0 0 IDLE
7,建立Tripwire映象,備份和測(cè)試
-測(cè)試 SSH和標(biāo)準(zhǔn)工具是否能正常工作?檢查L(zhǎng)OG條目,檢查控制臺(tái)信息來(lái)了解系統(tǒng)是否按照你設(shè)想的計(jì)劃實(shí)現(xiàn) 。
-當(dāng)所有工作運(yùn)行的正常時(shí),就freeze(凍結(jié))/usr有可能的話凍結(jié)/opt:
在/etc/vfstab中增加ro選項(xiàng)以只讀方式掛上(mount)/usr和/opt分區(qū),這樣減少木馬程序和非認(rèn)證的修改 。以nosuid方式mount其他分區(qū) 。
重啟-如果CD-ROMS不需要的話,是卷管理無(wú)效,使用如下命令可以在你需要時(shí)重新啟用:
mv /etc/rc2.d/S92volmgt /etc/rc2.d/.S92volmgt
-最后安全TRIPWIRE(或者其他使用hashing算法的文件檢查工具),初始化它的數(shù)據(jù)庫(kù)和運(yùn)行常規(guī)的檢查來(lái)檢測(cè)文件的改變 。如果可能的話使TRIPWIRE的數(shù)據(jù)庫(kù)安裝在另一個(gè)機(jī)器上或一次性寫(xiě)入介質(zhì) 。如果還需要更安全的措施,那么就拷貝TRIPWIRE和它的數(shù)據(jù)庫(kù)并使用SSH遠(yuǎn)程運(yùn)行 。這將使入侵者很難知道TRIPWIRE在使用 。
8,安裝,測(cè)試應(yīng)用程序
應(yīng)該考慮把應(yīng)用程序安裝在獨(dú)立的分區(qū)或者在/opt分區(qū),如果使用/opt,在安裝時(shí)必須以讀寫(xiě)方式來(lái)掛起此分區(qū),在安裝和測(cè)試后必須再設(shè)置回只讀方式 。根據(jù)服務(wù)器的功能,選擇你所需要的如:ftpd,BIND,proxIEs等等,在安裝應(yīng)用程序時(shí)遵照以下的規(guī)則來(lái)安裝:
--在應(yīng)用程序啟動(dòng)之前umask是否設(shè)置好如(如:022)
--應(yīng)用程序是不是能以非ROOT身份運(yùn)行?是否很好的設(shè)置密碼若最少8位加標(biāo)點(diǎn),字符大小寫(xiě)
--注意是否所有文件的權(quán)限設(shè)置正確,即是不是只能有應(yīng)用程序用戶自己擁有
讀寫(xiě)權(quán)限,有沒(méi)有全局能讀寫(xiě)的文件
--當(dāng)應(yīng)用程序在寫(xiě)LOG記錄時(shí)是否安全?有沒(méi)有可能把密碼寫(xiě)到安裝LOG中去(不用感到好笑,這很普遍)下面是一些安裝常用服務(wù)所需要的安全問(wèn)題
1,F(xiàn)TP服務(wù)(ftp)
-如果你使用Western University wu-ftpd,必須知道它存在一些歷史BUG,如
(請(qǐng)參看 CERT advisorIEs CA-93:06, CA-94:07,
CA-95:16 and Auscert AA-97.03 and AA-1999.02),最起碼使用V2.6.0或以后
的版本 。
2,配置/etc/ftpusers的系統(tǒng)帳號(hào)使其不能用來(lái)FTP,如使以ROOT身份登錄FTP無(wú)效,把root增加到/etc/ftpusers.要想把所有系統(tǒng)帳號(hào)加入到你的新系統(tǒng)中去可使用如下方法:
awk -F: '{print $1}' /etc/passwd > /etc/ftpusers
-FTP可以通過(guò)/etc/ftpusers選擇性的激活每個(gè)用戶;也可以使用下面的方法:
對(duì)于那些不能通過(guò)FTP訪問(wèn)此機(jī)器的,提供他們一些不正規(guī)的SHELL(如BASH和TCSH),但不把新的SHELL加入到/etc/shells,這樣FTP訪問(wèn)將被拒絕 。相反,要把一個(gè)非標(biāo)準(zhǔn)的SHELL加入到/etc/shells才能使FTP正常工作 。
-使LOGGING有效:把-l選項(xiàng)增加到/etc/inetd.conf中去,另外-d選項(xiàng)將增加debug輸出 。
-FTP可以限制IP地址或基于tcp wrappers的主機(jī)名 。
-如果需要匿名FTP訪問(wèn),必須非常謹(jǐn)慎,一個(gè)chroot的環(huán)境是必須的 。
具體請(qǐng)參看in.ftpd 手冊(cè) 。避免允許上傳文件權(quán)利 。如果需要上傳文件的權(quán)利,需不允許下載上載了的文件,隱藏上載文件名及不允許他們覆蓋方式操作 。
-使用FTP強(qiáng)烈建議使用chroot.
-把FTP數(shù)據(jù)放在獨(dú)立的磁盤分區(qū),以nosuid方式mount 。
2,DNS服務(wù):
-使用最新的BIND(Berkeley Internet Name Server)來(lái)代替SUN的named,BIND有很多好的特征,若容易DEBUG和當(dāng)有安全問(wèn)題發(fā)現(xiàn)時(shí)很快更新 。
具體請(qǐng)參看網(wǎng)站:
www.isc.org/vIEw.cgi?/products/BIND/index.pHTML.
-使用8.1.2或以后的版本
-使用測(cè)試工具www.uniplus.ch/direct/testtool/dnstest.html來(lái)測(cè)試DNS 。
-使用nslookup和dig來(lái)檢查服務(wù)結(jié)果 。
-如果在DNS客戶端存在問(wèn)題檢查/etc/nsswitch.conf和/etc/resolv.conf,使用nslookup -d2來(lái)獲得DEBUG的信息 。嘗試殺掉nscd守護(hù)程序 。

推薦閱讀