教你如何配置安全的SOLARIS系统-xxlinux.com




┊linux社区┊ 爱心援助 ┊ Linux认证┊系列教程 ┊ 业界动态┊ 站务新闻 ┊ 公司招聘┊ 建议留言 ┊ 网址大全 ┊LPI专题┊ CISCO专题

设为首页

加入收藏

管理团队

联盟首页	入门区	安装配置	使用技巧	桌面应用	开发区	WEB开发	数据库	内核研究	SHELL	软件开发
软件下载	网络区	服务器	网络应用	网络安全	UNIX区	UNIX入门	UNIX提高	C专题	JAVA专题	嵌入应用
开发语言	PHP	JSP	ASP	ASP.NET	JAVA	C/C++/C#	PERL	JavaScript	Basic	Delphi

		您的位置：首页 > article > unix > unix入门 >

栏目导栏

unix入门

unix提高

资料搜索

最新文章

·Solaris SSH的配置和管理介绍

·在Unix环境下mount ISO文件

·Solaris 管理员常用的168条命令

·solaris raid 制作大集合

·在Solaris下使用USB存储设备

·SecureCRT访问HPUX没办法用vi问

·scounix网络设置心得

·solaris网络配置

·solaris上直接运行linux二进制

·HP Unix的补丁安装

·系统备份与恢复命令：fbackup+

·Oracle 10g基于Solaris 9 x86平

·完全硬盘安装solaris10

·solaris点滴9.29-10.07

·solaris volume manager do RA

教你如何配置安全的SOLARIS系统

[ 作者:Linux联盟收集加入时间:2006-06-25 15:30:14 来自:chinaunix ]

	� uekLinux联盟 uekLinux联盟 5.2设置utmpx和wtmpx文件权限，确保日志系统安全。 uekLinux联盟文件/var/adm/utmpx记录了所有当前登录到系统中的用户，文件/var/adm/wtmpx记录了系统所有的登录和注销。这两个文件是以数据库的格式存在的。 uekLinux联盟设置权限#chmod 544 /var/adm/utmpx uekLinux联盟 #chmod 544 /var/adm/wtmpx uekLinux联盟 uekLinux联盟六、其它系统安全设置 uekLinux联盟 6.1 crontab命令 uekLinux联盟 6.1.1不要使用crontab –e命令，因为它会在/tmp下建立所有用户都可读的crontab副本访问cron系统。用如下的方法： uekLinux联盟编辑文件：mycronfile uekLinux联盟 crontab<mycronfile uekLinux联盟 uekLinux联盟 6.1.2在/etc/default/cron文件中增加如下行： CRONLOG=YES 记录所有的crontab行为 uekLinux联盟 uekLinux联盟 6.2对su的纪录 uekLinux联盟创建/etc/default/su文件 uekLinux联盟 SULOG=/var/adm/sulog uekLinux联盟 SYSLOG=YES uekLinux联盟 CONSOLE=/dev/console uekLinux联盟 PATH=/usr/bin: uekLinux联盟 SUPATH=/usr/sbin:/usr/bin uekLinux联盟 uekLinux联盟 6.3为OpenBoot设置密码 uekLinux联盟在Solaris中设置密码 uekLinux联盟 #eeprom security-password uekLinux联盟在OpenBoot中设置密码 uekLinux联盟 ok password uekLinux联盟在Solaris中设置安全级别（command） uekLinux联盟 #eeprom security-mode=command uekLinux联盟在OpenBoot中设置安全级别（command） uekLinux联盟 ok setenv security-mode command uekLinux联盟在OpenBoot中设置安全级别（full） uekLinux联盟 ok setenv security-mode full uekLinux联盟 uekLinux联盟 6.4限制.rhosts和/etc/hosts.equiv文件的使用 uekLinux联盟配置文件具有两种功能：r系列命令使用这些文件来访问系统;在某用户的目录下存在.rhosts文件或/etc/hosts.equiv文件配有某系统，任何用户都可以通过rlogin不需要口令以该用户的身份登录到系统。因此要为这些文件加锁，先创建它们，然后修改其属性为零即可。这样除了root用户就没有其它用户能创建或修改它们了。 uekLinux联盟 /usr/bin/touch　　　/.rhosts　/etc/hosts.equiv uekLinux联盟 /usr/bin/chmod　0　/.rhosts　/etc/hosts.equiv uekLinux联盟 .rhosts文件可以作为一个典型的后门文件使用，运行下面的命令全局查找.rhosts文件 uekLinux联盟 #find -name“.rhosts”-print uekLinux联盟 uekLinux联盟 6.5给系统打补丁 uekLinux联盟象其它的系统一样，Solaris系统也有它的漏洞，其中的一些从性质上来说是相当严重的。SUN公司长期向客户提供各种版本的最新补丁，放在http://sunsolve.sun.com网站。可用#showrev –p命令检查系统已打的补丁或到/var/sadm/patch目录下查已打过的补丁号，用patchadd命令给系统打补丁。 uekLinux联盟七、Setuid设置和Solaris操作系统安全 uekLinux联盟 http://bbs.chinaunix.net/forum/viewtopic.php?t=302945&highlight=Setuid uekLinux联盟在Solaris中,文件除了读、写、执行权限外，还有一些特殊权限。 Setuid和setgid是其中的一类。它与Solaris系统的安全关系紧密。 uekLinux联盟 Setuid是指设置程序的有效的执行用户身份（uid）为该文件的主人，而不是调用该程序的进程的uid。Setgid与之类似。Setuid和setgid用ls –l显示出来为s权限，存在于主人和属组的执行权限的位置上。 uekLinux联盟这种权限的设置方法如下： uekLinux联盟只设setuid： chmod 4xxx filename (xxx为一般读、写、执行权限) uekLinux联盟只设setgid： chmod 2xxx filename uekLinux联盟同时设setuid和setgid： chmod 6xxx filename uekLinux联盟取消两种权限： chmod 0xxx filename uekLinux联盟这种权限怎么用？ uekLinux联盟举个例子来说，假如某一命令（程序）的主人是root用户，并且该文件有setuid属性，但是该文件的读、写、执行权限的属性表明普通用户user1可以执行该命令，那么就表示：当该用户执行该命令时，他具有root的执行身份，并获得相应的权限。一旦该命令执行完成，该身份也随之消失。 uekLinux联盟为什么系统中需要有这样的权限呢？请执行以下操作： uekLinux联盟 7.1. $ ls –l /etc/shadow /bin/passwd uekLinux联盟 -r-sr-sr-x 3 root sys 99792 1999 2月 12 /bin/passwd uekLinux联盟 -r-------- 1 root sys 261 1月 3 13：12 /etc/shadow uekLinux联盟 /etc/shadow文件由于存有用户的加密口令信息，对系统的安全至关重要，因此权限很严，只有root凭其对系统的至高无上的权限才得以对/etc/shadow可读可写。但是系统必须允许普通用户也能修改自己的口令。要让他们对/etc/shadow可写，又不能可读，而且可写又不能允许他们改别人的口令，怎么办？系统就采取这样一个办法：做一个程序，也就是/bin/passwd，通过它可以在不显示文件内容的情况下直接修改/etc/shadow文件。可是这个程序怎么能有这样的权限？因为系统赋予它setuid权限，而且它属于root.这样，用户在使用/bin/passwd改口令时就有root权限.由于/bin/passwd命令本身功能的局限性，用户并不能用它做更多的不利于系统安全的事。 uekLinux联盟 7.2. 用普通用户身份修改口令 uekLinux联盟 $ passwd uekLinux联盟 Enter login password: ** uekLinux联盟 New password:** uekLinux联盟 Re-enter new password:**** uekLinux联盟 Passwd(SYSTEM): passwd successfully changed for xxx . uekLinux联盟可以成功。 uekLinux联盟 7.3. 用超级用户修改/bin/passwd的权限 uekLinux联盟 # chmod 0555 /bin/passwd uekLinux联盟 7.4. 再重复2，是否还成功？当然不。 uekLinux联盟 7.5．把/bin/passwd的权限恢复原状。 uekLinux联盟 # chmod 6555 /bin/passwd uekLinux联盟 uekLinux联盟对此可以打一个生动的比喻：有一个绝密机关，不得已必须有一些不能见这些秘密的人进来做一些事情。于是授权一些特殊的“车辆”（没有窗户，门紧闭，所以看不到外面。只有一个小洞允许乘坐的人伸出一只手臂），带着所乘坐的人开到要去的地方，允许它办完事情马上带他出来。这样是不是很安全？不一定。如果“车辆”没有经过精挑细选是有很多“门窗”，那系统可就危险了。 uekLinux联盟这种安全威胁在Solaris中也有可能出现。比如做一下下面这个实验： uekLinux联盟 7.6. $ vi /etc/shadow uekLinux联盟 /etc/shadow: Permission denied. uekLinux联盟 7.7. 用超级用户身份 uekLinux联盟 # chmod 6555 /bin/vi uekLinux联盟 # chown root /bin/vi uekLinux联盟 7.8. 这次再用普通用户身份试一试第6步，有什么结果？这次你能以普通用户身份修改 /etc/shadow了！！但是 uekLinux联盟 $ more /etc/shadow仍然不成功，说明在执行/bin/passwd时有超级用户权限，平时仍是普通用户身份。 uekLinux联盟再来看一个令人不安的情况： uekLinux联盟 7.9．用超级用户身份 uekLinux联盟 # chmod 6555 /bin/ksh uekLinux联盟 # chown root /bin/ksh uekLinux联盟 7.10. 用普通用户身份 uekLinux联盟 $ ksh uekLinux联盟 # uekLinux联盟发生了什么情况？？普通用户不需要root口令就变成了root！！！ uekLinux联盟好可怕。如果有一个用户曾有一次获得超级用户权限，并通过类似的方式给自己设置了后门（也可能放了一个类似的文件在他自己的家目录中），以后他就可以随时变成超级用户了。 uekLinux联盟怎么能避免setuid的不安全影响，又利用其方便的地方？这里有几点建议： uekLinux联盟关键目录应严格控制写权限。比如/，/usr等。 uekLinux联盟对不管是root帐号还是普通用户帐号的保密都有足够的重视。最好不要设置类似于guest、public、test之类公用的容易猜出口令的帐号。 uekLinux联盟对系统中应该具有setuid权限的文件作一列表，定时检查有没有这之外的文件被设置了setuid权限。 uekLinux联盟下面有一个自己编的小程序与大家分享。 uekLinux联盟程序功能描述：检查有没有/usr/secu/masterlist文件记录之外的其它文件被设置了setuid权限 uekLinux联盟事先要求：在系统调试完成，所有需要安装的软件安装好以后，执行下面命令生成检查对照文件 uekLinux联盟 # mkdir –p /usr/secu uekLinux联盟 # find / -perm –4000 –print >; /usr/secu/masterlist uekLinux联盟程序： uekLinux联盟 cd /tmp uekLinux联盟 [ -f secrcheck ] && rm secrcheck find / -perm -4000 -print >;secrcheck for f in `cat secrcheck` do grep -w $f /usr/secu/masterlist >;/dev/null if [ "$?" != "0" ]; then echo $f is not in list uekLinux联盟 fi done uekLinux联盟 rm secrcheck 在需要对系统做检查时，执行本shell程序。也可以放在定时进程中定时检查。程序由于需要在整个文件系统中做查找操作，需要比较长的时间。 uekLinux联盟请您作完本文中的实验后，别忘把文件的权限改回原状� Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论
	分页：1 [2] 3 4

【评论】【加入收藏夹】【大中小】【打印】【关闭】

※ 相关链接

·隆重推荐：Solaris硬盘分区简介 (2006-06-25 15:29:28)

·Solaris 8网络管理笔记 (2006-06-25 15:26:07)

·Solaris8安装Nessus软件详细过程 (2006-06-25 15:24:22)

·solaris 9 一般安全设置 (2006-06-25 15:15:28)

·Solaris9/8 for sparc+Apache2+PHP+Mysql+”论坛” (2006-06-25 15:10:46)

·nis下solaris和linxu的client.实现autofs (2006-06-25 15:10:08)

·Windows XP 与 Solaris 10 双操作系统安装图片解析 (2006-06-25 15:08:32)

·Solaris日志介绍 (2006-06-25 15:03:00)

·SUN系统的基本安全配置 (2006-06-25 15:00:18)

·solaris8下discuz论坛安装完全手册及简明维护文档 (2006-06-25 14:58:06)



	© CopyRight 2006-2009 xxlinux.com.Inc All Rights Reserved
	Powered by xxlinux.com