当前位置:Linux教程 - Linux - 加强Solaris SPARC/x86操作系统的安全性

加强Solaris SPARC/x86操作系统的安全性

作者:Dexter D. Laggui
整理:小四 < mailto: [email protected] >
主页:http://www.nsfocus.com
日期:2001-03-05



摘要

本文介绍如何一步步加强Solaris SPARC/x86操作系统的安全性。这里介绍的内
容并不适合于各种可能的安装情况,仅仅以最普遍的情况为基础进行讨论。本文内容
稍加变化就可用于其他Unix系统。

注意

1) 在所有步骤未完之前保证本机系统和外部网络隔绝(注: 拔掉网线即可)
2) 只安装操作系统的核心部分以及那些非常必要的软件包

细节

1. 安装配置完操作系统之后确认root的umask设置是077或者027,执行
/usr/bin/umask [-S] 确认。

2. 确认root的PATH环境变量设置是安全的,应该只包含/usr/bin:/sbin:/usr/sbin,
避免当前工作目录.出现在PATH环境变量中,这有助于对抗特洛伊木马。
echo $PATH | grep "":."" 确认

3. 检查/etc/rc2.d和/etc/rc3.d目录下的所有""S""打头的脚本文件,将那些启动不必
要服务的脚本文件改名,确认新文件名不以""S""打头。重启动确认这些变动生效,
检查/var/adm/messages日志文件,用ps -elf检查是否还有无关进程启动。

4. 编辑/etc/default/login文件,确认 CONSOLE=/dev/console 有效。为了阻止
root用户远程ftp,在/etc/ftpusers文件中增加root帐号。

5. 删除/etc/hosts.equiv和/.rhosts文件,编辑/etc/inetd.conf文件,屏蔽所有r
系列服务。ps -ef | grep inetd | awk ''{print $2;}'' | xargs kill -1迫使修
改后的/etc/inetd.conf文件生效。

6. 删除、禁用或者注释掉不必要的帐号,包括""sys""、""uucp""、""nuucp""和""listen""。
推荐的做法,将/etc/passwd文件中的口令域设置成""NP"",比如

uucp:NP:5:5:uucp Admin:/usr/lib/uucp:

如果使用了/etc/shadow文件,就不要修改/etc/passwd文件,而应该修改
/etc/shadow文件中的相应行

uucp:NP:6445::::::

还可以考虑将/etc/passwd文件中的shell域设置成/bin/false

7. /etc/logindevperm文件包含的配置信息用于设置登录相关设备(控制台、键盘等
等)的权限,检查该文件中的权限设置,如果必要可以修改成期望值。关于该文件
更多信息参看logindevperm(4)手册页。

8. /etc目录下的文件都不应该是同组可写的,通过chmod -R g-w /etc命令取消同组
可写权限。

9. 缺省情况下,如果Solaris主机有多块网卡,它们之间的IP转发功能是打开的。对
于Solaris 2.4(或者更低版本),在/etc/init.d/inetinit文件的最后增加一行

ndd -set /dev/ip ip_forwarding 0

对于Solaris 2.5(或者更高版本),简单地""touch /etc/notrouter""即可。注意,
启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,
存在小小的潜在安全隐患。

10.

通过/etc/auto_*配置文件控制自动mount特性。为了禁止自动mount功能,删除
/etc/auto_*配置文件(或者注释掉相关入口点),屏蔽/etc/rc2.d/S74autofs启动
脚本。

11.

NFS输出通过/etc/dfs/dfstab文件控制,应该删除该文件或者注释掉相关入口点。
为了禁止NFS服务守护进程启动,将/etc/rc3.d/S15nfs.server改名。为了阻止本
机成为NFS客户端,将/etc/rc2.d/S73nfs.client文件改名。在更改这些启动脚本
文件名的时候,确认不以""S""字母打头。

12.

仔细检查/var/spool/cron/crontabs目录下各个系统帐号(adm、lp、root、sys、
uucp)的定时任务文件。可以考虑编辑/etc/default/cron文件,设置如下行

CRONLOG=YES

这将导致对所有定时任务做日志。

13.

使用动态路由接受守护进程(比如in.routed、in.rdisc)的主机容易遭受路由相关
的攻击,包括DoS和监听。尽可能采用静态路由,在启动脚本文件中用route命令
增加静态路由,而不是采用动态路由接受守护进程。

14.

为了防止基于ARP协议的攻击,在可能的情况下采用arp命令手工增加ARP入口点,
删除不必要的ARP入口点。

15.

rpcbind使得RPC客户端可以获得RPC服务的当前端口信息,不幸的是,标准RPC机
制不安全,它采用""AUTH_UNIX""验证机制,依赖于远程客户端的IP地址和远程用户
UID进行身份识别,而这两者都是很容易伪造、欺骗、修改的。对于特定用途的服
务器,比如WWW服务器、FTP服务器、邮件服务器等等,应该关闭对RPC的支持,这
通过更改/etc/rc2.d/S71rpc启动脚本文件名实现。此时必须仔细验证剩余功能不
受取消RPC支持的影响。

16.

/etc/utmp的权限可以设置成0644,而不会影响系统正常运做。在Solaris 2.6/7
上这是一个到/var/adm/utmp文件的符号链接,应该chmod 0644 /var/adm/utmp

17.

Solaris上很多setuid、setgid程序只有root或者属主自己才会使用,完全可以取
消setuid、setgid设置而不影响普通用户的工作。用如下命令找出系统中所有
setuid过的程序

# find / -perm -4000 -print

考虑取消如下命令的setuid设置

/usr/bin/tip
/usr/bin/ct
/usr/bin/cu
/usr/bin/uuglist
/usr/bin/uuname
/usr/bin/uustat
/usr/lib/exrecover
/usr/bin/uux
/usr/lib/accton
/usr/lib/fs/ufs/ufsrestore
/usr/bin/uucp
/usr/lib/news/inews
/usr/lib/fs/ufs/ufsdump
/usr/lib/uucp/uuxqt
/usr/lib/uucp/uucico
/usr/lib/uucp/remote.unknown
/usr/lib/uucp/uusched
/usr/sbin/allocate

类似的,用如下命令找出系统中所有setgid过的程序

# find / -perm -2000 -print

考虑取消如下命令的setgid设置

/usr/bin/mailx
/usr/bin/netstat
/usr/bin/nfsstat
/usr/bin/write
/usr/bin/ipcs
/usr/lib/fs/ufs/ufsdump
/usr/sbin/arp
/usr/sbin/prtconf
/usr/bin/swap
/usr/sbin/sysdef
/usr/sbin/wall
/usr/sbin/dmesg
/usr/openwin/bin/wsinfo
/usr/openwin/bin/ff.core
/usr/kvm/crash
/usr/openwin/bin/mailtool
/usr/openwin/bin/xload
/usr/kvm/eeprom
/usr/vmsys/bin/chkperm

创建一份系统中剩余setuid、setgid程序的列表,定期检查是否有变化,比如多
出其他setuid、setgid程序来。

18.

检查系统提供的每一种网络服务是否是工作环境所必需的,如果不是,就屏蔽它。
其中一部分在启动脚本中设置,另外一部分在/etc/inetd.conf文件中配置,注释
掉不必要的网络服务,ps -ef | grep inetd | awk ''{print $2;}'' | xargs kill -1
迫使修改后的/etc/inetd.conf文件生效。需要屏蔽的网络服务包括

tftp
systat
rexd
ypupdated
netstat
rstatd
rusersd
sprayd
walld
exec
comsat
rquotad
name
uucp

如果要求系统非常安全,应该用一个只包含了telnet和ftp(如果这两个服务是必
需的)服务的inetd.conf代替标准的inetd.conf文件。

19.

在漫长的Unix岁月中,in.fingerd暴露出某些安全问题,如果你确实需要提供
finger服务,应该以nobody身份启动它,而不是root身份。考虑修改
/etc/inetd.conf配置文件中的入口点以愚弄那些进行finger探测的人

# finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
finger stream tcp nowait nobody /bin/cat cat /etc/drexx-pgp.txt

20.

缺省情况下,syslog提供了最小程度的系统日志功能,修改/etc/syslog.conf文
件,使得syslog记录更多日志信息,根据日志重要程度分别记录到不同地方。任
何与安全相关的日志信息应该加密后存放到文件中。不幸的是,必须重启syslog
才能读取新的配置文件。

译者: syslogd(1M)手册页上说kill -HUP可以迫使重读/etc/syslog.conf文件,
但是在Solaris 2.6/7的测试中的确发现某些情况下只有重启syslog才能让
新配置文件生效,原因未明,建议如有可能先杀掉当前syslog进程,然后
重启之。

21.

用如下命令设置对EEPROM的口令保护

# /usr/sbin/eeprom security-mode=command

此时Stop-A进入ok状态后,只能执行boot和go命令,其余命令需要口令认证。不
幸的是,这样做并不能真正保护机器的安全性,那些物理接近主机的人可以打开
机箱替换EEPROM。一般来说,替换EEPROM的同时导致hostid变化,记录本机原始
hostid,确认EEPROM未被替换。

译者: 显然这里的说法有误,在Stop-年进入ok状态后,可以手工修改hostid成任
意所期望的值。

22.

网卡混杂模式使得本机可以监听那些目标地址不是本机的报文。一般来说,运行
snoop应用程序的时候,网卡进入混杂模式,如果你自己并没有运行snoop,而你
的网卡已经进入混杂模式,很有可能一个黑客进入你的系统并正在监听本机所在
子网。ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/提供的工具可以
检查本机网卡是否处在混杂模式。

译者: 对于Solaris 2.6/7,这个工具无效,并不能真正检测到混杂模式的存在。
可以考虑modinfo | grep -i bufmod以及modinfo | grep -i pfmod。只要
使用snoop,就会加载前者,如果指定了过滤规则,后者也将被加载。此外,
对于Solaris 8,可以用netstat -k hme0查看网卡是否处在混杂模式。

23.

缺省情况下,/etc/dfs/dfstab文件中列出的所有文件系统将被输出到外界。

在mount点上指定""nosuid""选项,使得setuid程序的setuid设置失效。

如果通过rpcbind做nfs mount,本机mount守护进程认为mount请求来自本机而允
许这个操作,CERT曾经发布过关于这个漏洞的描述和解决办法。采用那些不支持
转发mount请求的rpcbind。

尽可能采用安全RPC,常规""AUTH_UNIX""验证机制依赖于远程IP地址和远程用户UID
做身份鉴别,这很容易伪造、欺骗。

尽可能关闭NFS服务,NFS传输过程是明文的,即使使用""AUTH_DES""或者
""AUTH_KERB""验证机制,所以通过NFS协议传输的任意文件很容易被监听窃取。

可以通过程序暴力猜测根mount点的文件句柄,从而越权获取NFS服务端输出的任
意文件。应该采用/usr/sbin/fsirand命令随机化那些与NFS服务输出相关的i节点
号,参看fsirand(1M)手册页。

24.

Solaris 2.x开始携带新版sendmail,当然,还是几个月就会报告新的BUG。下列
操作有助于加强sendmail的安全性

获取最新版Berkeley sendmail(ver 8.9.x)
考虑使用smrsh或者Checkpoint''s SMTP Security Server of FW-1
删除/etc/aliases中的decode设置
chmod 0644 /etc/mail/aliases
考虑使用一个基于代理的防火墙,带有SMTP过滤功能,过滤不必要的SMTP命令

25.

NIS是一个不安全的分布式名字服务。NIS+如果配置得当将更安全些。如果域名被
猜测到,NIS将暴露表中所有信息。为了阻止这个漏洞,将可信任的主机/网络地
址放到/var/yp/securenets文件中。也可以考虑使用安全RPC或者NIS+。最后,不
要在NIS表中包含root以及其他系统帐号的信息。

26.

Solaris 2.5 ftpd(1M)的配置指南少了一些内容

cp /etc/nsswitch.conf ~ftp/etc
确保~ftp所在文件系统mount上来的时候指定了""nosuid""选项
~ftp目录下所有文件属主都不应该是""ftp""

更多细节参看匿名ftp配置指南

27.

使X更加安全
在Secure RPC中使用SUN-DES-1选项传递X鉴别/授权信息
xhost +user@host

28.

激活SUN-DES-1鉴别
set DisplayManager*authorize: true
set DisplayManager._0.authName: SUN-DES-1
rm ~/.Xauthority

通过命令
xauth local/unix:0 SUN-DES-1 unix.local@nisdomain

xauth local:0 SUN-DES-1 unix.local@nisdomain
增加local host的访问许可

通过命令
xinit -- -auth ~/.Xauthority
启动X

通过命令
xhost +user@ +unix.local@nisdomain -local -localhost
增加自己并删除所有其他用户

现在给用户""foo""访问主机""node""的权限
在主机""node""上执行 xhost +foo@
通过命令
xauth add node:0 SUN-DES-1 unix.node@nisdomain
为用户""foo""创建适当的xauthority
""foo""用户现在可以通过命令
xload -display node:0
连接到主机""node""

29.

用命令showrev -p显示当前安装到系统中补丁,检查Sun的安全相关的补丁列表。
下载安装所有相关安全补丁。定期重新检查补丁列表。并非所有机器都需要安装
所有安全补丁,但是那些敏感的、暴露出来公共访问的主机,应该时刻安装最新
安全补丁。

30.

用ftp://qiclab.scn.rain.com/pub/security/xinetd代替inetd,前者在日志功
能上有所加强。

31.

xntp比ntp(网络时间协议)更安全

32.

总是可以从Berkeley获取最新(也更安全)的sendmail,包括smrsh,后者用于执行
任意通过sendmail激活的程序。

33.

用支持类似tcpwrapper功能的rpcbind代替Solaris标准rpcbind,同时可以通过
rpcbind禁止NFS访问。

34.

不幸的是,Solaris没有携带passwd+和npasswd,它们用于代替passwd,防止系统
中出现愚蠢的口令(简单、容易猜测)。Crack程序可以检查/etc/shadow文件中的
弱口令,通常能穷举出10%的口令明文。

35.

用wu-ftp代替标准的ftpd守护进程,前者提供了扩展的日志功能和访问控制。

译者: 同时意味着其他未知风险的介入,很有可能无法立即得到修正。

36.

noshell是一个程序,可以指定在帐号的shell域,此时该帐号永远无法登录进入
系统,同时还会向日志系统报告登录企图。

37.

如果在/etc/default/login文件中有如下行

CONSOLE=/dev/null

将只允许普通用户在console登录然后su成root,当存在多个系统管理员的时候,
这种设置提供了更好的安全性。

38.

Solaris自己携带的标准bind存在已知安全漏洞,新版bind修正了这些漏洞。也可
以从Sun获取针对bind 4.9.3版的补丁。bind 4.9.4pl修正了更多安全漏洞,将出
现在Solaris 2.6中

39.

root帐号的PATH环境变量中永远不应该包含当前目录""."",根据所使用的不同
shell检查下列文件
/.login
/.cshrc
/.profile

40.

从/etc/aliases文件中删除""decode""别名。该文件应该为root拥有,权限是0644

41.

/etc/utmp文件不应该是全局可写的
# chmod 644 /etc/utmp

42.

除了root帐号不应该有其他UID为0的帐号

43.

除非你的主机需要接收邮件,否则不必启动sendmail。下列命令将彻底停止
sendmail进程

# /etc/rc2.d/S88sendmail stop
# mv /etc/rc2.d/S88sendmail /etc/rc2.d/s88sendmail

44.

使用类似tripwire的安全检测程序,可以从如下链接获取
http://www.cs.purdue.edu/coast/archive/Archive_Indexing.html

45.

防火墙主机不应该使用NIS,无论是client还是master。如果防火墙主机已经配置
成NIS master或者client,最简单的办法是重装操作系统。

如果必须将防火墙主机配置成NIS master使用,它不应该使用NIS处理口令信息,
确认/etc/nsswitch.conf文件中存在如下行

passwd: files

而不是

passwd: files nis

如果必须将防火墙主机配置成NIS client使用,它应该使用固定的服务器列表(参
看ypinit -c),而不是使用广播方式寻找服务器。

46.

防火墙主机不应该使用NFS,无论是client还是server

如果必须将防火墙主机配置成NFS server,应该将输出的文件系统限制成只有特
定主机才能访问。尽可能只读输出文件系统,比如,在/etc/dfs/dfstab文件中

share -F nfs -o ro=trusted_clients /logs

如果必须将防火墙主机配置成NFS client,记得总是使用""nosuid""选项做mount操
作,比如

mount -F nfs -o nosuid,bg trustserver:/home /trustserver_home

47.

在安装完所有安全补丁后应该重启机器使之生效

48.

从http://sunsolve.sun.com/获取Sun安全补丁