Unix高级安全设置第二部分-Solaris系列(3)

3.1.4 系统的启动和关闭

3.1.4.1 更改不必要的启动文件
通常情况下，你要检查所有在/etc/rc2.d和/etc/rc3.d以S开头的文件,所有并非必要的设备或者服务都可以重命名(不要再以S开头)，然后你可以重新启动，从/var/adm/messages中来观察自启动的情况，并且从ps -elf的输出中加以检查。

3.1.4.2 系统里的Strip
在Solaris下，你可以通过对/etc/rc[S0-3].d文件来修改启动时自引导的动作。考虑移去/etc/rc2.d中在你系统中用不到的服务，我还建议你移除/etc/init.d里除下以下列表中文件外的所有东西：

K15rrcd S05RMTMPFILES K15solved S20sysetup
S72inetsvc S99audit S21perf
S99dtlogin K25snmpd S30sysid.net S99netconfig
K50pop3 S74syslog S75cron S92rtvc-config
K60nfs.server K65nfs.client S69inet
K92volmgt README S95SUNWmd.sync
S01MOUNTFSYS S71sysid.sys S88utmpd S95rrcd

这些文件可能会与你的不同--这取决于你机器里的图形卡/是否使用Solaris DiskSuits等等。移除/etc/rc3.d里的文件........。

3.1.4.3 取消NFS服务
NFS的共享输出是由/etc/dfs/dfstab文件管理的.可以删除它。要将NFS服务器的守护进程关闭则可以重命名/etc/rc3.d/S15nfs.server。要防止一台机器成为NFS客户机，可以重命名文件/etc/rc2.d/S73nfs.client--当重命名这些自启动文件时，要注意不要将文件的首字母设为\"S\"。

3.1.4.4 rpcbind中的安全问题
Rpcbind是允许rpc请求和rpc服务之间相互连接的程序，但标准的rpc是不安全的,它使用的是\"AUTH_UNIX\"验证, 也就是说它依靠的是远程系统的IP地址和远程用户的UID来验证。一般的系统可能需要某些rpc存在，但对各种服务器如Web servers, ftp servers, mail servers, etc)最好将rpc服务关闭，你也可以通过一些安全工具来确定rpc服务是否会影响到你系统的安全性。可以通过将/etc/rc2.d/S71RPC改名来禁止rpc。

3.1.4.5 in.finger的安全问题
in.fingerd在过去有一些安全问题，如果你想提供finger工具，用nobody来运行它。

3.1.4.6 sendmail的设置
/usr/lib/sendmail守护程序并没有打开，因为你不必总在25端口监听mail的列表请求，你可以在root的crontab文件中增加：

0 * * * * /usr/lib/sendmail -q > /var/adm/sendmail.log 2>&1

这条命令要以每小时调用sendmail进程处理排队中的邮件。

3.1.5 cron 和 at

3.1.5.1 cron任务的注意事项
1） 查看所有的cron任务--在/var/spool/cron/crontabs文件中可以找到它们。
2） 必须在/etc/default/cron里设置了\"CRONLOG=yes\" 来记录corn的动作。

3.1.5.2 cron用户配置
/etc/cron.d/cron.allow和/etc/cron.d/cron.deny两个文件决定了一个特定用户是否可以运行crontab命令。daemon、bin、smtp、nuucp、listen、nobody、noaccess这些用户不应该有执行crontab权限。

3.1.5.3 at 用户配置
/etc/cron.d/at.allow和/etc/cron.d/at.deny两个文件决定了一个特定用户是否可以运行at命令。daemon、bin、smtp、nuucp、listen、nobody、noaccess这些用户不应该有执行at权限。

3.1.5.4 cron和Tripwire
Tripwire应该配置成定期检查下面文件和目录：/etc/cron.d、/etc/default、/var/cron、/var/spool/cron、/etc/cron.d/cron.allow、/etc/cron.d/at.allow、/etc/cron.d/at.deny

3.1.6 系统日志

创建所有重要的日志文件的硬拷贝
保证在“/var/log”目录下的不同日志文件的完整性是保证系统安全所要考虑的非常重要的一个方面。如果我们在服务器上已经加上了很多安全措施，黑客还是能够成功入侵，那么日志文件就是我们最后的防范措施。因此，很有必要考虑一下用什么方法才能保证日志文件的完整性。如果服务器上或网络中的其它服务器上已经安装了打印机，就可以把重要的日志文件打印出来。这要求有一个可以连续打印的打印机，并用syslog把所有重要的日志文件传到“/dev/lp0”(打印设备)。黑客可以改变服务器上的文件、程序，等等，但是，把重要的日志文件打印出来之后，他就无能为力了。

例如，记录下服务器上所有的telnet、mail、引导信息和ssh连接，并打印到连接在这台服务器上的打印机。需要在“/etc/syslog.conf”文件中加入一行。编辑syslog.conf文件(vi /etc/syslog.conf)，在文件末尾加入下面这一行：

authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0

“mail”是接收日志文件的计算机主机名。如果有人试图黑你的计算机并且威胁把所有重要的系统日志文件都删掉，你就不用怕了，因为你已经打印出来或者在别的地方还有一个拷贝。这样就可以根据这些日志文件分析出黑客在什么地方，然后出理这次入侵事件。

authpriv.*;mail.*;local7.*;auth.*;daemon.info@mail

3.1.7 Solaris ndd命令
ndd命令能容易的在不重新配置系统内核和重起系统的情况下，修改核心和TCP/IP的设备的一些参数。使用如下命令可看到相应的帮助。

[root@ /]> ndd /dev/arp \\?
? (read only)
arp_cache_report (read only)
arp_debug (read and write)
arp_cleanup_interval (read and write)

[root@ /]> ndd /dev/icmp \\?
? (read only)
icmp_wroff_extra (read and write)
icmp_def_ttl (read and write)
icmp_bsd_compat (read and write)
icmp_xmit_hiwat (read and write)
icmp_xmit_lowat (read and write)
icmp_recv_hiwat (read and write)
icmp_max_buf (read and write)
icmp_status (read only)

[root@ /]> ndd /dev/ip \\?
? (read only)
ip_forwarding (read and write)
ip_respond_to_address_mask_broadcast(read and write)
ip_respond_to_echo_broadcast (read and write)
ip_respond_to_timestamp (read and write)
ip_respond_to_timestamp_broadcast(read and write)
ip_send_redirects (read and write)
ip_forward_directed_broadcasts(read and write)
ip_debug (read and write)
ip_mrtdebug (read and write)
ip_ire_cleanup_interval (read and write)
ip_ire_flush_interval (read and write)
ip_ire_redirect_interval (read and write)
ip_def_ttl (read and write)
ip_forward_src_routed (read and write)
ip_wroff_extra (read and write)
ip_ire_pathmtu_interval (read and write)
ip_icmp_return_data_bytes (read and write)
ip_send_source_quench (read and write)
ip_path_mtu_discovery (read and write)
ip_ignore_delete_time (read and write)
ip_ignore_redirect (read and write)
ip_output_queue (read and write)
ip_broadcast_ttl (read and write)
ip_icmp_err_interval (read and write)
ip_reass_queue_bytes (read and write)
ip_strict_dst_multihoming (read and write)
ip_addrs_per_if (read and write)
ip_ill_status (read only)
ip_ipif_status (read only)
ip_ire_status (read only)
ip_ipc_status (read only)
ip_rput_pullups (read and write)
ip_enable_group_ifs (read and write)

[root@ /]> ndd /dev/tcp \\?
? (read only)
tcp_close_wait_interval (read and write)
tcp_conn_req_max_q (read and write)
tcp_conn_req_max_q0 (read and write)
tcp_conn_req_min (read and write)
tcp_conn_grace_period (read and write)
tcp_cwnd_max (read and write)
tcp_debug (read and write)
tcp_smallest_nonpriv_port (read and write)
tcp_ip_abort_cinterval (read and write)
tcp_ip_abort_linterval (read and write)
tcp_ip_abort_interval (read and write)
tcp_ip_notify_cinterval (read and write)
tcp_ip_notify_interval (read and write)
tcp_ip_ttl (read and write)
tcp_keepalive_interval (read and write)
tcp_maxpsz_multiplier (read and write)
tcp_mss_def (read and write)
tcp_mss_max (read and write)
tcp_mss_min (read and write)
tcp_naglim_def (read and write)
tcp_rexmit_interval_initial (read and write)
tcp_rexmit_interval_max (read and write)
tcp_rexmit_interval_min (read and write)
tcp_wroff_xtra (read and write)
tcp_deferred_ack_interval (read and write)
tcp_snd_lowat_fraction (read and write)
tcp_sth_rcv_hiwat (read and write)
tcp_sth_rcv_lowat (read and write)
tcp_dupack_fast_retransmit (read and write)
tcp_ignore_path_mtu (read and write)
tcp_rcv_push_wait (read and write)
tcp_smallest_anon_port (read and write)
tcp_largest_anon_port (read and write)
tcp_xmit_hiwat (read and write)
tcp_xmit_lowat (read and write)
tcp_recv_hiwat (read and write)
tcp_recv_hiwat_minmss (read and write)
tcp_fin_wait_2_flush_interval (read and write)
tcp_co_min (read and write)
tcp_max_buf (read and write)
tcp_zero_win_probesize (read and write)
tcp_strong_iss (read and write)
tcp_rtt_updates (read and write)
tcp_wscale_always (read and write)
tcp_tstamp_always (read and write)
tcp_tstamp_if_wscale (read and write)
tcp_rexmit_interval_extra (read and write)
tcp_deferred_acks_max (read and write)
tcp_slow_start_after_idle (read and write)
tcp_slow_start_initial (read and write)
tcp_co_timer_interval (read and write)
tcp_extra_priv_ports (read only)
tcp_extra_priv_ports_add (write only)
tcp_extra_priv_ports_del (write only)
tcp_status (read only)
tcp_bind_hash (read only)
tcp_listen_hash (read only)
tcp_conn_hash (read only)
tcp_queue_hash (read only)
tcp_host_param (read and write)
tcp_1948_phrase (write only)

显示当前值

#ndd /dev/arp arp_debug 0
0： 代表特性禁止
ndd -set /dev/arp arp_debug 1
1： 代表特性允许

由于这些参数一般是经过优化过的，而且一旦改变失误，可能导致系统的不正常工作。所以sun不提供文档供人随意调节。

3.1.8 系统补丁
跟所有的复杂系统一样，SUN有它的漏洞，其中的一些从性质上来说是相当严重的。SUN公司有向它的客户甚至是没有技术支持的客户提供补丁的优良传统。这些补丁或者以集合包或者以单个补丁的形式存在的。不幸的是，要完全修补你的系统，既需要大的补丁集合包，又需要单个的补丁。然而我们将介绍一种把补丁包和单个补丁结合起来使用的方法。

用patchadd -p 或 showrev -p命令来察看补丁在系统里的安装情况，在你想保护的主机以及大众都可以访问的主机上，你应该到SUN公司的主页上去查找相关的补丁包来安装，并且应该常常查看最新的补丁发布情况。

补丁步骤：

1） 变成 root
2） 键入 umask 022来设置你的许可模式--给系统打补丁不仅要求所有的补丁被\"nobody\"用户可读，而且包括补丁之前的所有目录（不要问为什么，反正是一般这么干的）。

3） 创建一个叫“patch“的目录，并进入它，我一般是这样做的：

mkdir /var/tmp/patch
cd /var/tmp/patch

在你建“patch“目录的文件系统中要保证有足够的磁盘空间（提示：你可以试着键入：df -k来看看文件系统上可用的磁盘空间，不要用/tmp！
4） 用ftp连接sunsolve站ftp sunsolve.sun.com 你的登录用户名是“anonymous“，口令是你的电子邮件地址。
5） 转到二进制模式，键入： bin 关闭提示，键入： prompt 你不需要为下载每个补丁回答是，我需要下那个补丁。
6） 补丁位于sunsolve站的/pub/patches目录，所以键入： cd /pub/patches
7） 得到对应于你操作系统版本的PatchReport文件，你可以用以下命令列出那些文：

ls *.PatchReport

例如：
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-
ftp> ls *.PatchReport
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
Solaris1.1.1.PatchReport
Solaris1.1.2.PatchReport
Solaris1.1.PatchReport
Solaris2.3.PatchReport
Solaris2.4.PatchReport
Solaris2.4_x86.PatchReport
Solaris2.5.1.PatchReport
Solaris2.5.1_x86.PatchReport
Solaris2.5.PatchReport
Solaris2.5_x86.PatchReport
Solaris2.6.PatchReport
Solaris2.6_x86.PatchReport
Solaris7.PatchReport
Solaris7_x86.PatchReport
226 Transfer complete.
remote: *.PatchReport
360 bytes received in 0.0044 seconds (79.16 Kbytes/s)
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-

对x86和sparc文件有不同的补丁报告文件，sparc版本的是那些没有“x86“字样的。
8) 得到一份补丁报告文件，比如：get Solaris2.6.PatchReport
9) 得到一份对应于你系统版本的推荐补丁集合包和它的README文件，可以用如下命令列出推
荐的文件：ls *Recommended*
输出可能是这样的：
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-

ftp> ls *Recommended*
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
2.3_Recommended.README
2.3_Recommended.tar.Z
2.4_Recommended.README
2.4_Recommended.tar.Z
2.4_x86_Recommended.README
2.4_x86_Recommended.tar.Z
2.5.1_Recommended.README
2.5.1_Recommended.tar.Z
2.5.1_x86_Recommended.README
2.5.1_x86_Recommended.tar.Z
2.5_Recommended.README
2.5_Recommended.tar.Z
2.5_x86_Recommended.README
2.5_x86_Recommended.tar.Z
2.6_Recommended.README
2.6_Recommended.tar.Z
2.6_x86_Recommended.README
2.6_x86_Recommended.tar.Z
7_Recommended.README
7_Recommended.zip
7_x86_Recommended.README
7_x86_Recommended.zip
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-

你可以用mget命令把推荐文件和readme都拿下来，比如：
mget 7_x86_Recommended*
这可能要等上一会儿。
10) 在下载推荐文件的时候，你可以打开补丁报告文件看看，里面会有关于安全修补的一节可能是这样的：
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-

Solaris 2.5.1 Patches Containing Security Fixes:
------------------------------------------------

103594-19 SunOS 5.5.1: sendmail fixes
103603-10 SunOS 5.5.1: ftp, in.ftpd, in.rexecd and in.rshd patch
103627-11 SunOS 5.5.1: Linker patch
103630-14 SunOS 5.5.1: ip ifconfig arp udp icmp patch
106689-01 * SunOS 5.5.1: /usr/sbin/in.uucpd patch
106905-01 * SunOS 5.5.1: apropos/catman/man/whatis patch
103566-43 OpenWindows 3.5.1: Xsun patch
106411-06 * OpenWindows 3.5.1: xdm patch
(& c.)
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-

“*“标记的补丁没有包括在推荐补丁集合包里，我们要把它们包括进来。

11) 当推荐补丁集合包下载完后，你需要下载补丁报告中所标记的单个补丁，最快的方法是用mget，这样用： mget 106689* 106905* 106411*

重要：你可能想用一个mget命令得到所有的补丁，但mget的参数的个数是有限制的！而且，我并没有指定版本号，这不仅仅是为了少输入字符和得到相关的README文件，也是因为在补丁报告发布过程中，版本号可能是会变化的。

12) 下载完所有的东西后，键入：quit来结束ftp会话。

13) 到现在，你已经下载了补丁集合包和单个补丁，因为继续下去打单个的补丁包太费体力，我们将先把补丁包和单个补丁合并起来。

首先解压补丁包：
如果你用的是Solaris 2.6或更早的，
uncompress 2*Recommended.tar.Z
tar -xvf 2*Recommended.tar
如果用的是Solaris 7,
unzip 7*Recommended.zip
其次，把所有的单个补丁移到你的建立的Recommended目录：
mv 1* *Recommende d
然后，进到保存有全部补丁的Recommended目录：
cd *Recommended

14) 现在我们可以把所有单个的补丁加到patch_order文件中，在这个文件中列出了所有将被install_cluster脚本安装的补丁，你可以手工把它们加进去（提示：这是错误的选择）或者用UNIX的命令工具来帮你做这件事。

如果你是Solaris 7，用下面的命令：
ls *.zip | cut -d\".\" -f1 >> patch_order
如果是Solaris 2.6或以前的：
ls *.tar.Z | cut -d\".\" -f1 >> patch_order

15) 现在是解压所有单个补丁包的时候了，因为它们还是压缩格式的。如果你用Solaris 7，你可以用unzip一次解压一个文件：
unzip 108723.zip
讨厌的是，你不能用“unzip *.zip“，因为unzip不能这样工作，为了避免多次地输入unzip，你可以用下面的UNIX命令让unzip为你解压所有的东西：

ls *.zip | xargs -n1 unzip
如果用的是Solaris 2.6或更低的，键入：
uncompress *.tar.Z
现在你必须用tar分离出单个的补丁，你可以用以下命令一次处理一个文件：
tar -xvf 108723.tar
讨厌的是，你不能用“tar -xvf *.tar“，因为tar不能这样工作，为了避免多次地输入tar，你可以用下面的UNIX命令让tar为你分离所有的东西：
ls *.zip | xargs -n1 tar -xvf
16) 到现在所有的补丁都准备好了，关闭计算机：
/usr/sbin/shutdown -y -g0 -i0
启到到单用户模式，对sparc: boot -s
对x86, 启动时, 键入：b -s
系统引导后，在提示符后输入root口令后，键入：mountall
来mount所有的文件系统。
然后输入：
cd /var/tmp/patch/*Recommended
进到保存所有补丁的目录，现在你可以键入以下命令来安装“所有”的补丁了：
./install_cluster
跟着提示做就行了。如果这是个Solaris 2.5.1或是个Solaris 2.6的系统，可以走开搞杯咖啡喝喝，因为要花点时间的。不要太担心补丁安装过程中的错误，很多时候出现错误是因为你没有安装一个特定的软件或已经打了某个补丁。

打完补丁后，关机重启，输入：
/usr/sbin/shutdown -y -g0 -i6