增加solaris安全

　　本文介紹如何一步步加強Solaris SPARC/x86操作系統的安全性。這裡介紹的內容並不適合於各種可能的安裝情況，僅僅以最普遍的情況為基礎進行討論。本文內容稍加變化就可用於其他Unix系統。
　　
　　注意
　　
　　1) 在所有步驟未完之前保證本機系統和外部網絡隔絕(注: 拔掉網線即可)
　　2) 只安裝操作系統的核心部分以及那些非常必要的軟件包
　　
　　細節
　　
　　1. 安裝配置完操作系統之後確認root的umask設置是077或者027，執行
　　/usr/bin/umask [-S] 確認。
　　
　　2. 確認root的PATH環境變量設置是安全的，應該只包含/usr/bin:/sbin:/usr/sbin，
　　避免當前工作目錄.出現在PATH環境變量中，這有助於對抗特洛伊木馬。
　　echo $PATH | grep ":." 確認
　　
　　3. 檢查/etc/rc2.d和/etc/rc3.d目錄下的所有"S"打頭的腳本文件，將那些啟動不必要服務的腳本文件改名，確認新文件名不以"S"打頭。重啟動確認這些變動生效，
　　檢查/var/adm/messages日志文件，用ps -elf檢查是否還有無關進程啟動。
　　
　　4. 編輯/etc/default/login文件，確認 CONSOLE=/dev/console 有效。為了阻止root用戶遠程ftp，在/etc/ftpusers文件中增加root帳號。
　　
　　5. 刪除/etc/hosts.equiv和/.rhosts文件，編輯/etc/inetd.conf文件，屏蔽所有r
　　系列服務。ps -ef | grep inetd | awk '{print $2;}' | xargs kill -1迫使修改後的/etc/inetd.conf文件生效。
　　
　　6. 刪除、禁用或者注釋掉不必要帳號，包括"sys"、"uucp"、"nuucp"和"listen"。
　　推薦的做法，將/etc/passwd文件中的口令域設置成"NP"，比如
　　
　　uucp:NP:5:5:uucp Admin:/usr/lib/uucp:
　　
　　如果使用了/etc/shadow文件，就不要修改/etc/passwd文件，而應該修改/etc/shadow文件中的相應行
　　
　　uucp:NP:6445::::::
　　
　　還可以考慮將/etc/passwd文件中的shell域設置成/bin/false
　　
　　7. /etc/logindevperm文件包含的配置信息用於設置登錄相關設備(控制台、鍵盤等等)的權限，檢查該文件中的權限設置，如果必要可以修改成期望值。關於該文件更多信息參看logindevperm(4)手冊頁。
　　
　　8. /etc目錄下的文件都不應該是同組可寫的，通過chmod -R g-w /etc命令取消同組可寫權限。
　　
　　9. 缺省情況下，如果Solaris主機有多塊網卡，它們之間的IP轉發功能是打開的。對於Solaris 2.4(或者更低版本),在/etc/init.d/inetinit文件的最後增加一行
　　
　　ndd -set /dev/ip ip_forwarding 0
　　
　　對於Solaris 2.5(或者更高版本)，簡單地"touch /etc/notrouter"即可。注意,啟動過程中IP轉發功能關閉前Solaris主機依舊可以在多塊網卡之間進行IP轉發,存在小小的潛在安全隱患。
　　
　　10.
　　
　　通過/etc/auto_*配置文件控制自動mount特性。為了禁止自動mount功能，刪除
　　/etc/auto_*配置文件(或者注釋掉相關入口點)，屏蔽/etc/rc2.d/S74autofs啟動
　　腳本。
　　
　　11.
　　
　　NFS輸出通過/etc/dfs/dfstab文件控制，應該刪除該文件或者注釋掉相關入口點。為了禁止NFS服務守護進程啟動,將/etc/rc3.d/S15nfs.server改名。為了阻止本機成為NFS客戶端，將/etc/rc2.d/S73nfs.client文件改名。在更改這些啟動腳本文件名的時候，確認不以"S"字母打頭。
　　
　　12.
　　
　　仔細查/var/spool/cron/crontabs目錄下各個系統帳號(adm、lp、root、sys,uucp)的定時任務文件。可以考慮編輯/etc/default/cron文件，設置如下行
　　
　　CRONLOG=YES
　　
　　這將導致對所有定時任務做日志。
　　
　　13.
　　
　　使用動態路由接受守護進程(比如in.routed、in.rdisc)的主機容易遭受路由相關的攻擊，包括DoS和監聽。盡可能采用靜態路由，在啟動腳本文件中用route命令增加靜態路由，而不是采用動態路由接受守護進程。
　　
　　14.
　　
　　為了防止基於ARP協議的攻擊，在可能的情況下采用arp命令手工增加ARP入口點,刪除不必要的ARP入口點。
　　
　　15.
　　
　　rpcbind使得RPC客戶端可以獲得RPC服務的當前端口信息，不幸的是，標准RPC機制不安全，它采用"AUTH_UNIX"驗證機制，依賴於遠程客戶端的IP地址和遠程用戶
　　UID進行身份識別，而這兩者都是很容易偽造、欺騙、修改的。對於特定用途的服務器，比如WWW服務器、FTP服務器、郵件服務器等等，應該關閉對RPC的支持，這通過更改/etc/rc2.d/S71rpc啟動腳本文件名實現。此時必須仔細驗證剩余功能不受取消RPC支持的影響。
　　
　　16.
　　
　　/etc/utmp的權限可以設置成0644，而不會影響系統正常運做。在Solaris 2.6/7
　　上這是一個到/var/adm/utmp文件的符號鏈接，應該chmod 0644 /var/adm/utmp
　　
　　17.
　　
　　Solaris上很多setuid、setgid程序只有root或者屬主自己才會使用，完全可以取消setuid、setgid設置而不影響普通用戶的工作。用如下命令找出系統中所有setuid過的程序
　　
　　# find / -perm -4000 -print
　　
　　考慮取消如下命令的setuid設置
　　
　　/usr/bin/tip
　　/usr/bin/ct
　　/usr/bin/cu
　　/usr/bin/uuglist
　　/usr/bin/uuname
　　/usr/bin/uustat
　　/usr/lib/exrecover
　　/usr/bin/uux
　　/usr/lib/accton
　　/usr/lib/fs/ufs/ufsrestore
　　/usr/bin/uucp
　　/usr/lib/news/inews
　　/usr/lib/fs/ufs/ufsdump
　　/usr/lib/uucp/uuxqt
　　/usr/lib/uucp/uucico
　　/usr/lib/uucp/remote.unknown
　　/usr/lib/uucp/uusched
　　/usr/sbin/allocate
　　
　　類似的，用如下命令找出系統中所有setgid過的程序
　　
　　# find / -perm -2000 -print
　　
　　考慮取消如下命令的setgid設置
　　
　　/usr/bin/mailx
　　/usr/bin/netstat
　　/usr/bin/nfsstat
　　/usr/bin/write
　　/usr/bin/ipcs
　　/usr/lib/fs/ufs/ufsdump
　　/usr/sbin/arp
　　/usr/sbin/prtconf
　　/usr/bin/swap
　　/usr/sbin/sysdef
　　/usr/sbin/wall
　　/usr/sbin/dmesg
　　/usr/openwin/bin/wsinfo
　　/usr/openwin/bin/ff.core
　　/usr/kvm/crash
　　/usr/openwin/bin/mailtool
　　/usr/openwin/bin/xload
　　/usr/kvm/eeprom
　　/usr/vmsys/bin/chkperm
　　
　　創建一份系統中剩余setuid、setgid程序的列表，定期檢查是否有變化，比如多出其他setuid、setgid程序來。
　　
　　18.
　　
　　檢查系統提供的每一種網絡服務是否是工作環境所必需的，如果不是，就屏蔽它.其中一部分在啟動腳本中設置，另外一部分在/etc/inetd.conf文件中配置，注釋掉不必要的網絡服務，ps -ef | grep inetd | awk '{print $2;}' | xargs kill -1
　　迫使修改後的/etc/inetd.conf文件生效。需要屏蔽的網絡服務包括
　　
　　tftp
　　systat
　　rexd
　　ypupdated
　　netstat
　　rstatd
　　rusersd
　　sprayd
　　walld
　　exec
　　comsat
　　rquotad
　　name
　　uucp
　　
　　如果要求系統非常安全，應該用一個只包含了telnet和ftp(如果這兩個服務是必需的)服務的inetd.conf代替標准的inetd.conf文件。
　　
　　19.
　　
　　在漫長的Unix歲月中，in.fingerd暴露出某些安全問題，如果你確實需要提供finger服務，應該以nobody身份啟動它，而不是root身份。考慮修改/etc/inetd.conf配置文件中的入口點以愚弄那些進行finger探測的人
　　
　　# finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
　　finger stream tcp nowait nobody /bin/cat cat /etc/drexx-pgp.txt
　　
　　20.
　　
　　缺省情況下，syslog提供了最小程度的系統日志功能，修改/etc/syslog.conf文
　　件，使得syslog記錄更多日志信息，根據日志重要程度分別記錄到不同地方。任何與安全相關的日志信息應該加密後存放到文件中。不幸的是，必須重啟syslog才能讀取新的配置文件。
　　
　　譯者: syslogd(1M)手冊頁上說kill -HUP可以迫使重讀/etc/syslog.conf文件，
　　但是在Solaris 2.6/7的測試中的確發現某些情況下只有重啟syslog才能讓新配置文件生效，原因未明，建議如有可能先殺掉當前syslog進程，然後重啟之。
　　
　　21.
　　
　　用如下命令設置對EEPROM的口令保護
　　
　　# /usr/sbin/eeprom security-mode=command
　　
　　此時Stop-A進入ok狀態後，只能執行boot和go命令，其余命令需要口令認證。不幸的是，這樣做並不能真正保護機器的安全性，那些物理接近主機的人可以打開機箱替換EEPROM。一般來說，替換EEPROM的同時導致hostid變化，記錄本機原始hostid，確認EEPROM未被替換。
　　
　　譯者: 顯然這裡的說法有誤，在Stop-年進入ok狀態後，可以手工修改hostid成任意所期望的值。
　　
　　22.
　　
　　網卡混雜模式使得本機可以監聽那些目標地址不是本機的報文。一般來說，運行snoop應用程序的時候，網卡進入混雜模式，如果你自己並沒有運行snoop，而你的網卡已經進入混雜模式，很有可能一個黑客進入你的系統並正在監聽本