文章作者:quack
参考资料:The Solaris Security FAQ by Peter Baer Galvin 4) (一些有用的资源--略)
==================================================================================
5) 如何使我的Solaris Web server更安全?
下面的方法可以令你的以Solaris为基础的系统十分安全,你同时还可以配以利用防火墙及过滤路由
器来组成一个完整而强大的网络拓扑,但是,没有任何系统是完美的,所以你除了关注安全动态,给机
器作好防范之外,也不应该在机器上装载其他无关的第三方的软件--webserver需要的是安全,而不是
对管理员的方便。
5.0) Web server安全检查
用下面的安全检查列表来察看你的系统是否是安全地安装的,当然如果你有特殊的安全需求则不一定以此为准:
在完成一切安全设置前将系统与互联网断开
仅仅安装系统的核心部分以及需要的软件包
安装推荐的安全补丁
修改系统的开始文件来进行
在/etc/init.d/inetinit中关闭IP转发
改变/tmp的存取权限(可以在系统的开始文件中加入脚本
用ps检查进程情况
Invoke sendmail from cron to process queued mail occasionally.
安装配置tcp_wrappers, S/Key, wu-ftp及tripwire于你的系统环境。
编辑/etc/hosts.allow来确定可进入的机器,并且编辑/etc/inetd.conf注释掉所有不需要的服务
用syslog记录下所有的telnet连接通信
Mount上的文件系统要是只读而且是no-suid的
确定/noshell是除了root之外所有不希望进入的帐号的默认shell
删除/etc/auto_*, /etc/dfs/dfstab, p/var/spool/cron/crontabs/* (except root).
使用静态路由
测试你的系统,包括允许及拒绝访问的配置及记帐系统
考虑使用更安全版本的sendmail, syslog, bind以及crontab来替代现有的
安装xntp来有更精确的时间戳
考虑更详细地系统记帐
保持监听和测试Web server的习惯
在你完成上面的配置之后,你的系统已经会比安装一个标准的UNIX系统,并配以标准配置更安全了。
5.1) 硬件上......
在系统完全安装好并且配置得更安全之前,不要将它放到互联网上——从理论上说,一些入侵者喜欢
在你把系统弄得完美之前溜进去放几个后门——而且最好从CD-ROM安装你的系统并且将二进制文件
加载在磁带机或者软盘上物理写保护.......
5.2) 安装系统
从最新的,可靠的Solaris2.x版本安装,每一版本的Solaris都会比前一版更安全一些的。
Solaris是非常灵活并且包含了大量工具可供使用的。但不幸的是,这些外带的功能软件包可能也会
导致一些潜在的危险,所以要建立一个安全的系统,最好的办法是,只安装基本的OS部份,其余的软件
包则以必要为原则,非必需的包就可以不装——这样还可以使机器更快和更稳定:)
在Solaris的安装程序里,你可以选择Core SPARC installation cluster来安装,事实上,就连
这个选项都还有些东西是不必要的确良:(,但它的确是一个安全的系统基础,另一个好处是,它需要的空
间很少,看看下面你就知道了:
s0: / 256 megabytes
s1: swap 256 megabytes
s2: overlap
s3:
s4:
s5:
s6: /local ??? megabytes (rest of the drive)
s7:
/var要足够大以放置审核记录文件,而swap分区则与你的硬件(内存)相适应就行了,当然大的swap
分区可以在应付DoS攻击时更强有力。
现在可以用另外的机器,ftp到sunsolve.sun.com:/pub/patches并且下载最新的推荐补丁,将它放
在磁带机中转到你的“安全主机”上,然后安装这些补丁,当然有些补丁可能安装不上,因为它所
要补的那个软件你没有安装:)
5.3) 系统里的Strip
在Solaris下,你可以通过对/etc/rc[S0-3].d文件来修改启动时自引导的动作:
考虑移去/etc/rc2.d中在你系统中用不到的服务,我还建议你移除/etc/init.d里除下以下列表中
文件外的所有东西:
K15rrcd S05RMTMPFILES K15solved S20sysetup
S72inetsvc S99audit S21perf
S99dtlogin K25snmpd S30sysid.net S99netconfig
K50pop3 S74syslog S75cron S92rtvc-config
K60nfs.server K65nfs.client S69inet
K92volmgt README S95SUNWmd.sync
S01MOUNTFSYS S71sysid.sys S88utmpd S95rrcd
这些文件可能会与你的不同--这取决于你机器里的图形卡/是否使用Solaris DiskSuits等等。
移除/etc/rc3.d里的文件........
举例来说,在Solaris 2.4中,你应该编辑/etc/init.d/inetinit在文件的尾部增加以下行:
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_forwarding 0
并且通过设定ndd -set /dev/ip ip_strict_dst_multihoming 1来关闭"ip_strict_dst_multihoming"
核心变量。solaris机器就不会在两块网卡间转发IP包,这可以防止host spoof。
* 在Solaris 2.5下,只要建立一个叫/etc/notrouter的文件就能阻止IP转发,要重新打开它,只要移除
/etc/notrouter并重启动系统就行了。It's important to note that there is a small time
window between when this file is created and when routing is disabled,
theoretically allowing some routing to take place.
在Solaris 2.4下,添加一个新的脚本名为/etc/init.d/tmpfix:
#!/bin/sh
#ident "@(#)tmpfix 1.0 95/08/14"
if [ -d /tmp ]
then
/usr/bin/chmod 1777 /tmp
/usr/bin/chgrp sys /tmp
/usr/bin/chown root /tmp
并且连接/etc/init.d/tmpfix到/etc/rc2.d/S79tmpfix,这样这个脚本就会在系统启动时执行了。
这可以使入侵者更难在系统里夺取root权限。在Solaris 2.5则不必如此。
另外还有一些好的建议,就是在启动时为用户设定安全的umask,下面的script就是做这事儿的:
umask 022 # make sure umask.sh gets created with the proper mode
echo "umask 022" > /etc/init.d/umask.sh
for d in /etc/rc?.d
do
ln /etc/init.d/umask.sh $d/S00umask.sh
done
Note: 脚本名称中的".sh"是必需的,这样脚本才会在本shell而不是它的子shell中执行。
删除/etc/auto_*文件,删除/etc/init.d/autofs可以防止automounter在启动时就运行。
删除/etc/dfs/dfstab,清除/etc/init.d以防止机器成为NFS服务器。
删除crontab文件,你可以将/var/spool/cron/crontabs中属主root以外的文件全部删除。
使用静态路由,建立/etc/defaultrouter来维护之,以避免spoof。如果你必须通过不同的网关,考虑增
加/usr/bin/route命令于/etc/init.d/inetinit以取代运行routed。
当地切完成时,重启机器,彻底地查看进程,ps -ef的输出应该是这样的:
UID PID PPID C STIME TTY TIME COMD
root 0 0 55 Mar 04 ? 0:01 sched
root 1 0 80 Mar 04 ? 22:44 /etc/init -
root 2 0 80 Mar 04 ? 0:01 pageout
root 3 0 80 Mar 04 ? 33:18 fsflush
root 9104 1 17 Mar 13 console 0:00 /usr/lib/saf/ttymon -g -h -p myhost console login: -T sun -d /dev/console -l co
root 92 1 80 Mar 04 ? 5:15 /usr/sbin/inetd -s
root 104 1 80 Mar 04 ? 21:53 /usr/sbin/syslogd
root 114 1 80 Mar 04 ? 0:11 /usr/sbin/cron
root 134 1 80 Mar 04 ? 0:01 /usr/lib/utmpd
root 198 1 25 Mar 04 ? 0:00 /usr/lib/saf/sac -t 300
root 201 198 33 Mar 04 ? 0:00 /usr/lib/saf/ttymon
root 6915 6844 8 13:03:32 console 0:00 ps -ef
root 6844 6842 39 13:02:04 console 0:00 -sh
/usr/lib/sendmail守护程序并没有打开,因为你不必总在25端口监听mail的列表请求,你可以在root的
crontab文件中增加:
0 * * * * /usr/lib/sendmail -q > /var/adm/sendmail.log 2>&1
这条命令要以每小时调用sendmail进程处理排队中的邮件。
5.4) 安装第三方软件
你需要的第一个软件是TCP Wrappers软件包——由Wietse Venema写的,它提供了一个小的二
进制文件叫tcpd,能够用它来控制对系统服务的进出——比如telnet及ftp,它在/etc/inetd.conf
中启动,访问控制可以由IP地址、域名或者其它参数来限制,并且tcpd可以提升syslog的记录
级别,在系统遇到未经认证的连接时,发送email或者警告给管理员。
然后安装S/Key来控制远程连接的安全性,可以在Q5.6中看到详细的配置方法。
如果你打算打开ftp服务(不管是匿名ftp或者是出了管理目的),你需要取得一份WU-Archive ftp,
最好要拿到它的最新版本,否则会有一些安全漏洞存在,如果你认为需要管理员的远程登陆服务的
话,可能得修改S/Key来支持ftp daemon。在Crimelabs S/Key的发行版本中,你可以在找到
S/Key/misc/ftpd.c,这个C程序示范了如何让S/Key支持WU-Archive ftp,你可以对新版的WU-FTP
做类似的改动,当然你可能要阅读wu-ftp FAQ以增加了解。
编译并且安装了这些二进制文件后(tcpd, wu-ftpd及keyinit, keysu,keysh),它们会被安装在
/usr/local/bin中,当编译wu-ftpd时你需要指定一个配置文件及日志的存放目录,我们推荐你将
配置文件放在/etc下,将日志文件放在/var下,Q5.7更详细地说明了wu-ftp的配置。
用/noshell来阻止那些不想让他们进入的帐号,让/noshell成为那些人的shell。这些帐号不允许登陆
并且会记录下登陆的企图,入侵者无法通过这种帐号入侵。
5.5) 限制通过网络进入系统
telnet和ftp守护进程是从inetd进程启动的,inetd的配置文件是/etc/inetd.conf,还包含了其它
的各种服务,所以你可以干脆移去这个文件,新建一个只包括以下两行的文件:
ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd
telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd
当然这是基于你需要telnet及ftp的基础上的,如果你连这两个服务都不用的话,你就可以将它注释
掉或者删除,这样在系统启动的时候inetd甚至就起不来了:)
tcpd的访问控制是由/etc/hosts.allow和/etc/hosts.deny文件控制的,tcpd先查找/etc/hosts.allow
,如果你在这里面允许了某几台主机的telnet或ftp访问的话,那么deny访问就是对其它所有机器的了。
这是“默认拒绝”的访问控制策略,下面是一个hosts.allow文件的样本:
ALL: 172.16.3.0/255.255.255.0
这将允许172.16.3.0网络的主机上任何用户访问你的telnet及ftp服务,记住在这里要放置IP地址,因
为域名比较容易受到欺骗攻击……
现在我们准备拒绝其余所有人的连接了,将下面的语句放在/etc/hosts.deny中:
ALL: ALL: /usr/bin/mailx -s "%d: connection attempt from %c"
root@mydomain.com
这条指令不仅拒绝了其它所有的连接,而且能够让tcpd发送email给root——一旦有不允许的连接尝试
发生时。
现在你可能希望用syslog记录下所有的访问记录,那么在/etc/syslog.conf放进如下语句:
auth.auth.notice;auth.info /var/log/authlog
注意两段语句间的空白是tab键,否则syslog可能会不能正常工作。
Sendmail将用以cron来调用sendmail来替代。
5.6) 配置S/Key
S/Key是一个用于实现安全的一次性口令方案的软件,它根据一系列信息(包括一个秘密口令)通过MD4
处理而形成的初始钥匙,该初始钥匙再交给MD4进行处理,资助将128位的数字签名缩成64位,该64位信息
再次传给MD4函数,这个过程一直持续直到达到期望值……
开始使用S/Key时,要建立一个以/usr/local/bin/keysh为shell的帐号:
在/etc/passwd中加入
access:x:100:100:Access Account:/tmp:/usr/local/bin/keysh
并且在/etc/shadow中加入
access:NP:6445::::::
然后使用passwd access命令来设定用户的访问密码。
由于/usr/local/bin/keysh不是一个标准的shell,所以你的/etc/shells文件中内容如下:
/sbin/sh
/usr/local/bin/keysh
只有使用这两种login shell的用户才允许接入。
然后建立一个文件/etc/skeykeys并赋予一定的许可权限:
touch /etc/skeykeys
chmod 600 /etc/skeykeys
chown root /etc/skeykeys
chgrp root /etc/skeykeys
使用keyinit access命令来初始化S/Key秘密口令。
现在你可以配置允许用户通过keysu命令来成为超级用户,首先改变/etc/group:
root::0:root,access
只有在这里列出来的用户才允许通过keysu成为超级用户。现在你可以使用不着keyinit root命令来初
始化超级用户的S/Key秘密口令,我建议该口令要与user的有所区别。
本来你可以将/bin/su删掉以确定用户只能使用keysu……,但不幸的是,许多脚本使用/bin/su来开启
进程,所以你只需用chmod 500 /bin/su来改变它的权限就行了。
5.7) 配置wu-ftp
配置wu-ftp需要经验:),当你编译wu-ftpd时,你需要指定一个存放配置文件的地方,这个文件夹里将
包含一个pid文件夹和三个文件,一个ftp conversions文件可以是空的,但不能没有,还有ftpusers文
件包含了所有在password文件中存在但不允许登陆系统ftp的用户名称,也就是如uucp、bin之类的系统
帐号都将应该被限制。root最好是永远都被扔在这里面:)。
最后一个文件是ftpaccess:
class users real 172.16.3.*
log commands real
log transfers real inbound,outbound
这将允许从172.16.3.0的任何用户ftp而拒绝所有其它的,所有的文件与命令将被记录下来,并且存放
在你指定的记录文件目录。
至于建立匿名FTP,你要小心,因为很容易配置错误。
建立一个特殊帐户如:
ftp:*:400:400:Anonymous FTP:/var/spool/ftp:/bon/false
因为使用了chroot()功能,必须建立一个小的文件系统,包含了bin\etc\pub目录:
这里面要注意的有:
确保bin及etc下的所有文件属主都是root,且任何人不可写,只有执行权限,最好另外拷贝
一份passwd到ftp的etc中,即使被入侵者得到了,也不会泄露太多信息。
详细配置情况还需要看关于wu-ftp的faq。
5.8) 限制对文件及文件系统的存取权限
下载并使用fix-modes,这个程序会将系统里不安全的文件存取权限(文件/目录)找出来。
使用nosuid参数来配置/etc/vfstab,以防止setuid程序从UFS文件系统执行
/proc - /proc proc - no -
fd - /dev/fd fd - no -
swap - /tmp tmpfs - yes -
/dev/dsk/c0t3d0s1 - - swap - no -
/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0 / ufs 1 no remount,nosuid
/dev/dsk/c0t3d0s4 /dev/rdsk/c0t3d0s4 /usr ufs 1 no ro
/dev/dsk/c0t3d0s5 /dev/rdsk/c0t3d0s5 /var ufs 1 no nosuid
/dev/dsk/c0t3d0s6 /dev/rdsk/c0t3d0s6 /local ufs 2 yes nosuid
5.9) 测试配置
重启你的机器,确定下面这些东西:
你可以从你配置为允许tcpd连接的机器telnet及ftp到你的server。
尝试从其它未被允许的机器进入,应该会拒绝并email告知当事人。
你只能以user的身份远程telnet或者ftp上站,不能以root登陆。
用户可以通过/usr/local/bin/keysu成为超级用户。
ps -ef只有少量的进程显示,最好不要有sendmail和各种NFS进程。
touch /usr/FOO会得到错误提示,因为文件系统是ro的。
成为超级用户,将ps命令复制到/,要保持它的setuid位,然后删除它的二进制文件。
好了,祝贺你,你已经建立了一个比较安全的系统了:)
5.10) 最后:一些建议
使用XNTP来确定精确的时间。
在你把机器放到网上前,用tripwire和MD5做一个校验,如果系统被入侵,你可以通过保存的校验和
来判断哪些程序被替换掉了。
考虑使用进程记录来记来系统里占用资源的情况。
定期改变你的S/Key secrets并且选择一个好的密码,在各地方的密码最好不要一样……
-------------------------------------------------
对Solaris及网络安全我都没多少经验,不懂
的地方都是妄自猜度,错误想必不少,请指点!
mailto:quack@antionline.org
