加强Solaris SPARC/x86操作系统的安全性

　　作者：Dexter D. Laggui 整理：小四 主页： 日期：2001-03-05 摘要 本文介绍如何一步步加强Solaris SPARC/x86操作系统的安全性。这里介绍的内容并不适合于各种可能的安装情况，仅仅以最普遍的情况为基础进行讨论。本文内容稍加变化就可用于其他Unix系统。注意1) 在所有步骤未完之前保证本机系统和外部网络隔绝(注: 拔掉网线即可)2) 只安装操作系统的核心部分以及那些非常必要的软件包细节1. 安装配置完操作系统之后确认root的umask设置是077或者027，执行 /usr/bin/umask [-S] 确认。2. 确认root的PATH环境变量设置是安全的，应该只包含/usr/bin:/sbin:/usr/sbin， 避免当前工作目录.出现在PATH环境变量中，这有助于对抗特洛伊木马。 echo $PATH | grep “:.” 确认3. 检查/etc/rc2.d和/etc/rc3.d目录下的所有”S”打头的脚本文件，将那些启动不必 要服务的脚本文件改名，确认新文件名不以”S”打头。重启动确认这些变动生效， 检查/var/adm/messages日志文件，用ps -elf检查是否还有无关进程启动。4. 编辑/etc/default/login文件，确认 CONSOLE=/dev/console 有效。为了阻止 root用户远程ftp，在/etc/ftpusers文件中增加root帐号。5. 删除/etc/hosts.equiv和/.rhosts文件，编辑/etc/inetd.conf文件，屏蔽所有r 系列服务。ps -ef | grep inetd | awk ‘{print $2;}’ | xargs kill -1迫使修 改后的/etc/inetd.conf文件生效。6. 删除、禁用或者注释掉不必要的帐号，包括”sys”、”uucp”、”nuucp”和”listen”。 推荐的做法，将/etc/passwd文件中的口令域设置成”NP”，比如 uucp:NP:5:5:uucp Admin:/usr/lib/uucp: 如果使用了/etc/shadow文件，就不要修改/etc/passwd文件，而应该修改 /etc/shadow文件中的相应行 uucp:NP:6445:::::: 还可以考虑将/etc/passwd文件中的shell域设置成/bin/false7. /etc/logindevperm文件包含的配置信息用于设置登录相关设备(控制台、键盘等 等)的权限，检查该文件中的权限设置，如果必要可以修改成期望值。关于该文件 更多信息参看logindevperm(4)手册页。8. /etc目录下的文件都不应该是同组可写的，通过chmod -R g-w /etc命令取消同组 可写权限。9. 缺省情况下，如果Solaris主机有多块网卡，它们之间的IP转发功能是打开的。对 于Solaris 2.4(或者更低版本)，在/etc/init.d/inetinit文件的最后增加一行 ndd -set /dev/ip ip_forwarding 0 对于Solaris 2.5(或者更高版本)，简单地”touch /etc/notrouter”即可。注意， 启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发， 存在小小的潜在安全隐患。10. 通过/etc/auto_*配置文件控制自动mount特性。为了禁止自动mount功能，删除 /etc/auto_*配置文件(或者注释掉相关入口点)，屏蔽/etc/rc2.d/S74autofs启动 脚本。11. NFS输出通过/etc/dfs/dfstab文件控制，应该删除该文件或者注释掉相关入口点。 为了禁止NFS服务守护进程启动，将/etc/rc3.d/S15nfs.server改名。为了阻止本 机成为NFS客户端，将/etc/rc2.d/S73nfs.client文件改名。在更改这些启动脚本 文件名的时候，确认不以”S”字母打头。12. 仔细检查/var/spool/cron/crontabs目录下各个系统帐号(adm、lp、root、sys、 uucp)的定时任务文件。可以考虑编辑/etc/default/cron文件，设置如下行 CRONLOG=YES 这将导致对所有定时任务做日志。13. 使用动态路由接受守护进程(比如in.routed、in.rdisc)的主机容易遭受路由相关 的攻击，包括DoS和监听。尽可能采用静态路由，在启动脚本文件中用route命令 增加静态路由，而不是采用动态路由接受守护进程。14. 为了防止基于ARP协议的攻击，在可能的情况下采用arp命令手工增加ARP入口点， 删除不必要的ARP入口点。15. rpcbind使得RPC客户端可以获得RPC服务的当前端口信息，不幸的是，标准RPC机 制不安全，它采用”AUTH_UNIX”验证机制，依赖于远程客户端的IP地址和远程用户 UID进行身份识别，而这两者都是很容易伪造、欺骗、修改的。对于特定用途的服 务器，比如WWW服务器、FTP服务器、邮件服务器等等，应该关闭对RPC的支持，这 通过更改/etc/rc2.d/S71rpc启动脚本文件名实现。此时必须仔细验证剩余功能不 受取消RPC支持的影响。16. /etc/utmp的权限可以设置成0644，而不会影响系统正常运做。在Solaris 2.6/7 上这是一个到/var/adm/utmp文件的符号链接，应该chmod 0644 /var/adm/utmp17. Solaris上很多setuid、setgid程序只有root或者属主自己才会使用，完全可以取 消setuid、setgid设置而不影响普通用户的工作。用如下命令找出系统中所有 setuid过的程序 # find / -perm -4000 -print 考虑取消如下命令的setuid设置 /usr/bin/tip /usr/bin/ct /usr/bin/cu /usr/bin/uuglist /usr/bin/uuname /usr/bin/uustat /usr/lib/exrecover /usr/bin/uux /usr/lib/accton /usr/lib/fs/ufs/ufsrestore /usr/bin/uucp /usr/lib/news/inews /usr/lib/fs/ufs/ufsdump /usr/lib/uucp/uuxqt /usr/lib/uucp/uucico /usr/lib/uucp/remote.unknown /usr/lib/uucp/uusched /usr/sbin/allocate 类似的，用如下命令找出系统中所有setgid过的程序 # find / -perm -2000 -print 考虑取消如下命令的setgid设置 /usr/bin/mailx /usr/bin/netstat /usr/bin/nfsstat /usr/bin/write /usr/bin/ipcs /usr/lib/fs/ufs/ufsdump /usr/sbin/arp /usr/sbin/prtconf /usr/bin/swap /usr/sbin/sysdef /usr/sbin/wall /usr/sbin/dmesg /usr/openwin/bin/wsinfo /usr/openwin/bin/ff.core /usr/kvm/crash /usr/openwin/bin/mailtool /usr/openwin/bin/xload /usr/kvm/eeprom /usr/vmsys/bin/chkperm 创建一份系统中剩余setuid、setgid程序的列表，定期检查是否有变化，比如多 出其他setuid、setgid程序来。18. 检查系统提供的每一种网络服务是否是工作环境所必需的，如果不是，就屏蔽它。 其中一部分在启动脚本中设置，另外一部分在/etc/inetd.conf文件中配置，注释 掉不必要的网络服务，ps -ef | grep inetd | awk ‘{print $2;}’ | xargs kill -1 迫使修改后的/etc/inetd.conf文件生效。需要屏蔽的网络服务包括 tftp systat rexd ypupdated netstat rstatd rusersd sprayd walld exec comsat rquotad name uucp 如果要求系统非常安全，应该用一个只包含了telnet和ftp(如果这两个服务是必 需的)服务的inetd.conf代替标准的inetd.conf文件。19. 在漫长的Unix岁月中，in.fingerd暴露出某些安全问题，如果你确实需要提供 finger服务，应该以nobody身份启动它，而不是root身份。考虑修改 /etc/inetd.conf配置文件中的入口点以愚弄那些进行finger探测的人 # finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd finger stream tcp nowait nobody /bin/cat cat /etc/drexx-pgp.txt 20. 缺省情况下，syslog提供了最小程度的系统日志功能，修改/etc/syslog.conf文 件，使得syslog记录更多日志信息，根据日志重要程度分别记录到不同地方。任 何与安全相关的日志信息应该加密后存放到文件中。不幸的是，必须重启syslog 才能读取新的配置文件。 译者: syslogd(1M)手册页上说kill -HUP可以迫使重读/etc/syslog.conf文件，但是在Solaris 2.6/7的测试中的确发现某些情况下只有重启syslog才能让新配置文件生效，原因未明，建议如有可能先杀掉当前syslog进程，然后重启之。21. 用如下命令设置对EEPROM的口令保护 # /usr/sbin/eeprom security-mode=command 此时Stop-A进入ok状态后，只能执行boot和go命令，其余命令需要口令认证。不 幸的是，这样做并不能真正保护机器的安全性，那些物理接近主机的人可以打开 机箱替换EEPROM。一般来说，替换EEPROM的同时导致hostid变化，记录本机原始 hostid，确认EEPROM未被替换。 译者: 显然这里的说法有误，在Stop-年进入ok状态后，可以手工修改hostid成任意所期望的值。22. 网卡混杂模式使得本机可以监听那些目标地址不是本机的报文。一般来说，运行 snoop应用程序的时候，网卡进入混杂模式，如果你自己并没有运行snoop，而你 的网卡已经进入混杂模式，很有可能一个黑客进入你的系统并正在监听本机所在 子网。ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/提供的工具可以 检查本机网卡是否处在混杂模式。 译者: 对于Solaris 2.6/7，这个工具无效，并不能真正检测到混杂模式的存在。可以考虑modinfo | grep -i bufmod以及modinfo | grep -i pfmod。只要使用snoop，就会加载前者，如果指定了过滤规则，后者也将被加载。此外，对于Solaris 8，可以用netstat -k hme0查看网卡是否处在混杂模式。23. 缺省情况下，/etc/dfs/dfstab文件中列出的所有文件系统将被输出到外界。 在mount点上指定”nosuid”选项，使得setuid程序的setuid设置失效。 如果通过rpcbind做nfs mount，本机mount守护进程认为mount请求来自本机而允 许这个操作，CERT曾经发布过关于这个漏洞的描述和解决办法。采用那些不支持 转发mount请求的rpcbind。 尽可能采用安全RPC，常规”AUTH_UNIX”验证机制依赖于远程IP地址和远程用户UID 做身份鉴别，这很容易伪造、欺骗。 尽可能关闭NFS服务，NFS传输过程是明文的，即使使用”AUTH_DES”或者 “AUTH_KERB”验证机制，所以通过NFS协议传输的任意文件很容易被监听窃取。 可以通过程序暴力猜测根mount点的文件句柄，从而越权获取NFS服务端输出的任 意文件。应该采用/usr/sbin/fsirand命令随机化那些与NFS服务输出相关的i节点 号，参看fsirand(1M)手册页。24. Solaris 2.x开始携带新版sendmail，当然，还是几个月就会报告新的BUG。下列 操作有助于加强sendmail的安全性 获取最新版Berkeley sendmail(ver 8.9.x) 考虑使用smrsh或者Checkpoint’s SMTP Security Server of FW-1 删除/etc/aliases中的decode设置 chmod 0644 /etc/mail/aliases 考虑使用一个基于代理的防火墙，带有SMTP过滤功能，过滤不必要的SMTP命令25. NIS是一个不安全的分布式名字服务。NIS+如果配置得当将更安全些。如果域名被 猜测到，NIS将暴露表中所有信息。为了阻止这个漏洞，将可信任的主机/网络地 址放到/var/yp/securenets文件中。也可以考虑使用安全RPC或者NIS+。最后，不 要在NIS表中包含root以及其他系统帐号的信息。26. Solaris 2.5 ftpd(1M)的配置指南少了一些内容 cp /etc/nsswitch.conf ~ftp/etc 确保~ftp所在文件系统mount上来的时候指定了”nosuid”选项 ~ftp目录下所有文件属主都不应该是”ftp” 更多细节参看匿名ftp配置指南27. 使X更加安全 在Secure RPC中使用SUN-DES-1选项传递X鉴别/授权信息 xhost +user@host28. 激活SUN-DES-1鉴别 set DisplayManager*authorize: true set DisplayManager._0.authName: SUN-DES-1 rm ~/.Xauthority 通过命令 xauth local/unix:0 SUN-DES-1 unix.local@nisdomain 和 xauth local:0 SUN-DES-1 unix.local@nisdomain 增加local host的访问许可 通过命令 xinit — -auth ~/.Xauthority 启动X 通过命令 xhost +user@ +unix.local@nisdomain -local -localhost 增加自己并删除所有其他用户 现在给用户”foo”访问主机”node”的权限 在主机”node”上执行 xhost +foo@ 通过命令 xauth add node:0 SUN-DES-1 unix.node@nisdomain 为用户”foo”创建适当的xauthority “foo”用户现在可以通过命令 xload -display node:0 连接到主机”node”29. 用命令showrev -p显示当前安装到系统中补丁，检查Sun的安全相关的补丁列表。 下载安装所有相关安全补丁。定期重新检查补丁列表。并非所有机器都需要安装 所有安全补丁，但是那些敏感的、暴露出来公共访问的主机，应该时刻安装最新 安全补丁。30. 用ftp://qiclab.scn.rain.com/pub/security/xinetd代替inetd，前者在日志功 能上有所加强。31. xntp比ntp(网络时间协议)更安全32. 总是可以从Berkeley获取最新(也更安全)的sendmail，包括smrsh，后者用于执行 任意通过sendmail激活的程序。33. 用支持类似tcpwrapper功能的rpcbind代替Solaris标准rpcbind，同时可以通过 rpcbind禁止NFS访问。34. 不幸的是，Solaris没有携带passwd+和npasswd，它们用于代替passwd，防止系统 中出现愚蠢的口令(简单、容易猜测)。Crack程序可以检查/etc/shadow文件中的 弱口令，通常能穷举出10%的口令明文。35. 用wu-ftp代替标准的ftpd守护进程，前者提供了扩展的日志功能和访问控制。 译者: 同时意味着其他未知风险的介入，很有可能无法立即得到修正。36. noshell是一个程序，可以指定在帐号的shell域，此时该帐号永远无法登录进入 系统，同时还会向日志系统报告登录企图。37. 如果在/etc/default/login文件中有如下行 CONSOLE=/dev/null 将只允许普通用户在console登录然后su成root，当存在多个系统管理员的时候， 这种设置提供了更好的安全性。38. Solaris自己携带的标准bind存在已知安全漏洞，新版bind修正了这些漏洞。也可 以从Sun获取针对bind 4.9.3版的补丁。bind 4.9.4pl修正了更多安全漏洞，，将出 现在Solaris 2.6中39. root帐号的PATH环境变量中永远不应该包含当前目录”.”，根据所使用的不同 shell检查下列文件 /.login /.cshrc /.profile40. 从/etc/aliases文件中删除”decode”别名。该文件应该为root拥有，权限是064441. /etc/utmp文件不应该是全局可写的 # chmod 644 /etc/utmp42. 除了root帐号不应该有其他UID为0的帐号43. 除非你的主机需要接收邮件，否则不必启动sendmail。下列命令将彻底停止 sendmail进程 # /etc/rc2.d/S88sendmail stop # mv /etc/rc2.d/S88sendmail /etc/rc2.d/s88sendmail44. 使用类似tripwire的安全检测程序，可以从如下链接获取 45. 防火墙主机不应该使用NIS，无论是client还是master。如果防火墙主机已经配置 成NIS master或者client，最简单的办法是重装操作系统。 如果必须将防火墙主机配置成NIS master使用，它不应该使用NIS处理口令信息， 确认/etc/nsswitch.conf文件中存在如下行 passwd: files 而不是 passwd: files nis 如果必须将防火墙主机配置成NIS client使用，它应该使用固定的服务器列表(参 看ypinit -c)，而不是使用广播方式寻找服务器。46. 防火墙主机不应该使用NFS，无论是client还是server 如果必须将防火墙主机配置成NFS server，应该将输出的文件系统限制成只有特 定主机才能访问。尽可能只读输出文件系统，比如，在/etc/dfs/dfstab文件中 share -F nfs -o ro=trusted_clients /logs 如果必须将防火墙主机配置成NFS client，记得总是使用”nosuid”选项做mount操 作，比如 mount -F nfs -o nosuid,bg trustserver:/home /trustserver_home47. 在安装完所有安全补丁后应该重启机器使之生效48. 从获取Sun安全补丁到尽头，也许快乐，或有时孤独，如果心在远方，