没有合适的资源?快使用搜索试试~ 我知道了~
Solaris安全操作指南.doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 131 浏览量
2022-05-17
10:26:53
上传
评论
收藏 91KB DOC 举报
温馨提示
试读
22页
Solaris安全操作指南.doc
资源推荐
资源详情
资源评论
Solaris 安全操作指南
第一章Solaris 系统安全安装
1.1安装步骤
下面将以安装 Solaris8为例,描述系统安装的过程及相关的安全注意事项。请系统管理员
在安装系统前,认真阅读 Sun 公司提供的系统安装指南和参考手册,了解系统安装的基本
操作步骤。
断开网络连接
请确定网络是断开,即网线没有接入网络中。如果用户希望自动配置 NIS 服务,则需要网
络处于连通状态,但是这样做会带来一些安全隐患,因为在安装期间,RPC 服务处于启动
状态,存在潜在的安全威胁。建议在系统处于安全保护状态下,才将系统联入网络。
Openboot 口令和安全
请首先插入 CD。为了防止无关人员执行 EEPROM 上的命令,请在 OK 提示符下,使用命
令"setenv"设置 EEPROM 的安全模式为”command”,并设置相应的口令,要求口令至少为
8 位,必须有字母、数字和标点,不能使用名字、完整的英文单词或生日作为口令。下面
是一个示例:
oksetenvsecurity-modecommand
security-mode=command
请再次确定已经设置了 EEPROM 的安全模式和口令,并且口令满足一定的复杂读要求。
·OKbootcdrom
在 OK 状态下,设置系统启动设备为 CD-ROM。
开始 Solaris安装程序
进入系统安装初期,请系统管理员按照 SUN 公司提供安装手册所描述的步骤进行。在系
统安装 min-root,并进入 StartWeb 安装环境后,系统管理员注意下列安全事项:
1.设置 root 口令
设置一个强壮的 root 的口令,使其符合复杂性要求,即口令长度必须为 8 位,包含数字、
字母和标点,不能为完整的英文单词或句子。
2.选择系统安装的类型
选择系统安装的类型是系统安装中关键一步,系统管理员需要根据系统安装的策略和最小
化原则选择相应的系统软件包。
强烈建议:系统安装选择自定义核心组(coregroup)软件包,并且不安装附带软件和附
加产品。
下一步是选择群集和包,在自定义核心组的默认选择的软件包基础上,可以增加如下软件
包:
软件包编号
软件包描述
备注
SUNWast
通过监视或限制对系统文件和目录的访问来提高系统安全性的管理公用程序
此为 SUN 提供的安全工具,具体使用可以参阅有关手册
关于 Solaris8系统安装的软件包信息,请系统管理员参阅附录 3,以便根据具体应用选取
相应的软件包。
3.网络配置
如果系统需要 DHCP 或 NIS,则需要将系统接入网络,注意接入网络的时间要尽可能短,
如果配置 DHCP 或 NIS 完毕,请暂时将网络再次断开。下一步是选择 IP 或 DHCP,这里
会询问是否安装 IPv6,除非必要,否则禁用。同时,SUN 的建议是安装所需要的所有服
务,因为服务安全的,但是不要采用这个选项。后期在配置服务和网络的时候会证明前者
的做法是会带来安全问题的,因为在默认安装后,系统将开放 RPC、aotumount、NFS 等
可能不必要且有潜在危险的服务。
4.名字服务配置
下一步是配置 NIS,建议最好不要使用 NIS,除非必要。不要在安装中配置 DNS,因为在
安装时,系统要求联网以便校验 DNS 服务。系统就暴露在不安全的网络环境下了。建议
在系统完成安装,并且根据本手册提供的方法完成系统加固之后,才对 DNS 进行配置。
同样的,如果 DNS 服务的配置是必要的,那么系统接入网络的时间要尽可能的短,配置
完毕立即断开网络连接。
5.磁盘分区
首先将/var 分区与 root 分区分开,以防止日志文件耗尽 root 分区的空间。确保 root 分区足
够大,建立一个/var 分区用于存放系统记录文件和 Email 文件等。Swap 分区为 RAM 的 2
倍。通常使用 SUN 的默认配置,需要进行一些调整。建议分为三个区,即/、/opt 和/var。
可以在/opt 区创建/usr/local,以方便备份管理。
6.注意
其它版本的 Solaris 系统安装的顺序可能略有不同,系统管理员可根据具体情况,在上述
相应的安装步骤中做好安全配置工作。
安装服务越少的软件,潜在的安全漏洞就越少,尽量选择最小安装,提高效率。了解更多
关于建立最小安装的信息,请察看 SolarisMinimizationforSecurity。
1.2安装后的工作
关闭不必要的服务
系统在安装 coregroup 后,默认开放如下不必要的服务:
1、NFS
2、RPC
3、automount
4、echo、time、chargen 等 TCP/IP 简单服务
备份系统基本信息
系统安装完成后,系统管理员应该查看和备份系统关键信息,包括系统进程、网络服务信
息、suid/sgid 文件或目录、系统用户等。
安装和启用辅助安全工具
为了提高系统的安全性以及可维护性,建议安装建议的安全辅助工具。
安装补丁程序
在安装完其他系统软件和第三方软件后,马上更新系统补丁程序。并更新 Tripwire 数据库
(如果使用了该软件的话)。
第二章Solaris 系统安全配置
2.1系统安全配置的原则
Solaris 的安全配置可以从以下几个方面来考虑:
2.1.1本地安全增强
包括限制某些命令的访问、设置正确的文件权限、应用组和用户的概念、suid/sgid 的文件
最少、rw-rw-rw 的文件最少等。
2.1.2网络安全增强
包括使用安全的协议来管理、禁止所有不需要的服务、禁止系统间的信任关系、禁止不需
要的帐号、增强认证需要的密码、保护存在危险的网络服务、限制访问等。
2.1.3应用安全增强
包括限制用户的权限、限制进程所有者的权限、检查应用相关文件权限、限制访问其他系
统资源、应用所依赖的 suid/sgid 文件最少、使用应用本身的安全特性、删除 samples 和其
他无用的组件等。
2.1.4监控与警报
包括日志、完整性、入侵检测等一些使用工具等。
2.2主机的基本安全配置
主机的基本安全配置包括以下主要内容:
1、系统补丁更新
2、控制台安全
3、文件系统安全
4、用户管理
5、系统启动与关闭
6、内核调整
7、日志与审核
8、其它
2.2.1系统补丁更新
及时更新系统补丁是系统管理员做好日常维护的一项重要工作。更新系统补丁的目的,除
了满足某些兼容性的要求外,它的主要目的是修补系统的安全漏洞,避免系统漏洞被入侵
者所利用。系统补丁包括操作系统的补丁,以及其它应用服务软件的补丁,诸如 WEB 服
务、DNS 服务、邮件服务、数据库等等。
1、强烈建议定期从操作系统提供商或应用软件提供商的官方网站下载最新的系统补丁
集,SUN 的操作系统补丁列表可以以下网站获取:
ftp://sunsolve1.sun.com/pub/patches/
http://sunsolve1.sun.com/
2、完整性检查,使用校验工具检查下载的补丁软件是否被篡改,以防止补丁软件感染
病毒或植入木马程序。建议使用 MD5 检验工具(一般的 SUN 提供的补丁包内会有一个
MD5 校验数据文件,可以使用 MD5 校验工具计算文件的 MD5 值与之对照)。
3、如果条件允许的情况下,建议最好先做补丁修补实验,因为某些补丁可能会影响部
分服务的正常运行;
4、在安装系统补丁软件后,建议按照本手册提供的方法和步骤对系统配置进行安全检
查,因为某些系统补丁安装后可能会启动系统的默认配置,使系统状态发生变化,可能会
导致系统服务异常或者使系统开放了某些不必要的服务而违背系统最小化原则。
另外,系统管理员可以使用 showrev-p 命令查看系统补丁修补情况,示例如下:
[root]$showrev-p
Patch:106541-16Obsoletes:106832-03,106976-01,107029-01,107030-01,107334-u
Patch:106793-07Obsoletes:Requires:Incompatibles:Packages:SUNWcsu,SUNWa
Patch:107544-03Obsoletes:Requires:Incompatibles:Packages:SUNWcsu,SUNWr
Patch:107451-05Obsoletes:Requires:107117-03Incompatibles:Packages:SUNWu
Patch:107454-05Obsoletes:Requires:Incompatibles:Packages:SUNWcsu
Patch:107792-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsu
Patch:108301-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsu,SUNWa
Patch:108482-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsu
Patch:106950-13Obsoletes:Requires:Incompatibles:Packages:SUNWcsu,SUNWx
Patch:107018-03Obsoletes:Requires:106938-01Incompatibles:Packages:SUNWu
Patch:109253-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsu
Patch:108798-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsu
Patch:108838-02Obsoletes:Requires:Incompatibles:Packages:SUNWcsu
Patch:109744-01Obsoletes:Requires:Incompatibles:Packages:SUNWcsu
Patch:107443-13Obsoletes:Requires:Incompatibles:Packages:SUNWcsu,SUNWc
Patch:107477-03Obsoletes:Requires:Incompatibles:Packages:SUNWcsu
剩余21页未读,继续阅读
资源评论
cailibin
- 粉丝: 4
- 资源: 7015
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功