SUN系統的基本安全配置

火星人 @ 2014-03-12 , reply:0


    一個SUN系統就象和NT系統一樣,容易受到來自internet的各種可惡的攻擊。幸運
的是,不象NT,你可以用以下三個簡單的手段把SUN變的相對安全些,它們是:

1)防止堆棧溢出
2)關閉不用的服務
3)給系統打補丁

#1 防止堆棧溢出

至少90%以上的安全問題都是來自所謂的「堆棧溢出」。攻擊者通過給一個以root身份
運行的程序提供比它所預期的輸入多得多的東西,使被攻擊程序無法處理而改變執行
流程去執行攻擊者指定的代碼。

Solaris 2.6和Solaris 7都具備把用戶堆棧設成不可執行的能力,以使這種攻擊不
能得逞。要使能這個特點:

0)變成root
1)對/etc/system文件做個拷貝

cp /etc/system /etc/system.BACKUP

2)用你最鍾愛的編輯器編輯/etc/system文件
3)到文件的最後,插入以下幾行:

set noexec_user_stack=1
set noexec_user_stack_log=1

4)保存文件,退出編輯器

一旦重啟機器,這些改變就會生效。如果這不是一個你可以關閉的系統,那麼你用
adb來改變一個運行中的系統的參數也是可能的,但這不是我個人樂意去乾的事。

當然會有些合法使用可執行堆棧的程序在你做出如上改變后而不能正常運行。所幸
的是這樣的程序的並不多,我所知的就只有GNU ada 編譯器。

#2 在inetd.conf中關閉用不著的服務

有許多用不著的服務自動的處於使能狀態。它們中可能存在的漏洞將使攻擊者甚至
不需要一個賬戶就能控制你的機器。關閉這些不需要的服務來保護你的系統,你可
以用如下方法來關閉:

0)變成root
1)對inetd的配置文件/etc/inetd.conf做個拷貝

cp /etc/inetd.conf /etc/inetd.conf.BACKUP

2)編輯/etc/inetd.conf文件
未被激活的服務是在前面被「#「符號註釋掉的,舉個例子,你的部份inetd.conf可能
是這樣的:

# Tnamed serves the obsolete IEN-116 name server protocol.
#
name dgram udp wait root /usr/sbin/in.tnamed in.tnamed

不需要這個服務,因為你們中的99.999%不會用到這個「已經被廢棄的IEN-116名字服務
協議「,把這個註釋掉以後,這行看起來會象是:

# Tnamed serves the obsolete IEN-116 name server protocol.
#
#name dgram udp wait root /usr/sbin/in.tnamed in.tnamed
^
|
看到這個新的「#」 符號了吧

我建議註釋掉幾乎所有的服務,只留下:

ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
time stream tcp nowait root internal
time dgram udp wait root internal
echo stream tcp nowait root internal
echo dgram udp wait root internal
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
daytime dgram udp wait root internal
rstatd/2-4 tli rpc/datagram_v wait root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd
fs stream tcp wait nobody /usr/openwin/lib/fs.auto fs
100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd

在只需要不多圖形操作的伺服器或是要保證相當的安全,你也許應該關掉字體服務fs,也可以
關掉系統性能監視器rstatd和tooltalk伺服器ttdbserverd。事實上在確實需要安全的機器上
你甚至應該註釋掉telnet和ftp。

你可以用grep找出機器能過inetd所提供的服務:

grep -v "^#" /etc/inetd.conf

這將返回/etc/inetd.conf中所有沒被註釋掉的行。

3)在/etc/inetd.conf中做出改變之後,找到inetd進程的id號,用kill向它發送HUP信號來刷新
它。一定要確保kill了inetd進程后,它還在運行,例如:

root@multics: ps -ef | grep inetd
root 196 1 0 15:32:14 ? 0:00 /usr/sbin/inetd -s
root@multics: kill -HUP 196
root@multics: ps -ef | grep inetd
root 196 1 0 15:32:14 ? 0:00 /usr/sbin/inetd -s

#3 給系統打補丁

跟所有的複雜系統一樣,SUN有它的漏洞,其中的一些從性質上來說是相當嚴重的。SUN公司有向
它的客戶甚至是沒有技術支持的客戶提供補丁的優良傳統。這些補丁或者以集合包或者以單個補
丁的形式存在的。不幸的是,要完全修補你的系統,既需要大的補丁集合包,又需要單個的補丁。
然而我們將介紹一種把補丁包和單個補丁結合起來使用的方法。

1)變成root
2)鍵入

umask 022

來設置你的許可模式--給系統打補丁不僅要求所有的補丁被"nobody"用戶可讀,而且包括補丁之
前的所有目錄(不要問為什麼,反正是一般這麼乾的)。

3)創建一個叫「patch「的目錄,並進入它,我一般是這樣做的:

mkdir /var/tmp/patch
cd /var/tmp/patch

在你建「patch「目錄的文件系統中要保證有足夠的磁碟空間(提示:你可以試著鍵入

df -k

來看看文件系統上可用的磁碟空間,不要用/tmp!

4)用ftp連接sunsolve站

ftp sunsolve.sun.com

你的登錄用戶名是「anonymous「,口令是你的電子郵件地址。

5)轉到二進位模式,鍵入:
bin
關閉提示,鍵入:
prompt

--你不需要為下載每個補丁回答」是,我需要下那個補丁「 。

6)補丁位於sunsolve站的/pub/patches目錄,所以鍵入:

cd /pub/patches

7)得到對應於你操作系統版本的PatchReport文件,你可以用以下命令列出那些文件:

ls *.PatchReport

例如:
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-
ftp> ls *.PatchReport
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
Solaris1.1.1.PatchReport
Solaris1.1.2.PatchReport
Solaris1.1.PatchReport
Solaris2.3.PatchReport
Solaris2.4.PatchReport
Solaris2.4_x86.PatchReport
Solaris2.5.1.PatchReport
Solaris2.5.1_x86.PatchReport
Solaris2.5.PatchReport
Solaris2.5_x86.PatchReport
Solaris2.6.PatchReport
Solaris2.6_x86.PatchReport
Solaris7.PatchReport
Solaris7_x86.PatchReport
226 Transfer complete.
remote: *.PatchReport
360 bytes received in 0.0044 seconds (79.16 Kbytes/s)
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-

對x86和sparc文件有不同的補丁報告文件,sparc版本的是那些沒有「x86「字樣的。

8)得到一份補丁報告文件,比如:

get Solaris2.6.PatchReport

9)得到一份對應於你系統版本的推薦補丁集合包和它的README文件,可以用如下命令
列出推薦的文件:

ls *Recommended*

輸出可能是這樣的:
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-
ftp> ls *Recommended*
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
2.3_Recommended.README
2.3_Recommended.tar.Z
2.4_Recommended.README
2.4_Recommended.tar.Z
2.4_x86_Recommended.README
2.4_x86_Recommended.tar.Z
2.5.1_Recommended.README
2.5.1_Recommended.tar.Z
2.5.1_x86_Recommended.README
2.5.1_x86_Recommended.tar.Z
2.5_Recommended.README
2.5_Recommended.tar.Z
2.5_x86_Recommended.README
2.5_x86_Recommended.tar.Z
2.6_Recommended.README
2.6_Recommended.tar.Z
2.6_x86_Recommended.README
2.6_x86_Recommended.tar.Z
7_Recommended.README
7_Recommended.zip
7_x86_Recommended.README
7_x86_Recommended.zip
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-

你可以用mget命令把推薦文件和readme都拿下來,比如:

mget 7_x86_Recommended*

這可能要等上一會兒。

10)在下載推薦文件的時候,你可以打開補丁報告文件看看,裡面會有關於安全修補的一節
可能是這樣的:
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-

Solaris 2.5.1 Patches Containing Security Fixes:
------------------------------------------------

103594-19 SunOS 5.5.1: sendmail fixes
103603-10 SunOS 5.5.1: ftp, in.ftpd, in.rexecd and in.rshd patch
103627-11 SunOS 5.5.1: Linker patch
103630-14 SunOS 5.5.1: ip ifconfig arp udp icmp patch
106689-01 * SunOS 5.5.1: /usr/sbin/in.uucpd patch
106905-01 * SunOS 5.5.1: apropos/catman/man/whatis patch
103566-43 OpenWindows 3.5.1: Xsun patch
106411-06 * OpenWindows 3.5.1: xdm patch
(& c.)
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-

「*「標記的補丁沒有包括在推薦補丁集合包里,我們要把它們包括進來。

11)當推薦補丁集合包下載完后,你需要下載補丁報告中所標記的單個補丁,最快的方法是
用mget,這樣用:

mget 106689* 106905* 106411*

重要:你可能想用一個mget命令得到所有的補丁,但mget的參數的個數是有限制的!

而且,我並沒有指定版本號,這不僅僅是為了少輸入字元和得到相關的README文件,也是因為
在補丁報告發布過程中,版本號可能是會變化的。

12)下載完所有的東西后,鍵入:

quit

來結束ftp會話。

13)到現在,你已經下載了補丁集合包和單個補丁,因為繼續下去打單個的補丁包太費體力,我
們將先把補丁包和單個補丁合併起來。

首先解壓補丁包:

如果你用的是Solaris 2.6或更早的,

uncompress 2*Recommended.tar.Z
tar -xvf 2*Recommended.tar

如果用的是Solaris 7,

unzip 7*Recommended.zip

其次,把所有的單個補丁移到你的建立的Recommended目錄:

mv 1* *Recommended

然後,進到保存有全部補丁的Recommended目錄:

cd *Recommended

14)現在我們可以把所有單個的補丁加到patch_order文件中,在這個文件中列出
了所有將被install_cluster腳本安裝的補丁,你可以手工把它們加進去(提示:
這是錯誤的選擇)或者用UNIX的命令工具來幫你做這件事。

如果你是Solaris 7,用下面的命令:

ls *.zip | cut -d"." -f1 >> patch_order

如果是Solaris 2.6或以前的:

ls *.tar.Z | cut -d"." -f1 >> patch_order

15)現在是解壓所有單個補丁包的時候了,因為它們還是壓縮格式的。

A)如果你用Solaris 7,你可以用unzip一次解壓一個文件:

unzip 108723.zip

討厭的是,你不能用「unzip *.zip「,因為unzip不能這樣工作,為了避免多次地輸入
unzip,你可以用下面的UNIX命令讓unzip為你解壓所有的東西:

ls *.zip | xargs -n1 unzip

B)如果用的是Solaris 2.6或更低的,鍵入:

uncompress *.tar.Z

現在你必須用tar分離出單個的補丁,你可以用以下命令一次處理一個文件:

tar -xvf 108723.tar

討厭的是,你不能用「tar -xvf *.tar「,因為tar不能這樣工作,為了避免多次地輸入
tar,你可以用下面的UNIX命令讓tar為你分離所有的東西:

ls *.zip | xargs -n1 tar -xvf

16)到現在所有的補丁都準備好了,關閉計算機:

/usr/sbin/shutdown -y -g0 -i0
啟到到單用戶模式,
對sparc:
boot -s

對x86, 啟動時, 鍵入:

b -s

系統引導后,在提示符后輸入root口令后,鍵入:

mountall

來mount所有的文件系統。

然後輸入:

cd /var/tmp/patch/*Recommended

進到保存所有補丁的目錄,現在你可以鍵入以下命令來安裝「所有」的補丁了:

./install_cluster

跟著提示做就行了。如果這是個Solaris 2.5.1或是個Solaris 2.6的系統,可以走
開搞杯咖啡喝喝,因為要花點時間的。不要太擔心補丁安裝過程中的錯誤,很多時
候出現錯誤是因為你沒有安裝一個特定的軟體或已經打了某個補丁。

打完補丁后,關機重啟,輸入:

/usr/sbin/shutdown -y -g0 -i6

好了,現在你就有了一個修補過的系統了。




[火星人 via ] SUN系統的基本安全配置已經有86次圍觀

http://www.coctec.com/docs/unix/show-post-73989.html