另外还有一些好的建议,就是在启动时为用户设定安全的umask,下面的script就是做这事儿的: umask 022 # make sure umask.sh gets created with the proper mode echo "umask 022" > /etc/init.d/umask.sh for d in /etc/rc?.d do ln /etc/init.d/umask.sh $d/S00umask.sh done Note: 脚本名称中的".sh"是必需的,这样脚本才会在本shell而不是它的子shell中执行。 删除/etc/auto_*文件,删除/etc/init.d/autofs可以防止automounter在启动时就运行。 删除/etc/dfs/dfstab,清除/etc/init.d以防止机器成为NFS服务器。 删除crontab文件,你可以将/var/spool/cron/crontabs中属主root以外的文件全部删除。 使用静态路由,建立/etc/defaultrouter来维护之,以避免spoof。如果你必须通过不同的网关,考虑增 加/usr/bin/route命令于/etc/init.d/inetinit以取代运行routed。 当地切完成时,重启机器,彻底地查看进程,ps -ef的输出应该是这样的: UID PID PPID C STIME TTY TIME COMD root 0 0 55 Mar 04 ? 0:01 sched root 1 0 80 Mar 04 ? 22:44 /etc/init - root 2 0 80 Mar 04 ? 0:01 pageout root 3 0 80 Mar 04 ? 33:18 fsflush root 9104 1 17 Mar 13 console 0:00 /usr/lib/saf/ttymon -g -h -p myhost console login: -T sun -d /dev/console -l co root 92 1 80 Mar 04 ? 5:15 /usr/sbin/inetd -s root 104 1 80 Mar 04 ? 21:53 /usr/sbin/syslogd root 114 1 80 Mar 04 ? 0:11 /usr/sbin/cron root 134 1 80 Mar 04 ? 0:01 /usr/lib/utmpd root 198 1 25 Mar 04 ? 0:00 /usr/lib/saf/sac -t 300 root 201 198 33 Mar 04 ? 0:00 /usr/lib/saf/ttymon root 6915 6844 8 13:03:32 console 0:00 ps -ef root 6844 6842 39 13:02:04 console 0:00 -sh /usr/lib/sendmail守护程序并没有打开,因为你不必总在25端口监听mail的列表请求,你可以在root的 crontab文件中增加: 0 * * * * /usr/lib/sendmail -q > /var/adm/sendmail.log 2>&1 这条命令要以每小时调用sendmail进程处理排队中的邮件。 5.4) 安装第三方软件 你需要的第一个软件是TCP Wrappers软件包——由Wietse Venema写的,它提供了一个小的二 进制文件叫tcpd,能够用它来控制对系统服务的进出——比如telnet及ftp,它在/etc/inetd.conf 中启动,访问控制可以由IP地址、域名或者其它参数来限制,并且tcpd可以提升syslog的记录 级别,在系统遇到未经认证的连接时,发送email或者警告给管理员。 然后安装S/Key来控制远程连接的安全性,可以在Q5.6中看到详细的配置方法。 如果你打算打开ftp服务(不管是匿名ftp或者是出了管理目的),你需要取得一份WU-Archive ftp, 最好要拿到它的最新版本,否则会有一些安全漏洞存在,如果你认为需要管理员的远程登陆服务的 话,可能得修改S/Key来支持ftp daemon。在Crimelabs S/Key的发行版本中,你可以在找到 S/Key/misc/ftpd.c,这个C程序示范了如何让S/Key支持WU-Archive ftp,你可以对新版的WU-FTP 做类似的改动,当然你可能要阅读wu-ftp FAQ以增加了解。 编译并且安装了这些二进制文件后(tcpd, wu-ftpd及keyinit, keysu,keysh),它们会被安装在 /usr/local/bin中,当编译wu-ftpd时你需要指定一个配置文件及日志的存放目录,我们推荐你将 配置文件放在/etc下,将日志文件放在/var下,Q5.7更详细地说明了wu-ftp的配置。 用/noshell来阻止那些不想让他们进入的帐号,让/noshell成为那些人的shell。这些帐号不允许登陆 并且会记录下登陆的企图,入侵者无法通过这种帐号入侵。 5.5) 限制通过网络进入系统 telnet和ftp守护进程是从inetd进程启动的,inetd的配置文件是/etc/inetd.conf,还包含了其它 的各种服务,所以你可以干脆移去这个文件,新建一个只包括以下两行的文件: ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd 当然这是基于你需要telnet及ftp的基础上的,如果你连这两个服务都不用的话,你就可以将它注释 掉或者删除,这样在系统启动的时候inetd甚至就起不来了:) tcpd的访问控制是由/etc/hosts.allow和/etc/hosts.deny文件控制的,tcpd先查找/etc/hosts.allow ,如果你在这里面允许了某几台主机的telnet或ftp访问的话,那么deny访问就是对其它所有机器的了。 这是“默认拒绝”的访问控制策略,下面是一个hosts.allow文件的样本: ALL: 172.16.3.0/255.255.255.0 这将允许172.16.3.0网络的主机上任何用户访问你的telnet及ftp服务,记住在这里要放置IP地址,因 为域名比较容易受到欺骗攻击…… 现在我们准备拒绝其余所有人的连接了,将下面的语句放在/etc/hosts.deny中: ALL: ALL: /usr/bin/mailx -s "%d: connection attempt from %c" root@mydomain.com 这条指令不仅拒绝了其它所有的连接,而且能够让tcpd发送email给root——一旦有不允许的连接尝试 发生时。 现在你可能希望用syslog记录下所有的访问记录,那么在/etc/syslog.conf放进如下语句: auth.auth.notice;auth.info /var/log/authlog 注意两段语句间的空白是tab键,否则syslog可能会不能正常工作。 Sendmail将用以cron来调用sendmail来替代。 5.6) 配置S/Key S/Key是一个用于实现安全的一次性口令方案的软件,它根据一系列信息(包括一个秘密口令)通过MD4 处理而形成的初始钥匙,该初始钥匙再交给MD4进行处理,资助将128位的数字签名缩成64位,该64位信息 再次传给MD4函数,这个过程一直持续直到达到期望值…… 开始使用S/Key时,要建立一个以/usr/local/bin/keysh为shell的帐号: 在/etc/passwd中加入 access:x:100:100:Access Account:/tmp:/usr/local/bin/keysh 并且在/etc/shadow中加入 access:NP:6445:::::: 然后使用passwd access命令来设定用户的访问密码。 由于/usr/local/bin/keysh不是一个标准的shell,所以你的/etc/shells文件中内容如下: /sbin/sh /usr/local/bin/keysh 只有使用这两种login shell的用户才允许接入。 然后建立一个文件/etc/skeykeys并赋予一定的许可权限: touch /etc/skeykeys chmod 600 /etc/skeykeys chown root /etc/skeykeys chgrp root /etc/skeykeys 使用keyinit access命令来初始化S/Key秘密口令。 现在你可以配置允许用户通过keysu命令来成为超级用户,首先改变/etc/group: root::0:root,access 只有在这里列出来的用户才允许通过keysu成为超级用户。现在你可以使用不着keyinit root命令来初 始化超级用户的S/Key秘密口令,我建议该口令要与user的有所区别。 本来你可以将/bin/su删掉以确定用户只能使用keysu……,但不幸的是,许多脚本使用/bin/su来开启 进程,所以你只需用chmod 500 /bin/su来改变它的权限就行了。 5.7) 配置wu-ftp 配置wu-ftp需要经验:),当你编译wu-ftpd时,你需要指定一个存放配置文件的地方,这个文件夹里将 包含一个pid文件夹和三个文件,一个ftp conversions文件可以是空的,但不能没有,还有ftpusers文 件包含了所有在password文件中存在但不允许登陆系统ftp的用户名称,也就是如uucp、bin之类的系统 帐号都将应该被限制。root最好是永远都被扔在这里面:)。 最后一个文件是ftpaccess: class users real 172.16.3.* log commands real log transfers real inbound,outbound 这将允许从172.16.3.0的任何用户ftp而拒绝所有其它的,所有的文件与命令将被记录下来,并且存放 在你指定的记录文件目录。 至于建立匿名FTP,你要小心,因为很容易配置错误。 建立一个特殊帐户如: ftp:*:400:400:Anonymous FTP:/var/spool/ftp:/bon/false 因为使用了chroot()功能,必须建立一个小的文件系统,包含了bin\etc\pub目录: 这里面要注意的有: 确保bin及etc下的所有文件属主都是root,且任何人不可写,只有执行权限,最好另外拷贝 一份passwd到ftp的etc中,即使被入侵者得到了,也不会泄露太多信息。 详细配置情况还需要看关于wu-ftp的faq。 5.8) 限制对文件及文件系统的存取权限 下载并使用fix-modes,这个程序会将系统里不安全的文件存取权限(文件/目录)找出来。 使用nosuid参数来配置/etc/vfstab,以防止setuid程序从UFS文件系统执行 /proc - /proc proc - no - fd - /dev/fd fd - no - swap - /tmp tmpfs - yes - /dev/dsk/c0t3d0s1 - - swap - no - /dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0 / ufs 1 no remount,nosuid /dev/dsk/c0t3d0s4 /dev/rdsk/c0t3d0s4 /usr ufs 1 no ro /dev/dsk/c0t3d0s5 /dev/rdsk/c0t3d0s5 /var ufs 1 no nosuid /dev/dsk/c0t3d0s6 /dev/rdsk/c0t3d0s6 /local ufs 2 yes nosuid 5.9) 测试配置 重启你的机器,确定下面这些东西: 你可以从你配置为允许tcpd连接的机器telnet及ftp到你的server。 尝试从其它未被允许的机器进入,应该会拒绝并email告知当事人。 你只能以user的身份远程telnet或者ftp上站,不能以root登陆。 用户可以通过/usr/local/bin/keysu成为超级用户。 ps -ef只有少量的进程显示,最好不要有sendmail和各种NFS进程。 touch /usr/FOO会得到错误提示,因为文件系统是ro的。 成为超级用户,将ps命令复制到/,要保持它的setuid位,然后删除它的二进制文件。 好了,祝贺你,你已经建立了一个比较安全的系统了:) 5.10) 最后:一些建议 使用XNTP来确定精确的时间。 在你把机器放到网上前,用tripwire和MD5做一个校验,如果系统被入侵,你可以通过保存的校验和 来判断哪些程序被替换掉了。 考虑使用进程记录来记来系统里占用资源的情况。 定期改变你的S/Key secrets并且选择一个好的密码,在各地方的密码最好不要一样…… |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-30 21:25 , Processed in 0.158628 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.