第一章 Solaris系统安全安装
1.1 安装步骤
下面将以安装Solaris 8 为例,描述系统安装的过程及相关的安全注意事项。请系统管理员在安装系统前,认真阅读Sun公司提供的系统安装指南和参考手册,了解系统安装的基本操作步骤。

断开网络连接
请确定网络是断开,即网线没有接入网络中。假如用户希望自动配置NIS服务,则需要网络处于连通状态,但是这样做会带来一些安全隐患,因为在安装期间,RPC服务处于启动状态,存在潜在的安全威胁。建议在系统处于安全保护状态下,才将系统联入网络。

Openboot口令和安全
请首先插入CD。为了防止无关人员执行EEPROM上的命令,请在OK提示符下,使用命令"setenv"配置EEPROM的安全模式为”command”,并配置相应的口令,需要口令至少为8位,必须有字母、数字和标点,不能使用名字、完整的英文单词或生日作为口令。下面是个示例:

ok setenv security-mode command

security-mode = command


请再次确定已配置了EEPROM的安全模式和口令,并且口令满足一定的复杂读需要。

· OK boot cdrom

在OK状态下,配置系统启动设备为CD-ROM。

开始Solaris 安装程式
进入系统安装初期,请系统管理员按照SUN公司提供安装手册所描述的步骤进行。在系统安装min-root,并进入StartWeb安装环境后,系统管理员注意下列安全事项:

1. 配置root口令

配置一个强壮的root的口令,使其符合复杂性需要,即口令长度必须为8位,包含数字、字母和标点,不能为完整的英文单词或句子。

2. 选择系统安装的类型

选择系统安装的类型是系统安装中关键一步,系统管理员需要根据系统安装的策略和最小化原则选择相应的系统软件包。

强烈建议:系统安装选择自定义核心组(core group)软件包,并且不安装附带软件和附加产品。

下一步是选择群集和包,在自定义核心组的默认选择的软件包基础上,能够增加如下软件包:

软件包编号
软件包描述
备注

SUNWast
通过监控或限制对系统文档和目录的访问来提高系统安全性的管理公用程式
此为SUN提供的安全工具,具体使用能够参阅有关手册


关于Solaris 8 系统安装的软件包信息,请系统管理员参阅附录3,以便根据具体应用选取相应的软件包。

3. 网络配置

假如系统需要DHCP或NIS,则需要将系统接入网络,注意接入网络的时间要尽可能短,假如配置DHCP或NIS完毕,请暂时将网络再次断开。下一步是选择IP或DHCP,这里会询问是否安装IPv6,除非必要,否则禁用。同时,SUN的建议是安装所需要的任何服务,因为服务安全的,但是不要采用这个选项。后期在配置服务和网络的时候会证实前者的做法是会带来安全问题的,因为在默认安装后,系统将开放RPC、aotumount、NFS等可能不必要且有潜在危险的服务。

4. 名字服务配置

下一步是配置NIS,建议最好不要使用NIS,除非必要。不要在安装中配置DNS,因为在安装时,系统需要连网以便校验DNS服务。系统就暴露在不安全的网络环境下了。建议在系统完成安装,并且根据本手册提供的方法完成系统加固之后,才对DNS进行配置。同样的,假如DNS服务的配置是必要的,那么系统接入网络的时间要尽可能的短,配置完毕立即断开网络连接。

5. 磁盘分区

首先将/var分区和root分区分开,以防止日志文档耗尽root分区的空间。确保root分区足够大,建立一个/var分区用于存放系统记录文档和Email文档等。Swap分区为RAM的2倍。通常使用SUN的默认配置,需要进行一些调整。建议分为三个区,即/、/opt和/var。能够在/opt区创建/usr/local,以方便备份管理。

6. 注意

其他版本的Solaris系统安装的顺序可能略有不同,系统管理员可根据具体情况,在上述相应的安装步骤中做好安全配置工作。

安装服务越少的软件,潜在的安全漏洞就越少,尽量选择最小安装,提高效率。了解更多关于建立最小安装的信息,请察看Solaris Minimization for Security。

1.2 安装后的工作
关闭不必要的服务
系统在安装core group后,默认开放如下不必要的服务:

1、 NFS

2、 RPC

3、 automount

4、 echo、time、chargen等TCP/IP简单服务

备份系统基本信息
系统安装完成后,系统管理员应该查看和备份系统关键信息,包括系统进程、网络服务信息、suid/sgid文档或目录、系统用户等。

安装和启用辅助安全工具
为了提高系统的安全性连同可维护性,建议安装建议的安全辅助工具。

安装补丁程式
在安装完其他系统软件和第三方软件后,马上更新系统补丁程式。并更新Tripwire数据库(假如使用了该软件的话)。 第二章 Solaris系统安全配置
2.1 系统安全配置的原则
Solaris的安全配置能够从以下几个方面来考虑:

2.1.1 本地安全增强
包括限制某些命令的访问、配置正确的文档权限、应用组和用户的概念、suid/sgid的文档最少、rw-rw-rw的文档最少等。

2.1.2 网络安全增强
包括使用安全的协议来管理、禁止任何无需的服务、禁止系统间的信任关系、禁止无需的帐号、增强认证需要的密码、保护存在危险的网络服务、限制访问等。

2.1.3 应用安全增强
包括限制用户的权限、限制进程任何者的权限、检查应用相关文档权限、限制访问其他系统资源、应用所依赖的suid/sgid文档最少、使用应用本身的安全特性、删除samples和其他无用的组件等。

2.1.4 监控和警报
包括日志、完整性、入侵检测等一些使用工具等。

2.2 主机的基本安全配置
主机的基本安全配置包括以下主要内容:

1、 系统补丁更新

2、 控制台安全

3、 文档系统安全

4、 用户管理

5、 系统启动和关闭

6、 内核调整

7、 日志和审核

8、 其他

2.2.1 系统补丁更新

文章整理:西部数码--专业提供域名注册虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!