四 DNS
DNS安全问题主要来源是当名字服务器高速缓存了无效数据,且该无效数据将在高速缓存中保留一段时间,从而可能误导查询结果。但多数系统都要使用DNS服务,不能把DNS完全禁止,只能尽量减少DNS缓存的数据和数据缓存时间。DNS的域名服务缓存进程是nscd,他把主机、口令和组等信息进行缓存。Nscd的配置文档是/etc/nscd.conf,应当通过调整其中的参数,把nscd缓存的条目数和缓存时间调到尽可能小。配置文档中Cachename能够是hosts、passwd或groups。
相关参数说明如下:
positive-time-to-live cachename value:是成功的查询在指定的cache中的缓存时间,这个值是以秒为单位。这个值应该调到尽量调小。
negative-time-to-live cachename value:是不成功的查询在指定的cache中的缓存时间,这个值是以秒为单位。这个值也应该调到尽量的小。
keep-hot-count cachename value:是在指定cache中当前的缓存的条目数。一般地,缓存内的条目数应接近24小时内经常访问到的条目数量。
调整完后,执行nscd -g命令,能够确认是否调整成功。示例如下:
[root]$nscd -g nscd configuration: 0 server debug level "/dev/null" is server log file passwd cache: Yes cache is enabled 617 cache hits on positive entries 1 cache hits on negative entries 39 cache misses on positive entries 7 cache misses on negative entries 93% cache hit rate 0 queries deferred 9 total entries 211 suggested size 600 seconds time to live for positive entries 5 seconds time to live for negative entries 20 most active entries to be kept valid Yes check /etc/ file for changes No use possibly stale data rather than waiting for refresh ……
五 NFS
NFS服务器的目录是通过share命令来共享的。要提高NFS服务器共享的安全性,首先要对哪些系统能够装入这个服务器的NFS目录进行限制,而不应把目录开放给任何的系统。尽可能以只读的方式共享目录,同时共享目录应该尽可能地少。最好采用比较强的身份验证方式,如AUTH_DES或AUTH_KERB。 配置nfs特别tcp,udp端口 ndd -set /dev/tcp tcp_extra_priv_ports_add 2049 ndd -set /dev/udp udp_extra_priv_ports_add 2049 默认情况下NFS会对任何UDP端口的请求作出响应,建议配置NFS portmon,那么系统会忽略从非特权端口发出的NFS装入和I/O请求。配置方法为:在/etc/system中加入
set nfssrv:nfs_portmon=1
set nfs:nfs_portmon = 1
六 X window
缺省配置下,系统对X server缺乏有效的访问控制。此时,任何主机上的任何用户都能够打开X窗口并运行任何程式,因此能够连接到X server的客户端应该被严格控制。
尽量不要允许任何主机访问X server。要确保”xhost ”命令没有被包含在系统的任何文档中,包括.xsession文档和域X server有关系的任何脚本中,因为执行”xhost ”命令,会使任何主机都能够访问X server。 确保目录/tmp的访问权限被配置为1777(即drwxrwxrxt),也就是说该目录的sticky位要被配置。该目录的任何者必须设为root。这样只有root才有权限删除文档/tmp/.X11-unix/X0,该文档是X server的一个socket,一旦该文档被删除,用户就不能访问系统的X server。这能够防止恶意用户进行破坏。
七 WEB
以常见的web服务器软件Apache为例,默认安装下,系统将在rc3.d下产生一个启动脚本S50apache,应首先将该脚本更名,并停用相应的守护进程httpd,然后选择如下提供的安全措施以加固系统:
· 在chroot的环境下运行httpd服务,这样服务器就能够控制http客户对系统磁盘的访问。
· 几乎任何的httpd漏洞都是因为CGI配置的错误或不合理造成的,因此若非必要,建议禁用CGI脚本。Cgi-bin目录的属性应配置为755或751。
· 在应用允许的前提下(如httpd端口能够绑定于1024以上,且不采用chroot安全模式),不要以root的身份来运行httpd守护进程,这样即使黑客发现了httpd服务上的安全漏洞,他们也只能以非root用户的身份来访问系统,从而降低系统受损害的可能性。
2.4系统管理员的日常安全工作
2.4.1 安全补丁
系统管理员日常最重要的安全工作,就是给系统打上最新的补丁。
Solaris的安全补丁能够以下官方网站获取:
ftp://sunsolve.sun.com/pub/patches/
2.4.2 监测 操作系统一般由文档系统和进程系统构成,文档系统的特点是静态的,而进程则是动态的。 系统的配置一般是以文档的形式存放的,unix系统的配置文档一般是放置在/etc目录下,如/etc/services为系统能够提供的服务列表、/etc/default/login为系统登录时的默认配置等等。因此,优秀的系统管理员会对系统配置情况有清楚的了解和掌控。例如,系统管理员能够通过查看对于系统当前开放的网络服务情况,检查系统是否有可疑的端口开放,判断是否被入侵者安装了木马程式。可通过如下命令进行查看:
netstat -an | more
Solaris下常见的网络端口服务列表如下:
UDP
111 sunrpc
4045 lockd
517 talk
512 biff
42 name
TCP
111 sunrpc
514 shell
540 exec
512 login
进程是系统运行的单元,是个系统运行的动态表现。系统管理员必须对系统的运行情况进行适当监控,及时发现系统的异常。例如,我们能够查看通过如下命令查看当前系统运行的任何进程情况:ps -ef。
下面的几个命令能够帮助系统管理员来查看系统的其他信息:
1、 查看CPU的性能
[root]$uptime 8:50pm up 6:46, 1 user, load average: 0.98, 1.01, 2.09 上面是个示例,其中load average表示平均负载,数据0.98、 1.01、2.09表示前1分钟、5分钟、15分钟的系统平均负载情况。系统管理员能够定期运行该命令,以观察系统的平均负载及变化趋势。一般的,UNIX系统负载数在2~3之间为轻载,5~6为中等负载,而10以上为过载。系统负载增大时,说明有多条命令阻塞在内存或I/O系统,可能有入侵者正在窃取系统的重要数据或企图消耗系统资源使系统无法正常提供服务,即所谓的拒绝服务攻击(DoS)。 另外,solaris系统还为用户提供一个图像化的工具能够直观的观察系统的变化趋势,即perform,他能够显示系统的CPU利用率、交换作业个数、网络数据包个数、运行队列平均个数等信息。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
