Securing Solaris

Абараніце вашыя сістэмы ад унутраных і знешніх уразлівасцяў

Увядзенне
Solaris Security шырока падзелена на дзве групы – адна, дзе сістэма даступная з дапамогай лакальнай сеткі/VLAN і яна павінна быць абаронена ад несанкцыянаванага доступу. Па-другое, сістэма даступная праз Інтэрнэт на колькасць асоб, і ён павінен быць абаронены ад несанкцыянаванага доступу з выкарыстаннем сеткі або бяспекі шчыліны.
У гэтым дакуменце змяшчаецца інфармацыя аб некаторых з асноўных абласцей для забеспячэння бяспекі і змяшчае прапановы, каб зрабіць яго моцным.

Наступныя тэмы ў дадзеным артыкуле, для забеспячэння Solaris.
1. Апошнія патчы
2. Доступ да сістэмы.
3. Узровень выканання і сеткавых службаў
4. IP-модуль
5. Файлавай сістэмы,/і г.д./сістэмы
6. sadmind дэмана
7. Камплект корань і srload секчы

1. Апошнія патчы
Любая аперацыйная сістэма, магчыма, памылкі бяспекі, якія выяўляюцца толькі тады, калі сістэма выкарыстоўваецца ў рэальных умовах час. Ужыць ўсе патчы, даступныя на сённяшні дзень для падлучэння ўжо адкрылі для сябе шчыліны бяспекі і шукаць інфармацыю аб новых памылак, звязаных з бяспекай.
Звычайна гэта займае некаторы час, калі бяспека шчыліну выяўлена і патч распрацаваны. Так лепшая стратэгія ў дачыненні да такіх сітуацый у курсе, чытаючы, звязаныя з бяспекай бюлетэнь вытворцы АС і адключэнне пацярпелых паслуг або пастаянны маніторынг яго і прымянення патчаў, калі наяўныя.

Perl скрыпт – patchk – можна знайсці на sunsolve.sun.com якія могуць быць выкарыстаны для выяўлення і параўнаць існуючыя патчы і спампаваць апошнюю з іх.

2. Доступ да сістэмы

Гранічныя доступ з правамі root
Гранічныя прамы доступ корань, пераканаўшыся, кансоль ў/і г.д./па змаўчанні/Лагін не закаментаваны.

Калі Secure Shell выкарыстоўваецца для доступу да сістэм і рэдагаваць sshd.config ssh.config адключыць доступ у корань

sshd.config
Дазвол корань Увайсці няма
Дазвол пусты пароль не
Дазволіць хастоў
Дазволіць карыстальнікам

ssh.config
Наперад x11 няма
Пароль сапраўднасці не

Хост-аўтэнтыфікацыі з’яўляецца больш бяспечным, паколькі ён заснаваны на зачыненыя ключы і адкрытыя ключы і толькі карыстальнік з ключамі якім дазволена падключацца. Пароль сапраўднасці менш бяспечным, паколькі яны могуць быць здагадаліся або расколіны некаторымі праграмамі.

SU магчымасці Гранічныя
Дазволіць толькі некалькі выбраных членаў групы выкарыстоўваць SU для прадухілення несанкцыянаванага доступу з дапамогай падбору пароля. Стварыць групу сістэмных адміністратараў і змены SU ўладальніку корань і групы да групы адміністратараў. Змяненне SU дазволу, каб дазволіць толькі сябры гэтай групы дазволу выканання.

Аддалены доступ да файлаў
. Rhosts, netrc hosts.equivalent з’яўляюцца файлы, што забяспечвае доступ да выдаленай сістэме і павінны быць правераны старанна Яны павінны рэгулярна правярацца для любога несанкцыянаванага пранікнення або, калі няма неабходнасці могуць быць зробленыя з нуля дазволу -.. CHMOD 0. Гэта не дазволіць стварыць новы файл з такім жа імем і змясціць запісу для атрымання доступу.

Захоўвайце часопіс доступу
sulog файлаў дае інфармацыю аб SU спробы Увайсці ў сістэме аналагічна loginlog файл можа быць створаны, дакранаючыся/і г.д./loginlog якая захоўвае ўсе Увайсці інфармацыі. Акрамя таго, апошняя каманда таксама даць карысную інфармацыю аб асобах, доступ да сістэмы.

3. Узровень выканання і сеткавых службаў
Спыніце непатрэбныя службы падчас выканання узроўняў:
/Etc/rc2.d і/etc/rc3.d каталогі сцэнарыяў, пачынаючы з загрузкі часу або пры запуску ўзроўню змяняецца. Па змаўчанні лік паслуг пачаў, з якіх толькі нешматлікія могуць спатрэбіцца. У большасці выпадкаў, асабліва ў асяроддзі пэўных паслуг не патрабуецца наогул, але падае розныя парты для атрымання доступу да сістэмы
Ацэніце свае патрабаванні да сістэмы і паглядзець на RC скрыпты, адключыць файлы, якія не патрабуюць прыняцця загалоўнай літары ў пачатку, як “S”. Сістэмныя патрабаванні могуць вар’іравацца ў залежнасці ад сістэмы да сістэмы, але вы павінны праверыць, калі вам не патрэбныя наступныя паслугі і іх можна адключыць.

Уключана	Інвалідаў
S71ldap.client S72autoinstall S72slpd S88sendmail S72nfs.client S74autofs S99dtlogin S15nfs.server	s71ldap.client s72autoinstall s72slpd s88sendmail s73nfs.client s1574autofs s99dtlogin s15nfs.server

Спыніць непатрэбных і небяспечных паслуг сеткі
/І г.д./inetd.conf ёсьць запіс для каля пяцідзесяці сеткавых паслуг і большасць з іх запускаецца па змаўчанні. Хоць некаторыя з гэтых паслуг не з’яўляюцца бяспечнымі, Telnet, FTP, некаторыя з іх не патрабуецца наогул. Гэтыя паслугі могуць дазволіць зламысніку атрымаць у шляхам прадастаўлення інфармацыі аб сістэме і партоў.
Такія паслугі, як палец, Sysstat і NetStat даць карысную інфармацыю пра карыстальнікаў, сістэмы і сеткі. У залежнасці ад прыкладання патрабаванне некаторыя з гэтых паслуг павінны быць спынены шляхам каментаваньня адпаведны запіс у/і г.д./inetd.conf

FTP павінен быць адключаны і Secure Copy, SCP, SFTP павінен быць выкарыстаны замест. Але калі вы павінны выкарыстоўваць FTP-то абмежаваць карыстальнікаў, якія могуць зрабіць FTP да сістэмы./І г.д./ftpusers файл можа быць створаны, каб захаваць спіс карыстальнікаў FTP.

4. IP-модуль
Упраўленне IP Паводзіны:
IP-модуль можа быць настроены для прадухілення перасылкі, перанакіраваньні пакетаў, і запыт аб прадастаўленні інфармацыі з сістэмы. Гэтыя параметры могуць быць устаноўлены з дапамогай NDD з зададзеным значэннем абмежаваць гэтыя магчымасці.

# NDD-мноства/Dev/IP ip_forward_directed_broadcasts 0

# NDD-мноства/Dev/IP ip_forward_src_routed 0

# NDD-мноства/Dev/IP ip_ignore_redirect 1

# NDD-мноства/Dev/IP ip_ire_flush_interval 60000

# NDD-мноства/Dev/IP ip_ire_arp_interval 60000

# NDD-мноства/Dev/IP ip_respond_to_echo_broadcast 0

# NDD-мноства/Dev/IP ip_respond_to_timestamp 0

# NDD-мноства/Dev/IP ip_respond_to_timestamp_broadcast 0

# NDD-мноства/Dev/IP ip_send_redirects 0

Каб убачыць спіс усіх параметраў для пэўнага драйвера

# NDD/Dev/IP
імя, каб атрымаць/ўсталяваць??

Каб атрымаць значэнне пэўнага параметру:

# NDD-атрымаць/Dev/IP ip_respond_to_timestamp_broadcast

5. Файлавай сістэмы,/і г.д./сістэмы
Дадаць наступныя радкі ў/і г.д./файлавай сістэмы, каб прадухіліць перапаўненне буфера ў магчымай атацы выконваць якія-небудзь шкоднаснага кода на вашай машыне.

мноства noexec_user_stack = 1
мноства noexec_user_stack_log = 1

У залежнасці ад патрабаванні цалкам або спалучэнне ўсіх вышэй прапановы могуць быць рэалізаваныя. Пэўныя праграмы, вэб-серверы і г.д. маюць там уласныя параметры для забеспячэння доступу і даных. Так, акрамя Solaris гэтых параметраў, магчыма, прыйдзецца прымаць пад увагу ў дадатак да Solaris параметраў для забеспячэння сістэмы цалкам.

6. sadmind ўразлівасць дэмана
Sadmind дэман выкарыстоўваецца для размеркаванай сістэмы адміністрацыі аперацый у Solstice прыкладанняў AdminSuite. У канфігурацыі па змаўчанні sadmind выкарыстоўвае мноства адкрытым тэкстам Remote Procedure Calls (RPC) для праверкі сапраўднасці паміж двума машынамі. Зламыснік можа пабудаваць RPC пакеты, якія дазваляюць ім г наладзіць сапраўды асобу кліента і атрымаць яго праверкі. Пасля sadmind кліент аўтэнтыфікавацца, хакер можа выканаць любую каманду на выдаленай сістэме, нават з прывілеямі адміністратара.

Абарона ад уразлівасці sadmind
sadmind кантралюецца з дапамогай файла/і г.д./inetd.conf, як у наступную запіс:

100232/10 TLI RPC/UDP чакаць корань/USR/sbin/sadmind sadmind

У гэтай канфігурацыі, sadmind выкарыстоўвае адкрыты тэкст хастоў і ўліковыя дадзеныя, як ўзровень бяспекі па змаўчанні не ўзровень бяспекі.

Ёсць два шляхі вырашэння гэтай сітуацыі:

1. Цалкам адключыць sadmind ў inted.conf, калі не патрабуецца закаментаваць sadmind лініі або выдалення altogather.

# 100232/10 TLI RPC/UDP чакаць корань/USR/sbin/sadmind sadmind

Перазагрузіце Inetd:

#/USR/BIN/PKILL-HUP Inetd

2. Павышэнне ўзроўню бяспекі, патрабуючы ад DES шыфравання для аўтэнтыфікацыі механізм, дадаўшы “S-2 ‘сцяг да канца sadmind лінію ў inetd.conf:

100232/10 TLI RPC/UDP чакаць корань/USR/sbin/sadmind sadmind-S 2

Перазагрузіце Inetd:

#/USR/BIN/PKILL-HUP Inetd

7. Каранёвай Kit

Хакеры ў некаторых выпадках устанаўлівае “корань” камплект, які змяненняў розных файлаў у сістэме, каб атрымаць прывілеі суперкарыстальніка і, каб схаваць кампраміс.
Вы можаце вызначыць, з pkgchk каманду, калі пэўныя файлы былі змененыя:

/BIN/SU

/USR/sbin/пінг

/USR/BIN/дзю

/USR/BIN/пароль

/USR/BIN/знайсці

/BIN/Ls

/BIN/NetStat

/USR/BIN/радкоў

Калі ёсць памылкі паведаміў пра любую з гэтых файлаў, то сістэма знаходзіцца пад пагрозай. Лепшы курорт у гэтых выпадках прымаць сістэмы ад сеткі і зрабіць новую ўстаноўку аперацыйнай сістэмы.

srload:
srload з’яўляецца часткай каранёвай камплект, які выкарыстоўваецца для атрымання нестандартных SSH доступ порт нападалі. Падрыў сістэмы ў/і г.д./inittab ў наступную радок

С. В.: 23: респауна:/USR/BIN/srload-D-Q

і можа мець наступныя змены файла разам з іншымі файламі:

/Etc/rcS.d/S30rootusr.sh

Неадкладныя дзеянні для гэтага з’яўляецца адключэнне srload каманды, выдаліўшы яго з/і г.д./inittab пасля загрузкі ў аднакарыстальніцкім рэжыме і выдаленне srload каманды з бінарных/USR/Bin або любым іншым месцы.