Yassp工具包安装安全的 Solaris 系统 （A）

　　* 简化:建议在一台主机上只运行一至两种服务。使用多台服务器，而不要只用一台超级服务器

　　去完成所有的工作。这样便于应用的隔离，可靠性的提高，也易于排错及进行软/硬件地升级。切

　　记，只运行必要的程序。

　　* 硬件:考虑使用串囗终端安装系统。保证网络环境的可信以及封闭。

　　* 保证安全地下载软件:在一个封闭的或者没有对外路由的网络环境中，通过ftp与网络内部其它

　　主机传送文件。如果网络并不是完全封闭的，要在文件传输完成后，马上断开网络的连接，以减

　　小遭到攻击的机会。添加一个以/tmp为HOME目录的非特权用户专门用来在主机间传送文件。

　　* 清楚系统的用途、硬件的配置等。有时为了提高系统的可靠性可能会导致某些程序不能正常运

　　行，如CDE/OpenWindows，Disksuite及Legato运行都需要RPC的支持，但是在用作为防火墙的主机

　　上，要关闭RPC。

　　* 理解各种应用的工作方式非常重要(比如应用如何使用端囗、设备及文件)，这样才可以判断哪

　　些方面需要加强及存在的风险。

　　2、系统的初始化安装

　　连接串囗终端，加电，按下Stop-A键使主机进入到OK提示符模式，使用boot cdrom -install命令

　　开始安装过程。

　　选择以最终用户包(end user bundle)或者核心包(core)模式进行安装，设置主机名，终端类型，

　　IP地址，所在时区等，不要开启任何的命名服务，如NIS或NFS。不要打开电源管理或者mount远程

　　文件系统。

　　注:对于Solaris 8系统，使用F4功能键可以对最终用户包内的软件进行定制。

　　分区注意的事项:

　　* 对于syslog、web、新闻、

　　的，较大磁盘空间的分区。将要存储大量数据的服务器，如web或ftp服务器，也应该使用独立的

　　分区存储其数据。

　　* 将/usr及/opt分区与根区分离，使得/usr及/opt分区可以使用只读(read-only)方式mount。

　　* 如果一定要使用Disksuite工具，设置RAID及磁盘镜像，需要为其保留5MB的磁盘空间。使用

　　Veritas的文件卷管理，还需要额外的两个分区。

　　* 分区实例:

　　2GB硬盘，不在本地记录日志，将在/opt下安装大量程序

　　200MB /(root+var)，200MB swap，400MB /usr，1.2GB on /opt

　　2GB硬盘，为程序保留最大空间，/var分区独立(使得日志文件不会把根区占满)

　　1.6GB /(root+usr+opt)，200MB swap，200MB /var

　　9GB硬盘，主机提供服务

　　200MB /，500MB swap，2GB /usr，5GB /opt，1GB /var

　　系统重启

　　为root设置一个不易破解的囗令(7到8位，包含数字、字母及标点符号)。安装过程将保留在

　　/var/sadm/install_data/install_log文件中。

　　以最终用户包模式安装时，需要手工安装帮助文件(man pages)。如果用核心包模式安装，为了使

　　用帮助文件，还需要安装SUNWlibc包:

　　cd /cdrom/cdrom0/s0/Solaris_2.6/Product;

　　pkgadd -d . SUNWman SUNWdtma SUNWjvman SUNWpmowm SUNWolman SUNWxwman

　　cd /cdrom/cdrom0/s0/Solaris_2.7/Product;

　　pkgadd -d . SUNWman SUNWdtmaz SUNWdtma SUNWjvman SUNWpmowm SUNWxwman

　　针对Solaris8系统，使用2号光盘安装标准帮助文件及java帮助

　　cd /cdrom/cdrom0/Solaris_*/Product;

　　pkgadd -d . SUNWman SUNWjvman SUNWj2man

　　此外，还需要安装一些常用的工具，如解压缩及其它shell。

　　pkgadd -d . SUNWgzip SUNWbash SUNWbzip SUNWtcsh SUNWzlib

　　升级索引，以便使用“man -k keyword”命令时，搜索相关的帮助:

　　/usr/lib/makewhatis /usr/man;

　　/usr/lib/makewhatis /usr/openwin/man;

　　使用核心包模式安装的用户，还需要安装其它常用的软件包，如:

　　Terminfo:SUNWter

　　Accounting:SUNWaccr SUNWaccu

　　NTP:SUNWntpr SUNWntpu

　　UCB tools:SUNWscpu

　　Man pages tools:SUNWlibC SUNWdoc。

　　下载并安装Sun的最新推荐安装补丁包到/opt/install目录:

　　2.6 SPARC 2.6_Recommended.tar.Z

　　7 SPARC 7_Recommended.zip

　　7 Intel 7_x86_Recommended.zip

　　8 SPARC 8_Recommended.zip

　　8 Intel 8_x86_Recommended.zip

　　* 安装补丁之前，阅读README文件并保存系统已经安装的补丁列表，解压缩补丁包文件。

　　cd /opt/install;

　　showrev -p > patches.before;

　　unzip -q 8_*Recommended.zip

　　注:如果只安装了核心包，showrev命令将不能使用，使用patchadd -p命令代替。

　　在Solaris7系统中使用patchadd命令，需要对命令做以下改动:

　　cd /usr/sbin;

　　mv patchadd patchadd-orig;

　　sed s/\/xpg4// patchadd-orig > patchadd;

　　chown root:bin patchadd;

　　chmod 555 patchadd;

　　* 进入解压缩补丁包后产生的目录，使用下面两种方法执行安装角本文件:

　　a) 在新安装的系统中，使用带有nosave参数的安装命令，可以节省磁盘空间:

　　cd 8_*Recommended;./install_cluster -nosave

　　b) 在需要可能进行反安装补丁文件的系统中，使用如下命令进行补丁的安装，这时将在

　　/var/sadm/pathc目录下保留备份文件。补丁只可以逐个加以删除，系统没有提供

　　"deinstall_cluster"的命令。

　　./install_cluster

　　* 检查实际安装了哪些补丁

　　cd ..;

　　showrev -p > patches.after;

　　diff patches.after patches.before;

　　* 查看安装日志文件，返回值8代表没有安装，返回值2表示补丁安装正常。

　　more /var/sadm/install_data/Solaris_*Recommended_log

　　重新启动系统，以root登录。

　　3、安装YASSP工具包

　　安装YASSP(Yet Another Solaris Security Package，目前的版本是Yassp beta#15)加强Solaris

　　系统的安全性，它包含多个编译好的安全工具。

　　注:安装YASSP后，所有有改动过的文件将在/yassp.bk/Before_DATE目录中保留备份。

　　将YASSP安全工具的安装过程记录到文件中，提供日后查询:

　　script -a /yasspinstall.log

　　下载yassp.tar.gz文件，保存到/opt/install目录中，切断网络连接。

　　ifconfig hme0 down

　　解压缩软件包，产生yassp目录

　　gunzip aubtocsin

　　lrwxrwxrwx 1 7644 100 9 Nov 22 10:13 aubtocsin_sparc -> aubtocsin

　　-rw-r--r-- 1 7644 100 136192 Nov 20 06:54 gnugzip_i386

　　-rw-r--r-- 1 7644 100 147456 Nov 20 06:54 gnugzip_sparc

　　-rw-r--r-- 1 7644 100 903168 Nov 20 06:54 gnurcs_i386

　　-rw-r--r-- 1 7644 100 1021952 Nov 20 06:54 gnurcs_sparc

　　drwxr--r-- 3 7644 100 512 Nov 20 06:53 html_doc

　　-r-xr-xr-x 1 7644 100 5323 Nov 20 05:25 install.sh

　　-rw-r--r-- 1 7644 100 3180544 Nov 20 06:54 openssh_i386

　　-rw-r--r-- 1 7644 100 4121600 Nov 20 06:54 openssh_sparc

　　-rw-r--r-- 1 7644 100 26624 Nov 20 06:54 parcdaily

　　lrwxrwxrwx 1 7644 100 9 Nov 22 10:12 parcdaily_i386 -> parcdaily

　　lrwxrwxrwx 1 7644 100 9 Nov 22 10:12 parcdaily_sparc -> parcdaily

　　-rw-r--r-- 1 7644 100 231936 Nov 20 06:54 prftripw_i386

　　-rw-r--r-- 1 7644 100 293888 Nov 20 06:54 prftripw_sparc

　　-rw-r--r-- 1 7644 100 1290240 Nov 20 06:54 secclean

　　lrwxrwxrwx 1 7644 100 8 Nov 22 10:12 secclean_i386 -> secclean

　　lrwxrwxrwx 1 7644 100 8 Nov 22 10:12 secclean_sparc -> secclean

　　-rw-r--r-- 1 7644 100 271360 Nov 20 06:54 wvtcpd_i386

　　-rw-r--r-- 1 7644 100 609792 Nov 20 06:54 wvtcpd_sparc

　　执行安装文件

　　./install.sh

　　依据提示安装下列工具:SECclean GNUrcs GNUgzip PARCdaily WVtcpd(包括rpcbind) PRFtripw

　　OPENssh

　　SECclean是一个脚本文件，它通过对文件权限的配置，tcp/ip的调整，关闭不必要的服务加

　　强系统的可靠性。

　　Yassp beta#15中的问题:

　　1. SSH:

　　* Yassp在Solaris7及以前版本的系统中不安装SSH，只在Solaris8中安装。

　　* Scp的服务器端需要如下设置:

　　chmod 755 /usr/local /opt/local

　　ln -s /usr/local/bin/scp /usr/bin/scp

　　2. Solaris 8 10/00版本的系统中，有一个新的守护进程'picld'，是一种对客户端发布特定平台

　　信息的机制，picld进程负责维护及控制客户及内插模块对PICL(Platform Information and

　　Control Library)信息的访问。

　　关闭此进程

　　mv /etc/rcS.d/S95picld /etc/rcS.d/.S95picld

　　mv /etc/init.d/picld /etc/init.d/.picld

　　3. Tocsin是Yassp内含的入侵检测工具，用来侦听网络数据包，缺省情况下不安装。

　　pkgadd -d aubtocsin

　　配置YASSP

　　安装完YASSP后，首先浏览一下/etc/yassp.conf配置文件，带有注释，很容易理解。查看

　　yassp.conf及yassp的man pages帮助。一般情况下，除了SSH，不需要改动什么。

　　1. 帐号

　　* 守护进程及用户(DEF_UMASK)的缺省umask值都被设置成为077，禁止组及全局访问。在某些情

　　况下，可能需要将umask值改为027，使组可读。

　　* cleanup_passwd脚本会关闭/usr/passwd文件中的用户帐号，但是不会删除他们。Yassp.conf文

　　件中的USERDENIED变量包含缺省的列表。加入非标准的应用帐号。

　　* 如果确定删除某些帐号，将其加入yassp.conf文件中的USEDELETED变量项中，并从新执行

　　cleanup_passwd。

　　注:此操作可能会产生无主文件或导致错误，如删除uucp将使tip命令不能使用。

　　* ROOTALLOWED变量包含所有UID为0的帐号列表，cleanup_passwd会关闭所有列表之外的UID为0的

　　帐号。

　　2. Cron:

　　* 非root用户需要使用at/cron命令时，需要编辑/etc/cron.d目录下的allow/deny文件。

　　* root的cron列表将会被替换。如果在安装yassp之前，你已经在cron中添加了条目，这些条目需

　　要重新加入，旧的cron列表备份于/yassp.bk目录中。

　　* yassp的daily脚本用来整理日志记录，在cron中将其注释掉。

　　3. SSH:Yassp将同时安装SSH的客户及服务器端

　　* 最新版本的SSH可以被“tcp wrapper"保护，因此使用前，要在/etc/hosts.allow文件中放开，

　　缺省是全部关闭。

　　* SSH服务对所有主机开放，编辑/etc/hosts.allow加入

　　sshd : ALL

　　* 允许X11转发使用SSH，编辑/etc/hosts.allow加入

　　sshdfwd-X11 : LOCAL

　　* 提示:在hosts.allow/deny，SSH的规则中不要使用反向finger查询。

　　* 在SSH中，通常使用'scp'传送文件。' sftp'使用于新的SSH2中，如果需要，在

　　/etc/sshd_config中打开它，当然，由于这是一项新的功能，因此有可能会存在问题。Subsystem

　　sftp /opt/local/libexec/sftp-server

　　* 不接受RSA用户认识，而只允许使用囗令。

　　RSAAuthentication no

　　* 检查服务器(/etc/sshd_config)及客户端(/etc/ssh_config)其它的设置，如设置只允许特定

　　的用户使用SSH，禁止用守护进程的帐号使用SSH。

　　4. Syslog:在Solaris8系统中，Yassp会以‘-t'参数启动syslog，因此它将不接受其它主机

　　syslog连接。因此，如果你想使用一台中心log服务器，需要设置

　　SYSLOGFLAGS=""

　　5. 如果需要启动INETD服务，设置RUNINETD值为YES，并在/etc/inetd.conf中开放相应的服务。

　　缺省情况下，yassp会关闭所有的服务。如果确实需要，使用tcp wrapper，编辑

　　/etc/hosts.allow和/etc/hosts.deny文件中对访问服务进行限制。

　　6. nscd守护进程

　　* 不启动nscd进程，有些应用，如Netscape的http代理服务将不能工作，设置NETSCAPE或者NSCD

　　变量可以设置激活nscd进程。

　　* 关闭nscd进程将加重nameserver的负载，因此，通过调整resolv.conf文件中nameserver的顺序

　　，可以达到平衡负载的目的。

　　7. 编辑登录的标语文件，对非法的用户访问提出警告。对于telnet和SSH，登录前的文件为

　　/etc/issue，登录后的文件是/etc/motd

　　8. Yassp更改/etc/system文件内的参数对Solaris系统进行调整。

　　* Yassp增加对文件描述的字节限制，rlim_fd_max=1024、rlim_fd_cur=256。有些应用也许会需

　　要更大的值，根据需要改动。

　　* 将小于8的soft-limit增加到256对一些应用会有帮助。Hard-limit不需要改变，仍为1024。系

　　统管理员需要知道哪些应用需要更多的hard-limit值，并对/etc/system做相应的改动。

　　* 设置sys:coredumpsize=0从而不产生corefiles。当然有时候，管理员需要corefiles进行分析

　　，但是也要注意corefiles可能会泄露敏感的信息。

　　* 其它的设置:

　　*Increase SVR4 style ptys

　　set pt_cnt=128

　　*Attempt to prevent and log stack-smashing attacks

　　set noexec_user_stack=1

　　set noexec_user_stack_log=1

　　*enable advanced memory paging technique

　　*NOT NEEDED ON Solaris 8:set priority_paging=1

　　set tcp:tcp_conn_hash_size=16348

　　*If the NFS_PORTMON variable is set，then clients are required to use

　　*privileged ports(ports

　　Set nfssrv:nfs_portmon=1

　　*max users processes in here too

　　set maxuprc=150

　　关闭记录动作，删除yassp安装目录

　　#exit

　　Script done，file is /yasspinstall.log

　　#cd; rm -rf /opt/install/yassp

　　重新启动，使改动生效

　　#reboot

　　重新启动后，检查控制台上的错误信息，如果有，更正之。以root登录，检查网络联接情况，应

　　该只有ssh和syslog(Solaris7及以前版本)在监听:

　　netstat -a

　　UDP: IPv4

　　Local Address Remote Address State

　　-------------------- -------------------- -------

　　*.* Unbound

　　TCP: IPv4

　　Local Address Remote Address Swind Send-Q Rwind Recv-Q State

　　-------------------- -------------------- ----- ------ ----- ------ -------

　　*.* *.* 0 0 24576 0 IDLE

　　*.ssh *.* 0 0 32768 0 LISTEN

　　*.* *.* 0 0 32768 0 IDLE