一、賬號(hào)和口令安全策略
1.1更改口令文件����、影像文件�����、組文件的權(quán)限
/etc/passwd 必須所有用戶都可讀���,root用戶可寫(xiě) –rw-r—r—
/etc/shadow 只有root可讀 –r--------
/etc/group 必須所有用戶都可讀�����,root用戶可寫(xiě) –rw-r—r—
1.2修改不必要的系統(tǒng)賬號(hào)
移去或者鎖定那些系統(tǒng)賬號(hào)�����,比如sys���、uucp、nuucp����、listen、lp���、adm等等�����,簡(jiǎn)單的辦法是在/etc/shadow的password域中放上NP字符����。還可以考慮將/etc/passwd文件中的shell域設(shè)置成/bin/false
1.3修改口令策略
修改/etc/default/passwd文件
MAXWEEKS=4 口令至少每隔4星期更改一次
MINWEEKS=1 口令至多每隔1星期更改一次
WARNWEEKS=3 修改口令后第三個(gè)星期會(huì)收到快要修改口令的信息 PASSLENGTH=6 用戶口令長(zhǎng)度不少于6個(gè)字符
二、用戶授權(quán)安全策略
2.1移去組及其它用戶對(duì)/etc的寫(xiě)權(quán)限�����。
執(zhí)行命令#chmod -R go-w /etc
2.2禁止root遠(yuǎn)程登錄
在/etc/default/login中設(shè)置
CONSOLE=/dev/concle
2.3setuid和setgid特殊權(quán)限����。
Setuid是指設(shè)置程序的有效執(zhí)行用戶身份(uid)為該文件的屬主,而不是調(diào)用該程序進(jìn)程的用戶身份。Setgid與之類似�。Setuid和setgid用1s -1顯示出來(lái)為s權(quán)限,存在于主人和屬組的執(zhí)行權(quán)限的位置上。系統(tǒng)設(shè)置特殊權(quán)限�,使用戶執(zhí)行某些命令時(shí),具有root的執(zhí)行權(quán)限, 命令執(zhí)行完成, root身份也隨之消失��。因此特殊權(quán)限關(guān)系系統(tǒng)的安全����,可執(zhí)行命令#find / -perm -4000 -print 尋找系統(tǒng)中具有setuid權(quán)限的文件�����,存為列表文件�����,定時(shí)檢查有沒(méi)有這之外的文件被設(shè)置了setuid權(quán)限�。
2.4審計(jì)并日志所有以root身份的登陸情況
添加或編輯/etc/default/login文件如下:
SYSLOG= YES
syslog記錄root的登陸失敗���,成功的情況�。
2.5設(shè)置遠(yuǎn)程登陸會(huì)話超時(shí)時(shí)間
添加或編輯/etc/default/login文件如下:
TIMEOUT= 300
2.6確定登陸需要密碼驗(yàn)證
添加或編輯/etc/default/login文件如下:
PASSREQ= YES
2.7 UMASK設(shè)置
umask命令設(shè)置用戶文件和目錄的文件創(chuàng)建缺省屏蔽值,若將此命令放入.profile文件,就可控制該用戶后續(xù)所建文件的存取許可.umask命令與chmod命令的作用正好相反,它告訴系統(tǒng)在創(chuàng)建文件時(shí)不給予什么存取許可.
安裝配置完操作系統(tǒng)之后確認(rèn)root的umask設(shè)置是077或者027���,執(zhí)行
/usr/bin/umask [-S] 確認(rèn)�。
2.7.1增加或修改/etc/default/login文件中如下行
UMASK=027
2.7.2并增加上行到如下的文件中:
/etc/.login /etc/.profile /etc/skel/local.cshre
/etc/skel/local.login /etc/skel/local.profile
2.8用戶環(huán)境配置文件的PATH或者LD_LIBRARY_PATH中移去“.” �����。
從如下的文件中移走”.”,確認(rèn)root的PATH環(huán)境變量設(shè)置是安全的�����,應(yīng)該只包含/usr/bin:/sbin:/usr/sbin,避免當(dāng)前工作目錄.出現(xiàn)在PATH環(huán)境變量中����,這有助于對(duì)抗特洛伊木馬。
#echo $PATH | grep ":." 確認(rèn)
/.login /etc/.login /etc/default/login
/.cshrc /etc/skel/local.profile /etc/skel/local.cshrc
/.profile /etc/skel/local.login /etc/profile
三��、網(wǎng)絡(luò)與服務(wù)安全策略
3.1關(guān)閉不用的服務(wù)
3.1.1在inetd.conf中關(guān)閉不用的服務(wù)
首先復(fù)制/etc/inet/inetd.conf��。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup然后用vi編輯器編輯inetd.conf文件�����,對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開(kāi)頭標(biāo)記“#”字符即可�。
3.1.2在Services中關(guān)閉不用的服務(wù)
首先復(fù)制/etc/inet/services。 #cp /etc/inet/services /etc/inet/services.backup
然后用vi編輯器編輯Services文件���,對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開(kāi)頭標(biāo)記“#”字符即可�。
在inetd.conf�����、services中進(jìn)行修改后�,找到inetd進(jìn)程的ID號(hào),用kill向其發(fā)送HUP信號(hào)進(jìn)行刷新�����。舉例如下����。
#ps -ef | grep inetd
#kill -HUP 進(jìn)程號(hào) 或/usr/sbin/inetd –s –t
增加-t選項(xiàng)以加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制
3.1.3根據(jù)需要關(guān)閉不用的服務(wù)
可關(guān)閉如下服務(wù):tftp、ypupdate(NIS程序)�����、 dtspcd(郵件收發(fā)程序) �����、rquotad��、name���、uucp(網(wǎng)絡(luò)實(shí)用系統(tǒng))�、snmp(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)等�����。
3.2關(guān)閉系統(tǒng)的自啟動(dòng)服務(wù)
在系統(tǒng)/etc/rc*.d的目錄下�,根據(jù)需要停用以下服務(wù):
sendmail 把/etc/rc2.d/S88sendmai更名為tc/rc2.d/X88sendmail
DNS 將/etc/rc2.d/S72inetsv注釋掉in.named一項(xiàng)
lp 把/etc/rc2.d/S80lp更名為 /etc/rc2.d/X80lp
uucp 把/etc/rc2.d/S70uucp更名為/etc/rc2.d/x70uucp
snmp把/etc/rc3.d/S76snmpdx和 /etc/rc3.d/S77dmi 更名 為/etc/rc3.d/s76snmpdx和/etc/rc3.d/s77dmi
autoinstall 把/etc/rc2.d/S72autoinstallg更名為/etc/rc2.d/s72autoinstall
3.3加強(qiáng)FTP服務(wù)安全
3.3.1禁止系統(tǒng)用戶的FTP服務(wù)
把所有的系統(tǒng)賬戶加入到/etc/ftpusers(solaris 9的該文件現(xiàn)更改為/etc/ftpd/ftpusers)文件:
root 、daemon、sys�����、bin��、adm���、lp��、uucp����、nuucp���、listen�����、nobody
3.3.2禁止FTP&服務(wù)暴露系統(tǒng)敏感信息
編輯/etc/default/ftpd文件���,假如文件不存在就新建一個(gè),在文件中的加進(jìn)入下一項(xiàng): BANNER=XXXX(XXXX可以任意改變?yōu)槿魏我粋€(gè)版本信息)����,將該系統(tǒng)版本信息屏蔽.
3.3.3ftp服務(wù)會(huì)話日志記錄
/etc/inet/inetd.conf中的ftpd為(記錄)
ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd –dl
3.4加強(qiáng)Telnet服務(wù)安全
3.4.1禁止Telnet服務(wù)暴露系統(tǒng)敏感信息
防止telnetd banner泄露信息 ��,修改/etc/default/telnetd文件 ,加入以下一項(xiàng):BANNER=XXXX(XXXX可以任意改變?yōu)槿魏我粋€(gè)版本信息)�����,將該系統(tǒng)版本信息屏蔽.
3.4.2更改Telnet服務(wù)端口號(hào)
修改文件/etc/services的Telnet一項(xiàng)����,將端口號(hào)改為非23,使用Telnet服務(wù)時(shí)需注明端口號(hào)�����。
3.5加強(qiáng)NFS服務(wù)安全
檢查/etc/dfs/dfstab文件share語(yǔ)句����,缺省時(shí)共享目錄為可讀可寫(xiě),加入“-o”選項(xiàng)增加安全�,“-o rw”可讀可寫(xiě),“-o ro”只讀���,可授權(quán)某系統(tǒng)和某用戶�����。
3.6防止TCP序列號(hào)預(yù)測(cè)攻擊(ip欺騙)
在/etc/default/inetinit中增加設(shè)置來(lái)防止TCP序列號(hào)預(yù)測(cè)攻擊(ip欺騙)TCP_STRONG_ISS=2
3.7系統(tǒng)路由安全
如果Solaris機(jī)器有超過(guò)一塊的網(wǎng)卡的話���,它將會(huì)在不同網(wǎng)卡間轉(zhuǎn)發(fā)數(shù)據(jù)包����,這一行為可以在/etc/init.d/inetinit中得到控制����。要在Solaris 2.4或者更低版本機(jī)器下關(guān)閉它�����,可以將ndd -set /dev/ip ip_forwarding 0添加于在inetinit文件未尾�。在Solaris 2.5以上����,只要touch /etc/notrouter.網(wǎng)絡(luò)系統(tǒng)用靜態(tài)路由比較安全�����。
3.8調(diào)整網(wǎng)絡(luò)參數(shù),加強(qiáng)網(wǎng)絡(luò)安全
使IP forwarding和sourec routing(源路)由無(wú)效
在Inetinit中使IP forwarding和sourec routing(源路)由無(wú)效(假如有超過(guò)一個(gè)網(wǎng)絡(luò)接口的話)��。在/etc/init.d/inetinit中增加下面所示設(shè)置:
禁止系統(tǒng)轉(zhuǎn)發(fā)定向廣播包
#ndd -set /dev/ip ip_forward_directed_broadcasts 0
關(guān)閉原路由尋址 :#ndd -set /dev/ip ip_forward_src_routed 0
禁止系統(tǒng)轉(zhuǎn)發(fā)IP包:#ndd -set /dev/ip ip_forwarding 0
縮短ARP的cache保存時(shí)間: (default is 5 min)
#ndd -set /dev/arp arp_cleanup_interval 2 min
關(guān)閉echo廣播來(lái)防止ping攻擊( # default is 1 )
#ndd -set /dev/ip ip_respond_to_echo_broadcast 0
四��、防止堆棧緩沖益出安全策略
入侵者常常使用的一種利用系統(tǒng)漏洞的方式是堆棧溢出�����,他們?cè)诙褩@锴擅畹夭迦胍欢未a���,利用它們的溢出來(lái)執(zhí)行���,以獲得對(duì)系統(tǒng)的某種權(quán)限��。要讓你的系統(tǒng)在堆棧緩沖溢出攻擊中更不易受侵害�,你可以在/etc/system里加上如下語(yǔ)句:set noexec_user_stack=1
set noexec_user_stack_log =1
第一句可以防止在堆棧中執(zhí)行插入的代碼��,第二句則是在入侵者想運(yùn)行exploit的時(shí)候會(huì)做記錄�。
五��、日志系統(tǒng)安全策略
5.1定時(shí)檢查系統(tǒng)日志文件
Solaris系統(tǒng)通過(guò)syslogd進(jìn)程運(yùn)行日志系統(tǒng),配置文件/etc/syslog.conf�����,可編輯此文件讓日志系統(tǒng)記錄更多信息��,需重啟/usr/sbin/syslogd進(jìn)程�����,重讀取配置文件。通常日志系統(tǒng)的文件分別存放在兩個(gè)位置��,/var/adm保存本地系統(tǒng)日志���,/var/log保存登錄其它系統(tǒng)時(shí)日志。
5.2設(shè)置utmpx和wtmpx文件權(quán)限�����,確保日志系統(tǒng)安全�����。
文件/var/adm/utmpx記錄了所有當(dāng)前登錄到系統(tǒng)中的用戶�����,文件/var/adm/wtmpx記錄了系統(tǒng)所有的登錄和注銷���。這兩個(gè)文件是以數(shù)據(jù)庫(kù)的格式存在的。
設(shè)置權(quán)限#chmod 544 /var/adm/utmpx
#chmod 544 /var/adm/wtmpx
六�、其它系統(tǒng)安全設(shè)置
6.1 crontab命令
6.1.1不要使用crontab –e命令�����,因?yàn)樗鼤?huì)在/tmp下建立所有用戶都可讀的crontab副本訪問(wèn)cron系統(tǒng)����。用如下的方法:
編輯文件:mycronfile
crontab<mycronfile
6.1.2在/etc/default/cron文件中增加如下行: CRONLOG=YES 記錄所有的crontab行為
6.2對(duì)su的紀(jì)錄
創(chuàng)建/etc/default/su文件
SULOG=/var/adm/sulog
SYSLOG=YES
CONSOLE=/dev/console
PATH=/usr/bin:
SUPATH=/usr/sbin:/usr/bin
6.3為OpenBoot設(shè)置密碼
在Solaris中設(shè)置密碼
#eeprom security-password
在OpenBoot中設(shè)置密碼
ok password
在Solaris中設(shè)置安全級(jí)別(command)
#eeprom security-mode=command
在OpenBoot中設(shè)置安全級(jí)別(command)
ok setenv security-mode command
在OpenBoot中設(shè)置安全級(jí)別(full)
ok setenv security-mode full
6.4限制.rhosts和/etc/hosts.equiv文件的使用
配置文件具有兩種功能:r系列命令使用這些文件來(lái)訪問(wèn)系統(tǒng);在某用戶的目錄下存在.rhosts文件或/etc/hosts.equiv文件配有某系統(tǒng)�����,任何用戶都可以通過(guò)rlogin不需要口令以該用戶的身份登錄到系統(tǒng)。因此要為這些文件加鎖�����,先創(chuàng)建它們,然后修改其屬性為零即可��。這樣除了root用戶就沒(méi)有其它用戶能創(chuàng)建或修改它們了�����。
/usr/bin/touch /.rhosts /etc/hosts.equiv
/usr/bin/chmod 0 /.rhosts /etc/hosts.equiv
.rhosts文件可以作為一個(gè)典型的后門(mén)文件使用,運(yùn)行下面的命令全局查找.rhosts文件
#find -name“.rhosts”-print
6.5給系統(tǒng)打補(bǔ)丁
象其它的系統(tǒng)一樣�����,Solaris系統(tǒng)也有它的漏洞�,其中的一些從性質(zhì)上來(lái)說(shuō)是相當(dāng)嚴(yán)重的�����。SUN公司長(zhǎng)期向客戶提供各種版本的最新補(bǔ)丁�,放在http://sunsolve.網(wǎng)站�。可用#showrev –p命令檢查系統(tǒng)已打的補(bǔ)丁或到/var/sadm/patch目錄下查已打過(guò)的補(bǔ)丁號(hào),用patchadd命令給系統(tǒng)打補(bǔ)丁�����。
七�����、Setuid設(shè)置和Solaris操作系統(tǒng)安全
http://bbs./forum/viewtopic.php?t=302945&highlight=Setuid
在Solaris中,文件除了讀、寫(xiě)��、執(zhí)行權(quán)限外��,還有一些特殊權(quán)限����。 Setuid和setgid是其中的一類���。它與Solaris系統(tǒng)的安全關(guān)系緊密。
Setuid是指設(shè)置程序的有效的執(zhí)行用戶身份(uid)為該文件的主人�,而不是調(diào)用該程序的進(jìn)程的uid����。Setgid與之類似。Setuid和setgid用ls –l顯示出來(lái)為s權(quán)限���,存在于主人和屬組的執(zhí)行權(quán)限的位置上����。
這種權(quán)限的設(shè)置方法如下:
只設(shè)setuid: chmod 4xxx filename (xxx為一般讀�、寫(xiě)��、執(zhí)行權(quán)限)
只設(shè)setgid: chmod 2xxx filename
同時(shí)設(shè)setuid和setgid: chmod 6xxx filename
取消兩種權(quán)限: chmod 0xxx filename
這種權(quán)限怎么用���?
舉個(gè)例子來(lái)說(shuō),假如某一命令(程序)的主人是root用戶�����,并且該文件有setuid屬性��,但是該文件的讀��、寫(xiě)、執(zhí)行權(quán)限的屬性表明普通用戶user1可以執(zhí)行該命令,那么就表示:當(dāng)該用戶執(zhí)行該命令時(shí)���,他具有root的執(zhí)行身份,并獲得相應(yīng)的權(quán)限���。一旦該命令執(zhí)行完成�����,該身份也隨之消失。
為什么系統(tǒng)中需要有這樣的權(quán)限呢�?請(qǐng)執(zhí)行以下操作:
7.1. $ ls –l /etc/shadow /bin/passwd
-r-sr-sr-x 3 root sys 99792 1999 2月 12 /bin/passwd
-r-------- 1 root sys 261 1月 3 13:12 /etc/shadow
/etc/shadow文件由于存有用戶的加密口令信息,對(duì)系統(tǒng)的安全至關(guān)重要����,因此權(quán)限很嚴(yán)����,只有root憑其對(duì)系統(tǒng)的至高無(wú)上的權(quán)限才得以對(duì)/etc/shadow可讀可寫(xiě)��。但是系統(tǒng)必須允許普通用戶也能修改自己的口令��。要讓他們對(duì)/etc/shadow可寫(xiě)���,又不能可讀,而且可寫(xiě)又不能允許他們改別人的口令����,怎么辦�?系統(tǒng)就采取這樣一個(gè)辦法:做一個(gè)程序, 也就是/bin/passwd�����,通過(guò)它可以在不顯示文件內(nèi)容的情況下直接修改/etc/shadow文件���。可是這個(gè)程序怎么能有這樣的權(quán)限�?因?yàn)橄到y(tǒng)賦予它setuid權(quán)限����,而且它屬于root.這樣,用戶在使用/bin/passwd改口令時(shí)就有root權(quán)限.由于/bin/passwd命令本身功能的局限性���,用戶并不能用它做更多的不利于系統(tǒng)安全的事��。
7.2. 用普通用戶身份修改口令
$ passwd
Enter login password: ****
New password:******
Re-enter new password:******
Passwd(SYSTEM): passwd successfully changed for xxx .
可以成功��。
7.3. 用超級(jí)用戶修改/bin/passwd的權(quán)限
# chmod 0555 /bin/passwd
7.4. 再重復(fù)2,是否還成功��?當(dāng)然不�����。
7.5.把/bin/passwd的權(quán)限恢復(fù)原狀��。
# chmod 6555 /bin/passwd
對(duì)此可以打一個(gè)生動(dòng)的比喻:有一個(gè)絕密機(jī)關(guān),不得已必須有一些不能見(jiàn)這些秘密的人進(jìn)來(lái)做一些事情�。于是授權(quán)一些特殊的“車輛”(沒(méi)有窗戶,門(mén)緊閉�����,所以看不到外面��。只有一個(gè)小洞允許乘坐的人伸出一只手臂)���,帶著所乘坐的人開(kāi)到要去的地方����,允許它辦完事情馬上帶他出來(lái)。這樣是不是很安全����?不一定�����。如果“車輛”沒(méi)有經(jīng)過(guò)精挑細(xì)選是有很多“門(mén)窗”�,那系統(tǒng)可就危險(xiǎn)了�。
這種安全威脅在Solaris中也有可能出現(xiàn)。比如做一下下面這個(gè)實(shí)驗(yàn):
7.6. $ vi /etc/shadow
/etc/shadow: Permission denied.
7.7. 用超級(jí)用戶身份
# chmod 6555 /bin/vi
# chown root /bin/vi
7.8. 這次再用普通用戶身份試一試第6步��,有什么結(jié)果�����?這次你能以普通用戶身份修改 /etc/shadow了?��。〉?
$ more /etc/shadow仍然不成功�����,說(shuō)明在執(zhí)行/bin/passwd時(shí)有超級(jí)用戶權(quán)限���,平時(shí)仍是普通用戶身份。
再來(lái)看一個(gè)令人不安的情況:
7.9.用超級(jí)用戶身份
# chmod 6555 /bin/ksh
# chown root /bin/ksh
7.10. 用普通用戶身份
$ ksh
#
發(fā)生了什么情況���?�����?普通用戶不需要root口令就變成了root!?��。?
好可怕��。如果有一個(gè)用戶曾有一次獲得超級(jí)用戶權(quán)限�,并通過(guò)類似的方式給自己設(shè)置了后門(mén)(也可能放了一個(gè)類似的文件在他自己的家目錄中),以后他就可以隨時(shí)變成超級(jí)用戶了��。
怎么能避免setuid的不安全影響��,又利用其方便的地方?這里有幾點(diǎn)建議:
關(guān)鍵目錄應(yīng)嚴(yán)格控制寫(xiě)權(quán)限���。比如/����,/usr等��。
對(duì)不管是root賬號(hào)還是普通用戶賬號(hào)的保密都有足夠的重視�。最好不要設(shè)置類似于guest�、public��、test之類公用的容易猜出口令的賬號(hào)�����。
對(duì)系統(tǒng)中應(yīng)該具有setuid權(quán)限的文件作一列表���,定時(shí)檢查有沒(méi)有這之外的文件被設(shè)置了setuid權(quán)限。
下面有一個(gè)自己編的小程序與大家分享����。
程序功能描述:檢查有沒(méi)有/usr/secu/masterlist文件記錄之外的其它文件被設(shè)置了setuid權(quán)限
事先要求:在系統(tǒng)調(diào)試完成,所有需要安裝的軟件安裝好以后���,執(zhí)行下面命令生成檢查對(duì)照文件
# mkdir –p /usr/secu
# find / -perm –4000 –print >; /usr/secu/masterlist
程序:
cd /tmp
[ -f secrcheck ] && rm secrcheck find / -perm -4000 -print >;secrcheck for f in `cat secrcheck` do grep -w $f /usr/secu/masterlist >;/dev/null if [ "$?" != "0" ]; then echo $f is not in list
fi done
rm secrcheck 在需要對(duì)系統(tǒng)做檢查時(shí),執(zhí)行本shell程序���。也可以放在定時(shí)進(jìn)程中定時(shí)檢查。程序由于需要在整個(gè)文件系統(tǒng)中做查找操作���,需要比較長(zhǎng)的時(shí)間�。
請(qǐng)您作完本文中的實(shí)驗(yàn)后��,別忘把文件的權(quán)限改回原狀�����。
八��、Solaris系統(tǒng)安全之審計(jì)
作為C2安全等級(jí)操作系統(tǒng)(公安部二級(jí))��,Solaris最主要的安全功能之一就是審計(jì)功能,本文將簡(jiǎn)單介紹Solaris審計(jì)功能的使用和啟動(dòng)�����。
目的:紀(jì)錄系統(tǒng)和用戶事件����,并對(duì)審計(jì)過(guò)程自身進(jìn)行保護(hù)��。這里值得注意的就是紀(jì)錄事件的細(xì)度����。Solaris提供了很強(qiáng)大的審計(jì)功能�,甚至可以紀(jì)錄每一條調(diào)試信息����,但是這樣做是不明智的,因?yàn)楹芏嘈畔?duì)用戶沒(méi)用���,而且會(huì)使系統(tǒng)性能下降�。審計(jì)細(xì)度需要管理員根據(jù)用途和需要自行訂制��。
實(shí)現(xiàn):
8.1. 查看日志
1) history文件
通常在根目錄下���,隱藏文件,記錄了root執(zhí)行的命令
2) /var/adm
messages:記載來(lái)自系統(tǒng)核心的各種運(yùn)行日志�,可以記載的內(nèi)容是由/etc/syslog.conf決定的
sulog:記載著普通用戶嘗試su成為其它用戶的紀(jì)錄���。它的格式為: 發(fā)生時(shí)間 +/-(成功/失敗) pts號(hào)
utmpx:這兩個(gè)文件是不具可讀性的���,它們記錄著當(dāng)前登錄在主機(jī)上的用戶��,管理員可以用w����,who等命令來(lái)看
wtmpx:相當(dāng)于歷史紀(jì)錄�,記錄著所有登錄過(guò)主機(jī)的用戶����,時(shí)間�,來(lái)源等內(nèi)容�����,可用last命令來(lái)看
3) /var/log
syslog文件�����,這個(gè)文件的內(nèi)容一般是紀(jì)錄mail事件的
8.2. syslog
1) 實(shí)時(shí)錯(cuò)誤檢查:
tail –f /var/adm/messages
-f在監(jiān)視器上允許看見(jiàn)每條記錄 /var/adm/messages記錄事件路徑
2) /etc/syslog.conf語(yǔ)法:
*.err;kern.debug;deamon.notice;mail.crit /var/adm/messages
工具認(rèn)可的值
值 描述
user 用戶進(jìn)程產(chǎn)生的消息�。這是來(lái)自沒(méi)有在文件列表中的設(shè)備的消息的默認(rèn)優(yōu)先級(jí)
kern 由內(nèi)核產(chǎn)生的消息
mail 郵件系統(tǒng)
daemon 系統(tǒng)守護(hù)進(jìn)程
auth 授權(quán)系統(tǒng),如login�、su
lpr 行式打印機(jī)假脫機(jī)系統(tǒng)
news 網(wǎng)絡(luò)新聞系統(tǒng)USENET保留值
uucp 為UUCP系統(tǒng)保留值,目前UUCP不使用syslog機(jī)制
cron Cron/at工具����;crontab���、at����、cron
local0-7 為本地使用保留
mark 內(nèi)部用于由syslog產(chǎn)生的時(shí)間戳消息
* 除標(biāo)記工具之外的所有工具
級(jí)別認(rèn)可的值(按重要性降序排列)
emerg 用于通常必須廣播給所有用戶的恐慌情況
alert 必須立即被修正的情況����,例如被損壞的系統(tǒng)數(shù)據(jù)庫(kù)
crit 用戶對(duì)關(guān)鍵情況的告警,例如設(shè)備錯(cuò)誤
err 用于其他錯(cuò)誤
warning 用于所有的警告信息
notice 用于沒(méi)有錯(cuò)誤但是可能需要特別處理的情況�����。
info 通知消息
debug 用于通常只在調(diào)試時(shí)才使用的消息
none 不發(fā)送從指出的設(shè)備發(fā)來(lái)的消息到選定文件中
3) 例如如果要紀(jì)錄登錄信息(telnet)���,可以這樣做:
/etc/default/login中:SYSLOG=YES
/etc/syslog.conf中添加:auth.notice /export/home/wangyu/log
(把日志記錄在/export/home/wangyu/log文件中���,中間不是空格��,是Tab)
重新啟動(dòng)syslog守護(hù)進(jìn)程
當(dāng)telnet上去的時(shí)候����,我們看到/export/home/wangyu/log中有:
Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1 FROM 192.168.0.9
8.3. Loghost
編輯/etc/syslog.conf�����,語(yǔ)法:
*.err;kern.debug;deamon.notice;mail.crit @loghost
(記錄登錄信息)
重新啟動(dòng)syslog守護(hù)進(jìn)程
假設(shè)這次我們使用linux做日志主機(jī):
[root@wangyu root]#/sbin/setup
打開(kāi)配置界面-->;firewall configuration-->;custom-->;other ports:
寫(xiě)入 syslog:udp
重新啟動(dòng)防火墻
/etc/init.d/iptables restart或者/etc/init.d/ipchains restart
設(shè)置loghost接收網(wǎng)絡(luò)日志數(shù)據(jù)���,修改/etc/sysconfig/syslog配置文件:
修改 SYSLOGD_OPTIONS="-m 0" 為 SYSLOGD_OPTIONS="-r -m 0"
重新啟動(dòng)syslog守護(hù)進(jìn)程
此時(shí)/var/log/messages最下端附近會(huì)看到類似下面的信息
Aug 11 21:20:30 logserver syslogd 1.3-3: restart. (remote reception)
當(dāng)telnet上去的時(shí)候,我們看到/var/log/messages中有類似下面的信息:
Sep 5 11:08:31 mastadon login: [ID 507249 auth.notice] Login failure on /dev/pts/3 from 192.168.0.9, root
8.4. 記帳
Solaris操作系統(tǒng)可以通過(guò)設(shè)置日志文件可以對(duì)每個(gè)用戶的每一條命令進(jìn)行紀(jì)錄�,這一功能默認(rèn)是不開(kāi)放的
運(yùn)行/usr/lib/acct/accton [路徑][文件名]
(如/usr/lib/acct/accton /export/home/wangyu/test�,將日志記錄到test中)
查看的時(shí)候?qū)⑽募苿?dòng)到/var/adm目錄下,改名為pacct
執(zhí)行查看命令lastcomm(比如查看用戶root�,用命令lastcomm root)
8.5. BSM(以下部分節(jié)減自freedemon的“SecU Solaris p2.3 BSM審計(jì)系統(tǒng)”��,詳見(jiàn) http://bbs./index.php?act=ST&f=10&t=147174)
1) 開(kāi)啟BSM:
# init 1 (重新引導(dǎo)或改變運(yùn)行級(jí)別到單用戶狀態(tài))
#/etc/security/bsmconv (運(yùn)行BSM初始化腳本���,開(kāi)啟審計(jì)功能)
# reboot (重新啟動(dòng)系統(tǒng),或者Ctrl+D改變到多用戶狀態(tài))
2) 關(guān)閉BSM審計(jì)功能:
# init 1
# /etc/security/bsmunconv
# reboot
3) 配置文件的功能:
BSM所有的配置文件都存放在/etc/security目錄下( (4)代表詳細(xì)信息察看man (4) :
audit_class(4)
審計(jì)類別定義
audit_control(4)
審計(jì)進(jìn)程控制信息
audit_data(4)
審計(jì)進(jìn)程當(dāng)前信息
audit.log(4)審計(jì)日志格式
audit_event(4)
時(shí)間定義到類別的映射文件
audit_user(4)
按用戶審計(jì)時(shí)的用戶定義文件
除了上面的配置文件之外�����,系統(tǒng)中還有一些用于BSM管理的腳本。
audit_startup(1M)
啟動(dòng)BSM進(jìn)程運(yùn)行�。
auditconfig(1M)
讀取配置文件,重新配置audit進(jìn)程��。
auditd(1M)
審計(jì)監(jiān)控服務(wù)�����。
auditreduce(1M)
審計(jì)事件日志管理�����,可以調(diào)整日志格式���,生成時(shí)間周期等信息。
auditstat(1M)
先是內(nèi)核審計(jì)進(jìn)程狀態(tài)�。
bsmconv(1M)
開(kāi)啟BSM功能���。
bsmunconv(1M)
關(guān)閉BSM功能����。
praudit(1M)
打印BSM審計(jì)日志內(nèi)容���。
4) BSM應(yīng)用
在默認(rèn)配置情況下,BSM每天(24小時(shí))會(huì)生成一個(gè)以當(dāng)天日期為名字的審計(jì)日志��,存放在 /var/audit目錄下,這個(gè)文件具有自己的數(shù)據(jù)結(jié)構(gòu)����,所以直接查看時(shí)是亂碼����,必須使用系統(tǒng)命令 praudit來(lái)查看。
# praudit /var/audit/xxxxxx.xxxxxx.log
另一個(gè)可能用到的命令是auditreduce �,這個(gè)命令允許管理員對(duì)審計(jì)日志做一些設(shè)置�,例如調(diào)整審計(jì)事件集或調(diào)整審計(jì)日志生成周期等等。auditreduce和praudit是系統(tǒng)中BSM管理最基本的兩個(gè)命令���,組合起來(lái)可以完成相當(dāng)多的功能:
用管道聯(lián)合兩個(gè)命令,會(huì)顯示系統(tǒng)中所有的歷史審計(jì)事件�����。
# auditreduce | praudit
再加上lp�����,將把所有審計(jì)事件直接打印出來(lái)��。
# auditreduce | praudit | lp
如果系統(tǒng)中有相當(dāng)多的審計(jì)信息的話,查找將是非常困難的事情����,這條命令可以按照yymmdd的時(shí)間格式顯示目標(biāo)時(shí)間段內(nèi)的審計(jì)事件,范例為顯示April 13, 1990, 用戶fred的登錄類別審計(jì)事件集��。
# auditreduce -d 900413 -u fred -c lo | praudit
過(guò)濾目標(biāo)時(shí)間所有的登錄日志信息(Class:lo)�����,并且輸出到一個(gè)單獨(dú)的日志文件中:
# auditreduce -c lo -d 870413 -O /usr/audit_summary/logins
auditreduce的 -b 和 -a 選項(xiàng)允許用戶按照 yyyymmdd00:00:00 的時(shí)間格式制定一個(gè)時(shí)間段(Before & After)�����。
# auditreduce -a 91071500:00:00 | praudit
# auditreduce -b 91071500:00:00 | praudit
5) 管理工具:
eXpert-BSMTM
一個(gè)很強(qiáng)大的商業(yè)BSM分析工具,不過(guò)目前也可以免費(fèi)使用�,支持Solaris 7/8 (Sparc|Intel)平臺(tái),可以在下面地址下載�����。
http://www.sdl./projects/emerald/releases/eXpert-BSM/download.html
Sun WBEM
Solaris內(nèi)置的圖形界面管理工具�����,也就是AdminConsole���,在WBEM 2.3之后的版本支持對(duì)BSM信息的管理?�?梢杂孟旅婷铋_(kāi)啟:
# /usr/sadm/bin/wbemadmin (第一次運(yùn)行時(shí)會(huì)安裝一系列的管理腳本)
# /usr/sadm/bin/smc (開(kāi)啟管理終端)
以上����,對(duì)Solaris審計(jì)系統(tǒng)進(jìn)行了配置����,相信大部分用戶行為和入侵行為都被記錄下來(lái)了,并且對(duì)日志自身也進(jìn)行了一定保護(hù)�。如果管理員能及時(shí)分析日志,相信可以捕獲大部分入侵企圖和行為��。
|
