solaris 9 .0基本安全设置
1. 选择合适的。
只需要的软件包。
本例为solaris9
2. 补丁
从sunsolve.sun.com下载补丁
unzip 9_Recommended.zip
cd 9_Recommended
./install_cluster
3. 最小化启动 a. 禁止不需要启动的。一般情况下都可禁止启动
a.1 S01MOUNTFSYS
Mount all local filesystems ,不能禁止
a.2 S05RMTMPFILES
删除临时文件 需要启动
a.3 S20sysetup
需要启动
a.4 S21perf
全部被注释掉了 。。。。。。
a.5 S30sysid.net
需要启动
a.6 S40llc2
LLC2协议支持 需要启动
a.7 S42ncakmod
ncakmod is used to start or stop the Solaris Network Cache
and Accelerator ("NCA") kernel module 需要启动
a.8 S47pppd
ppp支持 不需要启动
执行:mv S47pppd _S47pppd
a.9 S69inet
tcp/ip的配置 需要启动
a.10 S70sckm
Sun fire 15000 Key Management Daemon 不需要启动
执行:mv S70sckm _S70sckm
a.11 S70uucp
Unix-to-Unix Copy 不需要
mv S70uucp _S70uucp
a.12 S71ldap.client
- 启动LDAP客户端 不需要
mv S71ldap.client _S71ldap.client
a.13 S71rpc
S71rpc + 启动rpcbind服务 rpcbind (RPC Portmap服务),如果需要CDE的话,这个进程是必需的 需要启动
a.14 S71sysid.sys
配置参数 需要
a.15 S72autoinstall
当放入sun兼容的媒体介质时,会自动启动脚本 不需要
mv S72autoinstall _S72autoinstall
a.16 S72directory
目录 不需要
mv S72directory _S72directory
a.17 S72inetsvc
启动inet server,包含named/nis 如果不需要 named和nis服务,可以禁用 不需要
mv S72inetsvc _S72inetsvc
a.18 S72slpd
打印 不需要
mv S72slpd _S72slpd
打印
a.19 S73cachefs.daemon
NFS缓存,可以提高NFS吞吐率 不需要
mv S73cachefs.daemon _S73cachefs.daemon
a.20 S73mpsadm
cluster 管理进程? 不需要
mv S73mpsadm _S73mpsadm
a.21 S73nfs.client
nfs客户端 不需要
mv S73nfs.client _S73nfs.client
a.22 S74autofs
当使用NFS时,这个进程会自动加载或卸载无用的用户文件
配置文件/etc/auto_home和auto_master
但是当没有使用nfs时,这个进程会对管理造成一些负面影响 不需要
mv S74autofs _S74autofs
a.23 S74syslog
日志进程 需要
a.24 S74xntpd
时间同步 不需要
mv S74xntpd _S74xntpd
a.25 S75cron
自动执行脚本 需要
a.26 S75flashprom
看起来象一个flash更新脚本 需要
a.27 S75savecore
核心内存转储脚本 需要
a.28 S76nscd
DNS名字缓存 不需要
mv S76nscd _S76nscd
a.29 S77sf880dr
针对V880机器的一个脚本 不需要
mv S77sf880dr _S77sf880dr
a.30 S80lp
打印 不需要
mv S80lp _S80lp
a.31 S80spc
还是打印 不需要
mv S80spc _S80spc
a.32 S85power
电源管理 需要
a.33 S88sendmail
邮件 不需要
mv S88sendmail _S88sendmail
a.34 S88utmpd
The utmpd daemon monitors the /var/adm/utmpx file
与帐号信息控制有关 ; 守护程序在规则的时间间隔内监控 /etc/utmp 文件以获得用户进程项的有效性。根据进程表
交叉校验该项的进程标识来除去/etc/utmp 文件中已终止的但未清除的用户进程。 需要
a.35 S89PRESERVE
不知所云 需要
a.36 S90loc.ja.cssd
看了脚本,不知到CS干吗 需要吧
a.37 S90wbem
WBEM,Solaris系统管理界面器,可以使用/usr/sadm/bin/smc
启动客户端程序连接管理 不需要
mv S90wbem _S90wbem
a.38 S91afbinit S91gfbinit S91ifbinit S91jfbinit
For systems with Elite3D Graphics 没有显卡的基本就不要了 不需要
mv S91afbinit _S91afbinit
mv S91gfbinit _S91gfbinit
mv S91ifbinit _S91ifbinit
mv S91jfbinit _S91jfbinit
a.39 S91zuluinit
Find out how many zulu cards are installed on the system 不需要
mv S91zuluinit _S91zuluinit
a.40 S93cacheos.finish
cache文件 不需要
mv S93cacheos.finish _S93cacheos.finish
a.41 S94Wnn6
日文输入 不需要
mv S94Wnn6 _S94Wnn6
a.42 S94ncalogd
NCA进程日志 不需要
mv S94ncalogd _S94ncalogd
a.43 S95IIim
启动输入法守护进程 Solaris国际化支持的一部分,启动东亚语言输入法 需要
a.44 S95svm.sync
devfsadm ,devfs同步进程 监控硬件,使/dev与/devices设备文件同步 需要
a.45 S98efcode
embedded FCode interpreter daemon, efdaemon is used on selected platforms as part of the processing of some
dynamic reconfiguration events 不知道干吗的, 只好让他运行了
a.46 S99atsv
可能是支持日文的,机器上没装, 不需要
a.47 S99audit
审计进程 需要
a.48 S99dtlogin
启动CDE登录进程 Solaris CDE图形界面启动进程 需要
a.49 S99rcapd
跟资源回收有关的 需要
rc3.d下面的
a.50 S13kdc.master S14kdc
Kdc服务 不需要
mv S13kdc.master _S13kdc.master
mv S14kdc _S14kdc
a.51 S15nfs.server
nfs服务 不需要
mv S15nfs.server _S15nfs.server
a.52 S16boot.server
远程启动 不需要
mv S16boot.server _S16boot.server
a.53 S34dhcp
dhcp服务 不需要
mv S34dhcp _S34dhcp
a.54 S50apache
http服务 不需要
mv S50apache _S50apache
a.55 S50san_driverchk
San驱动检查? 机器上没装 不需要
mv S50san_driverchk _S50san_driverchk
a.56 S76snmpdx
启动snmp服务 不需要
mv S76snmpdx _S76snmpdx
a.57 S77dmi
snmp的子 不需要
mv S77dmi _S77dmi
a.58 S80mipagent
启动Mobile IP 代理 不需要
mv S80mipagent _S80mipagent
a.59 S81volmgt
软盘光驱的卷管理 需要
a.60 S84appserv
Sun one server的东东 不需要
mv S84appserv _S84appserv
a.61 S89sshd
需要
a.62 S90samba
需要挂载windows文件才需要 不需要
mv S90samba _S90samba
a.63 S86directorysnmp
跟Sun Directory目录有关 不需要
mv S86directorysnmp _S86directorysnmp
a.64 S99JESsplash
不知道干吗 不需要
mv S99JESsplash _S99JESsplash
b. 与a相关的配置文件也可去除,使更加易于审计
4. 关闭inetd服务 a. ssh作为telnet和ftp来说更安全。
b. ssh作为启动并一直运行的时候,再将inetd服务器完全关闭。
c. 必须运行inetd服务的时候一定需要:
a.1. 只在inetd.conf里面保留需要的表项。
a.2. 对保留使用的inetd服务表项使用tcp wrappers (tcpd进程)。
a.3. 使用inetd -t 参数记录扩展的日志信息。
5. 调整内核 5.1 减少arp过期时间
ndd -set /dev/arp arp_cleanup_interval 60000
//ndd -set /dev/ip ip_ire_flush_interval 60000// solaris9 已经没有这个参数
5.2 IP Forwarding (IP转发) a. 关闭IP转发
ndd -set /dev/ip ip_forwarding 0
b. 严格限定多主宿主机,如果是多宿主机,还可以加上更严格的限定防止ip spoof的攻击
ndd -set /dev/ip ip_strict_dst_multihoming 1
c. 转发包广播由于在转发状态下默认是允许的,为了防止被用来实施smurf攻击,关闭这一特性
ndd -set /dev/ip ip_forward_directed_broadcasts 0
5.3 路由 a. 关闭转发源路由包
ndd -set /dev/ip ip_forward_src_routed 0
5.4 ICMP:控制信息协议
a. 禁止响应Echo广播:
ndd -set /dev/ip ip_respond_to_echo_broadcast 0
b. 禁止响应时间戳广播
ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0
c. 禁止响应地址掩码广播
ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0 5.5 重定向错误
a. 禁止接受重定向错误
ndd -set /dev/ip ip_ignore_redirect 1
b. 禁止发送重定向错误报文
ndd -set /dev/ip ip_send_redirects 0
c. 禁止时间戳响应
ndd -set /dev/ip ip_respond_to_timestamp 0 5.6 SYN_flood攻击又称半开式连接攻击,
a. 将默认的队列值从1024提高到4096来降低受到攻击时的危害
ndd -set /dev/tcp tcp_conn_req_max_q0 4096 5.7 连接耗尽攻击
a. 将核心以连接队列参数(默认是128)增大到1024来预防这种攻击
ndd -set /dev/tcp tcp_conn_req_max_q 1024 5.8 防止IP 欺骗 对于solaris系统Tcp协议实现的ISN生成有三种方式。
0: 可预测的ISN
1: 增强的ISN 随机生成
2: RFC 1948描述的ISN生成方式
所有版本的solaris默认生成方式值是1。2.5.1只有 0,1两种方式,2.6/7拥有0,1,2三种ISN生成方式。 修改/etc/default/inetinit文件来提高ISN的生成强度。将 TCP_STRONG_ISS=1改为 TCP_STRONG_ISS=2重起生效。 5.9 增加私有端口
一般的情况下,1-1024端口被称为私有端口,只允许具有根权限的进程连接。但是有些大于1 024的端口,即使需要这样的限制,
却无法定义,如NFS的器端口2049,当然还有一些其他定义的高于1024的私有端口。
a. 自定义最小的非私有端口
ndd -set /dev/tcp tcp_smallest_nonpriv_port 2050
这样以来,0-2049都被定义为私有端口。
b. 用来显示已经定义的扩展私有端口
ndd /dev/tcp tcp_extra_priv_ports
c. 单独增加一个私有端口定义
ndd -set /dev/tcp tcp_extra_priv_ports_add 6112
d. 删除私有端口定义
ndd -set /dev/tcp tcp_extra_priv_ports_del 6112
e. 要注意的是,不要随便定义私有端口,因为有些非根权限的进程会使用这些端口。特别是改变最小非私有端口这个参数,
经常会引起问题。应仔细分析你的需求再用扩展私有端口定义的方式单独增加。
f. ndd /dev/tcp tcp_extra_priv_ports 执行结果(某)
2049
4045
9010
一共定义了3个私有端口
5.10 其他内核参数的调整
a. – Enable stack protection 直译为允许堆栈保护,应该使防止缓冲区溢出攻击
You should definitely add the following two lines to your /etc/system file:
set noexec_user_stack = 1
set noexec_user_stack_log = 1
b. – Prevent core dumps 避免核心内存转储
coreadm -d process
c. – Set limits on processes
6. 增强日志记录 Definitely tweak syslog.conf to capture
auth.info and daemon.notice msgs
? Create /var/adm/loginlog
? Additional levels of logging:
– System accounting (sar and friends)
– Process accounting
– Kernel level auditing (BSM)7. 保护文件? File systems should either be mounted
"nosuid" or "ro" (read-only)
? Set "logging" option on root file system
if you're running Solaris 8 or later
? Don't forget removable media devices:
– Turn off vold if possible
– Make sure rmmount.conf sets "nosuid"8. 警告信息 两个文件 /etc/motd ;/etc/issue
– /etc/default/{telnetd,ftpd}
– EEPROM
– GUI Login
9. 加强的访问控制 9.1. 只允许root从console登陆
CONSOLE=/dev/console is set in /etc/default/login
sshd_config 里面 PermitRootLogin no
9.2. 禁止或删除不用的帐号
对不需要登陆的帐号,可将/etc/passwd文件中的shell选项修改为/bin/false 或者/dev/null
9.3. 创建/etc/ftpusers
在该文件中未指定的用户才能使用ftp服务
9.4. 禁止.rhosts支持
a. 删除中的.rhosts文件
b. 使用ssh的情况下,保证sshd_config文件中("IgnoreRhosts yes")
c. /etc/pam_conf and remove any lines containing rhosts_auth, even if you've disabled rlogin/rcp.
9.5. 限制对cron和at的访问
cron.allow and at.allow列出有权运行提交修改cron和at任务的用户
9.6. eeprom到安全模式
Setting "eeprom security-mode=command" will cause the machine to prompt for a password
before boot-level commands are accepted. This prevents attackers with physical access from booting from
alternate media (like a CD-ROM) and bypassing your system security.
9.7. 限制xdmcp,锁定屏幕的屏保
If you're running X Windows on the machine, make sure to disable remote XDMCP access in
/etc/dt/config/Xaccess. You may also want to set a default locking screensaver timeout for your
users in /etc/dt/config/*/sys.resources.
10. 安全工具 10.1 至少的安全工具
– SSH
– TCP Wrappers
– NTP
– fix-modes
10.2 增强工具
– Tripwire, AIDE, etc.
– Logsentry (formerly Logcheck) or Swatch
– Host-based firewall, Portsentry, etc.
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- 在Mac OS X中ubuntu usb启动盘制作的方法
- Win10 10122预览版怎么删除桌面右键菜单中项目?
- Windows7 U盘启动制作的方法
- Win10 Mobile 10586.164正式版3月累积更新内容汇总
- vmware虚拟机中ubuntu 16.04 详细安装教程(图文)附下载地址
- FREEBSD6.0 架设FTP 服务器
- Win10剪切板在哪 Win10清空剪贴板教程
- Win10锁屏密码怎么取消?2种关闭Win10锁屏密码方法
- 开机音效回归! Windows 11重新引入开机铃声
- Win10 64位系统安装HP 6L打印机的方法
- Solaris10之加载Windows/EXT等分区数据
- Win10 RS2预览版14942自制ISO镜像下载 32位/64位
- 详解OpenSSL中的加密算法指令
- Win10 消费者预览版开启管理员账号权限的技巧
- Solaris系统维护经验的几点总结
- Linux下安装TeamCity简单教程
- Ubuntu 15.10候最终选版ISO镜像下载 正式版10月22日发布
- win7系统检查设备管理出现PCI Device驱动未安装的原因分析及解决方法
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1联想笔记本&台式机专用系统 GhostWin7 64位旗舰版2018年7月(64位) 提供下载
- 2笔记本&台式机专用系统 GhostWin7 32位旗舰版2020年4月(32位) ISO镜像免费下载
- 3笔记本&台式机专用系统 GHOSTXPSP3 2020年2月 新春特别 海驱版 ISO镜像高速下载
- 4番茄花园 Ghost XP SP3 海量驱动装机版 2021年4月 ISO镜像高速下载
- 5电脑公司Ghost Win8.1 x32 精选纯净版2019年10月(免激活) ISO镜像高速下载
- 6笔记本&台式机专用系统 GHOSTXPSP3 2022年7月 海驱版 ISO镜像高速下载
- 7雨林木风 Ghost Win7 SP1 装机版 2020年8月(32位) 提供下载
- 8新雨林木风 Windows10 x86 企业装机版2020年9月(32位) ISO镜像高速下载
- 9雨林木风系统 Ghost XP SP3 装机版 YN2022年7月 ISO镜像高速下载
- 10电脑公司Ghost Win8.1 x32 喜迎国庆 精选纯净版2020年10月(免激活) ISO镜像高速下载