保护SUNSolaris系统安全

王朝other·作者佚名 2008-05-19

宽屏版字体: 小|中|大|超大

1．防止基于堆栈的缓冲区溢出

对/etc/system文件做备份。

#cp /etc/system /etc/system.backup

用vi编辑器编辑system文件，在system文件的最后加如下2行内容。

set noexec_user_stack=1

set noexec_user_stack_log=1

保存文件，退出编辑器。

2．关闭不用的服务

在inetd.conf中关闭不用的服务

首先复制/etc/inet/inetd.conf。

#cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup

然后用vi编辑器编辑inetd.conf文件，

对于需要注释掉的服务在相应行开头标记“#”字符即可，保留服务如代码1所示。

注: Ftp和Telnet服务在不需要时也可注释掉。

在Services中关闭不用的服务

首先复制/etc/inet/services。

#cp /etc/inet/services /etc/inet/services.backup

然后用vi编辑器编辑Services文件，对于需要注释掉的服务在相应行开头标记“#”字符即可。可停用服务如代码2所示。

在inetd.conf、services中进行修改后，找到inetd进程的ID号，用kill向其发送HUP信号进行刷新。举例如下。

#ps -ef | grep inetd

#kill -HUP 进程号

代码1

ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd

telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

talk dgram udp wait root /usr/sbin/in.

talkd in.talkd

uucp stream tcp nowait root /usr/sbin/in.

uucpd in.uucpd

time stream tcp nowait root internal

time dgram udp wait root internal

echo stream tcp nowait root internal

echo dgram udp wait root internal

discard stream tcp nowait root internal

discard dgram udp wait root internal

daytime stream tcp nowait root internal

daytime dgram udp wait root internal

代码2

echo 7/tcp

echo 7/udp

discard 9/tcp sink null

discard 9/udp sink null

systat 11/tcp users

daytime 13/tcp

daytime 13/udp

netstat 15/tcp

chargen 19/tcp ttytst source

chargen 19/udp ttytst source

whois 43/tcp nicname # usually to sri-nic

tftp 69/udp

rje 77/tcp

finger 79/tcp

link 87/tcp ttylink

supdup 95/tcp

iso-tsap 102/tcp

x400 103/tcp # ISO Mail

x400-snd 104/tcp

csnet-ns 105/tcp

pop-2 109/tcp # Post Office

uucp-path 117/tcp

3．根据需要停用以下服务(如附表所示)

附表

sendmail 把/etc/rc2.d/S88sendmai

更名为 /etc/rc2.d/X88sendmail

DNS 把/etc/rc2.d/S88sendmai

在/etc/rc2.d/S72inetsv中

把运行in.named的一项注释掉

NFS服务器把/etc/rc3.d/S15nfs.server

更名为 /etc/rc3.d/X15nfs.server

NFS 客户机把/etc/rc2.d/S73nfs.client

更名为 /etc/rc2.d/X73nfs.client

Automounter 把/etc/rc2.d/S74autofs

更名为 /etc/rc2.d/X74autofs

ntp 把/etc/rc2.d/S74xntpd

更名为 /etc/rc2.d/X74xntpd

syslog 把/etc/rc2.d/S74syslog

更名为 /etc/rc2.d/X74syslog

打印服务把/etc/rc2.d/S80lp

更名为 /etc/rc2.d/X80lp

4．下载补丁程序并安装

---- 您可以访问http://www.sunsolve.com站点，下载最新补丁程序并安装，修复软件错误和安全漏洞。