位置: 编程技术 - 正文

solaris 9 .0基本安全设置(solaris 11.3)

编辑:rootadmin

推荐整理分享solaris 9 .0基本安全设置(solaris 11.3),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:solaris安装软件包,solaris安装教程,solaris 11.3,solaris安装软件,solaris安装软件包,solaris 11.4,solaris安装软件包,solaris10安装,内容如对您有帮助,希望把文章链接给更多的朋友!

solaris 9 .0基本安全设置(solaris 11.3)

1. 选择合适的安装。

只安装需要的软件包。 本例为solaris9 2. 安装系统补丁 从sunsolve.sun.com下载补丁 unzip 9_Recommended.zip cd 9_Recommended ./install_cluster 3. 最小化启动服务 a. 禁止不需要启动的服务。一般情况下服务都可禁止启动 a.1 SMOUNTFSYS Mount all local filesystems ,不能禁止 a.2 SRMTMPFILES 删除临时文件 需要启动 a.3 Ssysetup 系统设置 需要启动 a.4 Sperf 全部被注释掉了 。。。。。。 a.5 Ssysid.net 网络设置 需要启动 a.6 Sllc2 LLC2协议支持 需要启动 a.7 Sncakmod ncakmod is used to start or stop the Solaris Network Cache and Accelerator ("NCA") kernel module 需要启动 a.8 Spppd ppp支持 不需要启动 执行:mv Spppd _Spppd a.9 Sinet tcp/ip的配置 需要启动 a. Ssckm Sun fire Key Management Daemon 不需要启动 执行:mv Ssckm _Ssckm a. Suucp Unix-to-Unix Copy 不需要 mv Suucp _Suucp a. Sldap.client - 启动LDAP客户端 不需要 mv Sldap.client _Sldap.client a. Srpc Srpc + 启动rpcbind服务 rpcbind (RPC Portmap服务),如果需要CDE的话,这个进程是必需的 需要启动 a. Ssysid.sys 配置系统参数 需要 a. Sautoinstall 当放入sun兼容的媒体介质时,会自动启动安装脚本 不需要 mv Sautoinstall _Sautoinstall a. Sdirectory 目录服务 不需要 mv Sdirectory _Sdirectory a. Sinetsvc 启动inet server,包含named/nis 如果不需要 named和nis服务,可以禁用 不需要 mv Sinetsvc _Sinetsvc a. Sslpd 打印服务 不需要 mv Sslpd _Sslpd 打印服务 a. Scachefs.daemon NFS缓存服务,可以提高NFS吞吐率 不需要 mv Scachefs.daemon _Scachefs.daemon a. Smpsadm cluster 服务管理进程? 不需要 mv Smpsadm _Smpsadm a. Snfs.client nfs客户端 不需要 mv Snfs.client _Snfs.client a. Sautofs 当使用NFS时,这个进程会自动加载或卸载无用的用户网络文件系统 配置文件/etc/auto_home和auto_master 但是当没有使用nfs时,这个进程会对系统管理造成一些负面影响 不需要 mv Sautofs _Sautofs a. Ssyslog 系统日志服务进程 需要 a. Sxntpd 网络时间同步服务 不需要 mv Sxntpd _Sxntpd a. Scron 自动执行脚本服务 需要 a. Sflashprom 看起来象一个flash更新脚本 需要 a. Ssavecore 核心内存转储脚本 需要 a. Snscd DNS名字缓存服务 不需要 mv Snscd _Snscd a. Ssfdr 针对V机器的一个脚本 不需要 mv Ssfdr _Ssfdr a. Slp 打印服务 不需要 mv Slp _Slp a. Sspc 还是打印服务 不需要 mv Sspc _Sspc a. Spower 电源管理 需要 a. Ssendmail 邮件服务 不需要 mv Ssendmail _Ssendmail a. Sutmpd The utmpd daemon monitors the /var/adm/utmpx file 与帐号信息控制有关 ; 守护程序在规则的时间间隔内监控 /etc/utmp 文件以获得用户进程项的有效性。根据进程表 交叉校验该项的进程标识来除去/etc/utmp 文件中已终止的但未清除的用户进程。 需要 a. SPRESERVE 不知所云 需要 a. Sloc.ja.cssd 看了脚本,不知到CS干吗 需要吧 a. Swbem WBEM,Solaris系统管理界面服务器,可以使用/usr/sadm/bin/smc 启动客户端程序连接管理 不需要 mv Swbem _Swbem a. Safbinit Sgfbinit Sifbinit Sjfbinit For systems with Elite3D Graphics 没有显卡的基本就不要了 不需要 mv Safbinit _Safbinit mv Sgfbinit _Sgfbinit mv Sifbinit _Sifbinit mv Sjfbinit _Sjfbinit a. Szuluinit Find out how many zulu cards are installed on the system 不需要 mv Szuluinit _Szuluinit a. Scacheos.finish cache文件系统 不需要 mv Scacheos.finish _Scacheos.finish a. SWnn6 日文输入系统 不需要 mv SWnn6 _SWnn6 a. Sncalogd NCA进程日志 不需要 mv Sncalogd _Sncalogd a. SIIim 启动输入法守护进程 Solaris国际化支持的一部分,启动东亚语言输入法 需要 a. Ssvm.sync devfsadm ,devfs同步进程 监控系统硬件,使/dev与/devices设备文件同步 需要 a. Sefcode embedded FCode interpreter daemon, efdaemon is used on selected platforms as part of the processing of some dynamic reconfiguration events 不知道干吗的, 只好让他运行了 a. Satsv 可能是支持日文的,机器上没装, 不需要 a. Saudit 审计进程 需要 a. Sdtlogin 启动CDE登录进程 Solaris CDE图形界面启动进程 需要 a. Srcapd 跟资源回收有关的 需要 rc3.d下面的 a. Skdc.master Skdc Kdc服务 不需要 mv Skdc.master _Skdc.master mv Skdc _Skdc a. Snfs.server nfs服务 不需要 mv Snfs.server _Snfs.server a. Sboot.server 远程启动服务 不需要 mv Sboot.server _Sboot.server a. Sdhcp dhcp服务 不需要 mv Sdhcp _Sdhcp a. Sapache http服务 不需要 mv Sapache _Sapache a. Ssan_driverchk San驱动检查? 机器上没装 不需要 mv Ssan_driverchk _Ssan_driverchk a. Ssnmpdx 启动snmp服务 不需要 mv Ssnmpdx _Ssnmpdx a. Sdmi snmp的子服务 不需要 mv Sdmi _Sdmi a. Smipagent 启动Mobile IP 代理 不需要 mv Smipagent _Smipagent a. Svolmgt 软盘光驱的卷管理 需要 a. Sappserv Sun one server的东东 不需要 mv Sappserv _Sappserv a. Ssshd 需要 a. Ssamba 需要挂载windows文件系统才需要 不需要 mv Ssamba _Ssamba a. Sdirectorysnmp 跟Sun Directory目录服务有关 不需要 mv Sdirectorysnmp _Sdirectorysnmp a. SJESsplash 不知道干吗 不需要 mv SJESsplash _SJESsplash b. 与a相关的配置文件也可去除,使系统更加易于审计 4. 关闭inetd服务 a. ssh作为telnet和ftp来说更安全。 b. ssh作为启动服务并一直运行的时候,再将inetd服务器完全关闭。 c. 必须运行inetd服务的时候一定需要: a.1. 只在inetd.conf里面保留需要服务的表项。 a.2. 对保留使用的inetd服务表项使用tcp wrappers (tcpd进程)。 a.3. 使用inetd -t 参数记录扩展的日志信息。 5. 调整内核 5.1 减少arp过期时间 ndd -set /dev/arp arp_cleanup_interval //ndd -set /dev/ip ip_ire_flush_interval // solaris9 已经没有这个参数 5.2 IP Forwarding (IP转发) a. 关闭IP转发 ndd -set /dev/ip ip_forwarding 0 b. 严格限定多主宿主机,如果是多宿主机,还可以加上更严格的限定防止ip spoof的攻击 ndd -set /dev/ip ip_strict_dst_multihoming 1 c. 转发包广播由于在转发状态下默认是允许的,为了防止被用来实施smurf攻击,关闭这一特性 ndd -set /dev/ip ip_forward_directed_broadcasts 0 5.3 路由 a. 关闭转发源路由包 ndd -set /dev/ip ip_forward_src_routed 0 5.4 ICMP:网络控制信息协议 a. 禁止响应Echo广播: ndd -set /dev/ip ip_respond_to_echo_broadcast 0 b. 禁止响应时间戳广播 ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0 c. 禁止响应地址掩码广播 ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0 5.5 重定向错误 a. 禁止接受重定向错误 ndd -set /dev/ip ip_ignore_redirect 1 b. 禁止发送重定向错误报文 ndd -set /dev/ip ip_send_redirects 0 c. 禁止时间戳响应 ndd -set /dev/ip ip_respond_to_timestamp 0 5.6 SYN_flood攻击又称半开式连接攻击, a. 将默认的队列值从提高到来降低受到攻击时的危害 ndd -set /dev/tcp tcp_conn_req_max_q0 5.7 连接耗尽攻击 a. 将核心以连接队列参数(默认是)增大到来预防这种攻击 ndd -set /dev/tcp tcp_conn_req_max_q 5.8 防止IP 欺骗 对于solaris系统Tcp协议实现的ISN生成有三种方式。 0: 可预测的ISN 1: 增强的ISN 随机生成 2: RFC 描述的ISN生成方式 所有版本的solaris默认生成方式值是1。2.5.1只有 0,1两种方式,2.6/7拥有0,1,2三种ISN生成方式。 修改/etc/default/inetinit文件来提高ISN的生成强度。将 TCP_STRONG_ISS=1改为 TCP_STRONG_ISS=2重起系统生效。 5.9 增加私有端口 一般的情况下,1-端口被称为私有端口,只允许具有根权限的进程连接。但是有些大于1 的端口,即使需要这样的限制, 却无法定义,如NFS的服务器端口,当然还有一些其他定义的高于的私有端口。 a. 自定义最小的非私有端口 ndd -set /dev/tcp tcp_smallest_nonpriv_port 这样以来,0-都被定义为私有端口。 b. 用来显示已经定义的扩展私有端口 ndd /dev/tcp tcp_extra_priv_ports c. 单独增加一个私有端口定义 ndd -set /dev/tcp tcp_extra_priv_ports_add d. 删除私有端口定义 ndd -set /dev/tcp tcp_extra_priv_ports_del e. 要注意的是,不要随便定义私有端口,因为有些非根权限的进程会使用这些端口。特别是改变最小非私有端口这个参数, 经常会引起问题。应仔细分析你的需求再用扩展私有端口定义的方式单独增加。 f. ndd /dev/tcp tcp_extra_priv_ports 执行结果(某系统) 一共定义了3个私有端口 5. 其他内核参数的调整 a. – Enable stack protection 直译为允许堆栈保护,应该使防止缓冲区溢出攻击 You should definitely add the following two lines to your /etc/system file: set noexec_user_stack = 1 set noexec_user_stack_log = 1 b. – Prevent core dumps 避免核心内存转储 coreadm -d process c. – Set limits on processes 6. 增强日志记录 Definitely tweak syslog.conf to capture auth.info and daemon.notice msgs ? Create /var/adm/loginlog ? Additional levels of logging: – System accounting (sar and friends) – Process accounting – Kernel level auditing (BSM)7. 保护文件系统? File systems should either be mounted "nosuid" or "ro" (read-only) ? Set "logging" option on root file system if you're running Solaris 8 or later ? Don't forget removable media devices: – Turn off vold if possible – Make sure rmmount.conf sets "nosuid"8. 设置警告信息 两个文件 /etc/motd ;/etc/issue – /etc/default/{telnetd,ftpd} – EEPROM – GUI Login 9. 加强系统的访问控制 9.1. 只允许root从console登陆 CONSOLE=/dev/console is set in /etc/default/login sshd_config 里面设置 PermitRootLogin no 9.2. 禁止或删除不用的帐号 对不需要登陆的帐号,可将/etc/passwd文件中的shell选项修改为/bin/false 或者/dev/null 9.3. 创建/etc/ftpusers 在该文件中未指定的用户才能使用ftp服务 9.4. 禁止.rhosts支持 a. 删除系统中的.rhosts文件 b. 使用ssh的情况下,保证sshd_config文件中("IgnoreRhosts yes") c. /etc/pam_conf and remove any lines containing rhosts_auth, even if you've disabled rlogin/rcp. 9.5. 限制对cron和at的访问 cron.allow and at.allow列出有权运行提交修改cron和at任务的用户 9.6. 设置eeprom到安全模式 Setting "eeprom security-mode=command" will cause the machine to prompt for a password before boot-level commands are accepted. This prevents attackers with physical access from booting from alternate media (like a CD-ROM) and bypassing your system security. 9.7. 限制xdmcp,设置锁定屏幕的屏保 If you're running X Windows on the machine, make sure to disable remote XDMCP access in /etc/dt/config/Xaccess. You may also want to set a default locking screensaver timeout for your users in /etc/dt/config/*/sys.resources. . 安装安全工具 .1 至少的安全工具 – SSH – TCP Wrappers – NTP – fix-modes .2 增强工具 – Tripwire, AIDE, etc. – Logsentry (formerly Logcheck) or Swatch – Host-based firewall, Portsentry, etc.

soalris系统安装软件包 applicationSUNWabsdkSolaris7SoftwareDeveloperCollectionpkginfo[-d[device|pathname]][-l]pkg_name参数:-d软件包所在的设备路径-l软件包的详细描述pkg_name软件包的名字#pkginfo

Solaris 基础知识 1.Q:Solaris的系统配置文件一般在什么地方?A:可以查看/etc/system文件,里面有一些solaris启动时默认加载的选项,包括共享内存大小等的设置。2.Q:在solaris

在solaris上如何设置adsl拨号连接 我在vmware上安装了solarisforx版。注意:在设定vmware网卡的时候一定要设成bridge模式,否则即使拨号设置的正确,也不能连接上网通的网络。1、设置本

标签: solaris 11.3

本文链接地址:https://www.jiuchutong.com/biancheng/354227.html 转载请保留说明!

上一篇:Solaris 9.0下安装配置Apache-2.0.45+php-4.3.1+mysql-4.1.0(solaris11.4安装教程)

下一篇:soalris系统安装软件包(soapui安装与配置)

  • 如何办理车辆购置置换补贴手续
  • 支付的各项税费现金流量表怎么填
  • 汽车加油增值税发票
  • 外汇账户包括哪些类型
  • 向金融企业借款利息支出可以税前扣除吗
  • 成品油进项税转出
  • 销售退回的会计分录金额怎么写
  • 置换新房产支付资金怎么纳税?
  • 企业收到委托开发软件的货款如何记账?
  • 采购办公用品计入什么科目
  • 企业接受基金投资的规定
  • 城市建设维护税怎么计算
  • 工具器具属于固废吗
  • 购入样品账务处理
  • 地下人防设置要求
  • 公司的资产负债表包括
  • 其他应收款注销时处理
  • 清理备用金
  • 应收账款贷方余额重分类到哪
  • 斐讯路由器地址在哪里看
  • 车辆购置税会计账务处理
  • php 输出
  • win11触摸板不能用
  • 交易性金融资产是什么意思
  • 未分配利润进行利润分配分录
  • 制造业成本核算明细表
  • 住房公积金领出来用了影响以后买房贷款吗
  • 打开苹果safari浏览器
  • php新手入门
  • 企业注销清算流程
  • 应收票据是借还是贷
  • 微信小程序实训内容
  • nodejs vue
  • 产成品核算的内容
  • mysql常用命令行大全
  • 高德地图的2种导航方式
  • 账面价值是历史价值吗
  • 现金流量表第四个期初现金余额怎么填
  • 对公账号可以绑定微信提现吗
  • 营业外收入怎么结转到本年利润
  • MySQL发生系统错误2和5
  • 现金流量表四个部分
  • 收取水电费计入什么科目
  • 小微小型微利企业表述正确的有
  • 债券投资的会计科目有哪些
  • 新《准则》适用对象为
  • sqlserver设置简单模式
  • 应付职工薪酬的核算内容
  • 会计差错更正的会计处理方法
  • 委外研发费用如何界定
  • 购买展示样品是指什么
  • 分配现金股利如何做会计分录长投
  • 普通发票和增值发票的区别在哪里
  • 私营企业固定资产折旧
  • centos访问网页命令
  • 让Windows XP、2003、2008自动登录的设置
  • 在windows 7
  • 微软宣布将AI引入Office套件
  • ssh远程连接linux
  • win7误删注册表
  • windows xp删除所有数据
  • windows传输到mac
  • macbook qq截图存在哪
  • centos n1
  • linux命令怎么用
  • linux系统怎么修改文件里的参数
  • linux如何修改网关地址
  • win7更新显卡驱动后黑屏的解决方法
  • cocos做游戏
  • html框架frameset代码
  • 税务局各部门职责
  • 南京税务局是地市级还是副省级
  • 银行税务代扣需要什么材料
  • 国税总局关于总局的文件
  • 如何查询哈尔滨医院药品信息
  • 税务局六大攻坚
  • 卫生志愿服务活动
  • 个人所得税税收政策2023最新规定
  • 阿勒泰捡石头的地方在哪里
  • 北京税务迁址流程是什么
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设