陈栓
摘 要Solaris为Sun Microsystems研发的一种计算机操作系统,主要用于民航、广电、电力企业自动化管理,并且体现了非常高的实用性、可靠性与可扩展性,除了能够对系统持续性以及稳定性进行保证,也可以满足今后企业业务增长的需求。但SUN SOLARIS系统本身存在安全性方面的问题,所以,构建一个安全的SUN SOLARIS系统非常必要。本文以此为前提,重点分析了构建安全的SUN SOLARIS系统的几点建议,目的在于实现空管的蓬勃发展。
【关键词】安全 SUN SOLARIS系统 构建 可扩展性
Solaris系统本身具有一定的安全性,并且能够满足空管系统在安全性方面的要求,然而无论任何一个系统都会面临安全隐患,加之Solaris系统在中南空管局各地区分局的运用比较普遍,安全问题自然无可避免。在系统发展的过程中,与之相对应的Patch系统也在不断更新,这也就证明了安全性的问题。为了使安全保障得到提升,文章以Solaris系统入手,分析了Solaris系统安全问题,并探讨了SUN SOLARIS系统中存在的安全漏洞,提出了一系列解决对策。
1 Solaris系统的安全配置
1.1 加强本地安全
这其中包含一些限制命令访问、正确文件权限的设置、应用组与用户概念、suidPsgid文件、rw-rw-rw文件等。
1.2 加强网络安全
通过安全协议实施管理、将一些不需要服务与帐号、系统之间的信任关系、增强认证的密码、危险性高的网络服务以及限制访问等,都要加强网络安全。
1.3 加强应用安全
对用户的权限、进程所有者权限、检查应用文件的权限、其它系统资源访问的权限进行禁止,并删除samples以及一些其它不需要的组件等。一般Telephonics自动化系统中设置一个root口令,确保口令的复杂性,也就是口令长度至少为8位,其中涵盖数字、字母、标点,最好不要是一个完整的英文语句。此外,也可以对磁盘进行分区,为其备份管理提供便利。
1.4 监控警报
其中主要涵盖日志、完整性以及入侵检测等工具的监控。
2 主机安全配置
主机安全配置需要做到以下几点:
(1)及时更新系统补丁;
(2)保证控制台和文件系统的安全;
(3)进行用户管理;
(4)保证系统开启和关闭的安全性;
(5)调整内核;
(6)日志及审核以及一些其他的内容等。
2.1 更新系统补丁
系统补丁的更新对于系统管理人员而言,是一项基本的维护工作,其实系统补丁主要包含操作系统补丁、应用服务软件补丁等,例如Web服务、DNS服务以及数据库等。SUN操作系统补丁列表的获取,网站如下:ftp://sunsolve1.sun.comPpubPpatches/;
http://sunsolve1.sun.com/。
进行完整性检查,通过校验工具对所下载的补丁软件进行查看,避免补丁软件被植入木马程序。有条件的话也可以先进行补丁修补的实验,由于一些补丁可能会对服务运行造成限制,系统管理人员运用showrev-p命令对系统补丁的修补状况进行检查。
2.2 确保控制台安全
首先要设置一个OpenBoot安全级别,其目的在于避免可物理接触系统的行为主体对系统OpenBoot参数进行篡改,最终控制系统。其一可以对允许访问OpenBoot用户通过外部硬盘开启系统,以此达到控制系统的目的,其二,通过Stop-A关闭系统的用户,可以对全部OpenBoot环境变量进行修改。Openboot安全级别主要包括none、command、full这3种,具体含义可从SOLARIS系统内自行查找。
2.3 保证文件系统的安全性
对于计算机系统而言,文件系统是其中对于关键的部分,主要作用是对计算机信息进行管理和储存,其中有数据和操作系统等。此外,管理系统文件的运行,主要是对访问权限进行设置,并控制用户访问文件的具体形式,例如读、写以及具体的执行。
2.3.1 文件权限
因为包含suidPsgid位可执行文件极有可能被入侵者所利用,使其能够获得系统最高root权限。所以,若这一文件或者目录无需suidPsgid权限,要将与之相对应的suidPsgid位删除。
2.3.2 将一些使用率不高的suid文件阐述
过多的setuid程序一般只是通过root实现运行,或是通过某一特定用户实现运行,其实可以移除setuid位,系统管理员按照实际适当调整。参考SUN网站、CERT发表的安全公告,若已经存在漏洞程序依然有setuid位,需要下载补丁并对补丁进行更新。如果当前不能获取需要的补丁程序,可以先将这一程序setuid位移除,并新建setuidPsetgid程序列表,将其当作系统审核重要根据。如此便可以观察是否有新setuid程序。针对一些无法确定来源的setuid位程序,要及时将其删掉。
2.3.3 对不需要的sgid文件权限进行变更
针对使用率较高并且十分必要的文件,需要建立sgid位。系统管理员按照应用需求进行设置,一般是不需要设置的。
2.4 用户管理
2.4.1 对不需要的系统帐户进行封锁
带有管理性质的帐号要及时进行封锁,以免遭到入侵者的利用。这一类帐号主要以bin、adm、nuucp、nobody、noaccess为主。
2.4.2 口令與口令策略
口令的长度必须要长于8位,且要同时包含字母、数字、标点。在设置密码参数时,要对/etc/default/passwd进行编辑、设置。确保所有用户都已经进行了密码的设置,随后对/etc/passwd和/etc/shadow进行检查,所有用户密码栏都要处于空白状态。endprint
2.4.3 对登录配置文件进行修改
避免root远程登录,超级用户最好不要采用直接登录的方式,并在/etc/default/login文件内进行CONSOLE=/dev/null的设置。如此一来,所有想要成为超级用户系统管理员,都要先登陆自己的普通帐号,并使用su命令将账户切换成为超级用户。这主要是因为系统会自动记录用户对于su命令的使用情况,从而对用户行为进行审查。
编辑etc/default/login,并加上以下代码,如图1所示。
对所有的root登录尝试进行记录,如图2所示。
2.4.4 进行root权限的umask设置
对root权限的.profile进行检查,保证umask是027或者077。
2.4.5 对于所有的path
要将全部的/.0路径去除,并对缺省启动脚本、root启动脚本进行检查,阐述路径变量内的/.0路径,例如:/. login,/etc/.login,/etc/default/login,/. cshrc,/etcPskel/local文件。
2.5 系统开启和关闭
该程序及/etc/init.d、/etc/rc.X目录以及/etc/inittab文件,系统管理员可以将以上文件与目录权限进行更改,设置为仅超级用户可写。并在rc.x目录内将一些作用不大的服务关闭, 更换格式,在需要的时候可以顺利开启。例如:mv/etc/rc3.d/S92volmgt/etc/rc3.d/no—use—S92volmgt。
snmpdxautofs (Automounter) volmgt (Volume Deamon)lpsched (LP print service) nscd (Name Service Cache Daemon)Sendmail,这一服务在理论上其实应该被禁用,然而系统管理员可按照系统的应用要求,以系统最小化原则决定是否被禁用。
此外,rpcbind主要功能是远程呼叫,按照远程系统所提供的IP地址以及远程用户提供的ID,对其实施验证,如此一来便提高了伪造、更改的便捷性。关于这一问题,可以先将rpcbind服务关闭。
2.6 调整内核
将堆栈错误进行修正,避免溢出。可以将堆栈设置成为不可执行,具体流程如下:将以下几行归纳到/etc/system内:set noexec—user—stack=1 set noexec—user—stack—log=1。随后将文件权限进行更改,最终改为#chmod 644PetcPsystem。
2.7 日志与审核
设置一个合理的cronlogfiles。编辑配置文件/etc/cron.d/logchecker内LIMIT项。系统管理人员按照以往总结经验进行设置,通常需要观察日志查看周期与日志生成的信息量。关于cron日志审核周期,最好以7天为一周期。此外,对inetd服务进行记录。编辑/etc/init.d/inetsvc,在该文件中找到inetd启动项,如/usr/sbin/inetd -s -t&。
3 结束语
综上所述,要构建一个安全性高的SUN SOLARIS系统,需要从Solaris系统的安全配置、主机安全配置这两个方面着手,考虑容易出现问题的因素,尤其是系统管理人员,更要做好系统的设置工作,并做好数据备份。文章中主要从加强本地安全、加强网络安全、加强应用安全、监控警报这四点分析了Solaris系统的安全配置,并在确保控制台安全、保证文件系统的安全性、用户管理等六个方面,分析了主機的安全配置,希望能够为各地区分局的Telephonics自动化SUN SOLARIS系统构建提供合理的参考。
参考文献
[1]王雅芬,胡世安,刘杉坚,袁子立.GTK+在Sun Solaris系统中的开发与应用[J].计算机科学,2012,39(S3):349-351.
[2]白兴瑞.基于SUN Solaris 10的DNS域名服务器配置[J].现代计算机(专业版),2014(05):98-99.
[3]钟吉太,岳淑华,杨志仁.Solaris10操作系统在SUN V890服务器中的安装方法[J].物探装备,2016(04):298-300.
[4]陈卫荣,黄进华.Sun solaris环境中用sendmail建立邮件服务器的研究[J].宁德师专学报(自然科学版),2014(04):403-406.
作者单位
民航湖北空管分局 湖北省武汉市 430302endprint