Солярис безопасность: hyundai solaris — Авторевю

Содержание

hyundai solaris — Авторевю

Тип кузова: четырехдверный седан

Год испытания: 2011

Снаряженная масса (кг): 1110

VIN: Z94CT41CABR035844

Кузов, сваренный на петербургском заводе Hyundai, обладает отменной прочностью: дверной проем укоротился всего на 18 мм. Водительскую дверь лишь немного подклинило. Подушка безопасности надежно защищает голову водителя: HIC — 434 единицы. А вот нагрузка от ремней, несмотря на наличие преднатяжителей и ограничителей усилия, велика — «оранжевый» уровень угрозы. Один балл снят за защиту ног из-за потенциально травмоопасного рычажка фиксатора рулевой колонки. Нижней части ног угрожает задравшаяся на 116 мм вверх педаль сцепления — индекс травмирования левой голени водителя (1,17 единиц) близок к границам «красной зоны». Человека за рулем Solaris защищает средне: 8,5 балла из 16 возможных. Пассажир, даже в отсутствие подушки безопасности, при подобном ударе рискует только ушибом грудной клетки и коленей.

Оснащение средствами пассивной безопасности
Преднатяжители передних ремней безопасности есть
Ограничители усилия передних ремней безопасности есть
Подушка безопасности водителя есть
Подушка безопасности пассажира нет
Боковые подушки безопасности нет
«Занавески» безопасности нет
Подушка безопасности для коленей водителя нет

Краш-тест Hyundai Solaris | Официальный дилер Хендай в Москве

Краш-тест автомобиля Хендай Солярис проводился для оценки уровня безопасности этого автомобиля и его сравнения по этому параметру с другими представителями этого же класса. Солярис остается одной из самых популярных иномарок, поэтому производитель старается уделить безопасности повышенное внимание, и для защиты водителя и пассажиров машина снабжена полноценной системой приспособлений.

Проведение и результаты краш-теста

Первый краш-тест представитель линейки Солярисов (тогда Хендай Акцент) прошел в 2011 году. Для оценки безопасности машину разогнали до 64,4 км/ч, что является средней скоростью при движении по городским улицам, и столкнули с неподвижным препятствием. В автомобиле находились манекены, зафиксированные ремнями безопасности, спинки отклонялись на 21 градус.

Заказать New Solaris 2017 года

По результатам проверки были получены следующие результаты:

  • Наивысший балл машина получила по защите головы и шеи. Показатель безопасности составил 3,9 баллов из 4.
  • По степени защиты колен и бедер – 3 балла из 4 возможных.
  • По уровню защиты грудной клетки водителя и пассажиров – 1,6 балла.

Впоследствии после доработок конструкции проводилось еще несколько краш-тестов, показавших более удовлетворительный результат. Так на проверке IIHS в условиях имитации фронтально столкновения машина получила 5 баллов – максимальный результат, при боковом столкновении – 4 балла из 5. Повторные испытания с очень неплохим результатом в 12,3 балла из 16 проводились корейскими изготовителями на Дмитровском полигоне.

Активные и пассивные средства защиты

Краш-тест Хендай Солярис подтвердил эффективность системы активной и пассивной безопасности. Машина снабжена антиблокировочной системой тормозов, это позволяет избежать потери управляемости при экстренном торможении. Энергопоглощающий кузов спроектирован производителями так, чтобы при ударе поглотить максимум энергии и не допустить опасных травм для водителя и пассажиров.

Получить спецпредложение

В зависимости от комплектации в автомобиле может быть установлено до 6 подушек безопасности, защищающих при ударе спереди и сбоку. Подголовники сидений исключают травмы головы и шеи при резких ударах, в любой комплектации машины снабжены полным набором ремней безопасности. Все это обеспечивает достаточно эффективную защиту от травм, и даже при серьезных столкновениях удается не допустить серьезных травм и человеческих жертв.

Системы безопасности Hyundai Solaris | Новости Хендай Красноярск

Раньше, даже в конце 90-х, покупка любой машины считалась хорошим вложением, повышала престиж владельца и доставляла искреннюю радость. Сегодня у автомобилистов совсем другие требования, и на первое место в череде пожеланий к будущему транспортному средству выходит полноценная защита людей в салоне от серьезных аварий и других возможных неприятностей.

Естественно, что многие производители предлагают подобные опции в премиальных автомобилях. Но что если хочется приобрести транспорт, не только оснащенный, но еще и доступный по цене? Думаете, что это невозможно? Но такой автомобиль уже существует — это Hyundai Solaris.

Общий уровень безопасности в Hyundai Solaris

Кроссоверы, седаны и хетчбэки корейского концерна показали превосходные результаты на последних испытаниях Euro NCAP. Но, что гораздо важнее для российских автовладельцев, общий уровень безопасности в Hyundai Solaris, предлагаемом именно в нашей стране, был проверен и получил наивысшую оценку по системе ARCAP.

Тест проводился совсем недавно — в 2017 году, и «Солярис» занял лидирующую позицию среди всех марок и моделей автомобилей, проверенных за 16 лет проведения тестирований отечественным «Авторевю».

Пассивные системы безопасности Hyundai Solaris

Кузов автомобиля был значительно доработан и усилен по сравнению с версией предыдущего поколения, включая упрочнение средней стойки и появление диагональных защитных брусьев в дверях.

Пассажирские и водительский ремни имеют функции регулировки, преднатяжения и ограничения усилия. Сиденья первого и второго ряда снабжены удобными подголовниками, призванными защитить шею человека от аварийных перегрузок.

В стандартной комплектации системы пассивной безопасности Hyundai Solaris также представлены фронтальными эйрбэгами и креплениями Isofix. Опционально машина может быть оснащена боковыми подушками и шторками.

Активные системы безопасности Hyundai Solaris

Что касается активных систем безопасности Hyundai Solaris, то уже в базе владельцу предлагаются не только ABS и ЭРА-ГЛОНАСС, но и системы распределения тормозных усилий, помощи при старте в гору, а также управление стабилизацией с пробуксовочной системой.

Такой широкий комплекс электронных помощников обеспечивает превосходный уровень защиты даже в самых сложных условиях, таких как гололед или выход из поворота. Опционально автомобиль можно дооснастить датчиками парковки, камерой заднего вида, противотуманными фарами и круиз-контролем.

Кроме перечисленных систем безопасности Hyundai Solaris, также следует отметить ряд характеристик и функций, влияющих на защиту. Автомобиль характеризуется оптимальным дорожным просветом в 160 миллиметров, что позволяет сохранять устойчивость при движении по трассе и при этом не застрять на разбитой дороге.

А хорошая обзорность поможет вовремя заметить возможную опасность.

Если в высоком уровне безопасности нового «Соляриса» сомнений не остается, то оценить динамический потенциал и комфорт автомобиля в Красноярском крае можно самостоятельно, обратившись в салон официального дилера — «Хендэ-Центра Красноярск».

«Хендэ Мотор СНГ» представила обновленный Hyundai Solaris

Обновленный Hyundai Solaris представлен на заводе Hyundai в Санкт-Петербурге

Новинка приобрела более спортивный облик

Повышенный комфорт уже в базовой комплектации

18 февраля 2020 года. Презентация обновленного Hyundai Solaris прошла сегодня на российском заводе Hyundai в Санкт-Петербурге. Обновленный Solaris — это дизайн, отвечающий запросам потребителей, проверенные временем эффективные двигатели, повышенный комфорт и безопасность.

«Новый образ Hyundai Solaris, одного из наших бестселлеров, детально продуман: он дарит своему обладателю эстетическое наслаждение и помогает выделяться в дорожном потоке. Обновленный Solaris предлагает покупателям современный дизайн, надежность силовых агрегатов и широкий набор опций уже в базовой комплектации», — отмечает управляющий директор «Хендэ Мотор СНГ» Алексей Калицев. В ходе глубокого рестайлинга дизайн кузова обновленного Hyundai Solaris приобрел более спортивные черты из-за изменившегося вида переднего бампера и хищно прищуренных фар, соединенных с новой, более крупной решеткой радиатора, получившей актуальную ячеистую структуру.

Интерьер и приборная панель также изменились. В салоне водитель и пассажиры оценят обновленную мультимедийную систему с большим сенсорным экраном диагональю 8 дюймов, возвышающимся над передней панелью. Система поддерживает интерфейсы Apple CarPlayTM и Android AutoTM, дополнена портами USB и AUX, и в том числе оборудована встроенной системой Яндекс.Авто, которая включает в себя Яндекс.Навигатор и голосового помощника «Алису».

Передние кресла обеспечивают отличную поясничную поддержку, которую теперь можно отрегулировать с помощью электропривода. Пассажиры заднего дивана получили возможность заряжать электронные устройства благодаря USB-разъему, установленному между передними креслами, с обратной стороны водительского бокса.

Обновленный Hyundai Solaris оснащен удаленным запуском двигателя, который позволит автономно прогреть мотор и салон седана, что покупатели по достоинству оценят в осенний и зимний сезоны. Сохранены функции подогрева задних сидений и лобового стекла. Обновление также коснулось боковых зеркал седана: теперь они складываются автоматически.

Линейка силовых агрегатов обновленного Hyundai Solaris включает два уже зарекомендовавших себя экономичных мотора Kappa и Gamma объемом 1,4 л и 1,6 л и мощностью 100 и 123 л. с. соответственно. Оба двигателя комплектуются 6-ступенчатой механической или автоматической трансмиссией. Независимая подвеска Макферсона спереди и полузависимая сзади обеспечивают автомобилю оптимальную плавность хода. Улучшенная шумоизоляция колесных арок обеспечит дополнительный комфорт в салоне. За безопасность водителя и пассажиров во время движения отвечает система курсовой устойчивости, датчики мониторинга давления в шинах, система экстренного оповещения ЭРА-ГЛОНАСС и подушки безопасности (до 6 штук в зависимости от комплектации).

Российским покупателям обновленный Hyundai Solaris доступен в четырех комплектациях — Active, Active Plus, Comfort и Elegance, — а также в версии Special Edition. В стандартное оснащение стартовой комплектации Active входят: 15-дюймовые стальные диски с шинами 185/65 R15, четыре динамика и аудиоподготовка, фронтальные подушки безопасности водителя и переднего пассажира, система управления стабилизацией (VSM), включая электронную систему стабилизации (ESC) и антипробуксовочную систему (TCS), система мониторинга давления в шинах (TPMS), регулировка сиденья водителя по высоте, рулевой колонки и передних ремней безопасности, передние электростеклоподъемники с подсветкой кнопок, а также устройство вызова экстренных оперативных служб ЭРА-ГЛОНАСС и другое оборудование.

Дополнительная информация (описание модели) по ссылке: https://press.hyundai.ru/upload/iblock/eed/Technical Chart_Solaris FL.xlsx

Отзывы владельцев об автомобилях Hyundai Solaris I Рестайлинг на Авто.ру

ЛегковыеКоммерческиеМото

2014—2017 I Рестайлинг

Плюсы

246 плюсов

40 Надежность

32 Динамика

24 Коробка передач

22 Дизайн

22 Стоимость обслуживания

Минусы

41 минус

26 Шумоизоляция

15 Подвеска

Хундай Солярис 14L мт комфорт +.

Hyundai Solaris 1.4 MT (107 л.с.)

Проехал 80000 без проблем ,плановая ТО 15 000.км

Отличный авто!!!

Hyundai Solaris 1.4 MT (107 л.с.)

Машина нормальная, двигателя хватает на 4 пассажиров. На пятерых с кондиционером, конечно, тяжело при обгонах на трассе.На колесах 205/55R16 выглядит замечательно, да и едет отлично. Всего на пару сан

Тест-драйв Авто.ру

Капитал, улыбнитесь: подробный тест обновлённого Hyundai Solaris

Хёндай Солярис

Hyundai Solaris 1. 6 MT (123 л.с.)

Лучший автомобиль в своём классе! Прекрасная динамика, надежность, минимальный расход топлива, вообще не лредставляет никаких проблем! Совсем нет расхода масла, от залива до залива. Недорогая сервисна

Солярис рестайлинг

Hyundai Solaris 1.6 AT (123 л.с.)

В целом неплохой автомобиль за свои деньги. Едет шустро. Кушает мало. Автомат надежный, проверенный временем. По двигателю нареканий нет. Хорошее сочетание двигателя 1.6 и 6-ти ступенчатого автомата.

Разбор Авто.ру

Skoda Rapid 2020 против Hyundai Solaris 2020: кто кого?

Хендэ Солярис 1 рестайлинг 2015 г

Hyundai Solaris 1.6 AT (123 л.с.)

Покупал данный автомобиль в 2018 г, являюсь вторым владельцем. Несмотря на пробег в 137 т км, автомобиль никогда не подвел, высокая надежность. Если необходимо добраться из точки А в точку Б данный ав

Опыт использования Hyundai Solaris

Hyundai Solaris 1.6 MT (123 л.с.)

Добрый день.

Солярис 2016 автомат

Hyundai Solaris 1. 6 AT (123 л.с.)

Отличный, экономичный и для своего класса комфортный автомобиль. За 5 лет владения никаких вложений в авто не делал, кроме замены масла, фильтров и т.д. Главное покупать качественные расходники и можн

Машина, как банковский депозит

Hyundai Solaris 1.6 AT (123 л.с.)

В этом году мне стукнуло 35 лет, и я поймал себя на мысли, что начал ценить спокойствие. Уехал жить из квартиры в дом, завел постоянную спутницу и купил машину, которую (надеюсь) буду просто заводить

Нагибатор гужевых повозок и и трековый доминатор над одноколесными велосипедами.

Hyundai Solaris 1.6 AT (123 л.с.)

Всем привет, Это мой не первый отзыв и вообще не самый мой первый печатный текст, так что запаситесь тухлыми помидорами в обязательном порядке! Речь пойдет об одной из самых любимых ваших машин,

За свои деньги — вполне!

Hyundai Solaris 1.6 AT (123 л.с.)

Всем привет! Начну, по местной традиции, с того, что это мой первый отзыв, строго не судите. До соляриса почти 2 года владел Шевролет Авео 2011 г.в. Машина всем устраивала, не смотря на дохлый 1.2 дви

Всё о Hyundai Solaris

Рейтинг модели — 4.4 / 5

Новый Hyundai Solaris по лучшей цене в Березниках

  1.4 — 6MT 1.4 — 6AT 1.6 — 6MT 1.6 — 6AT
ДВИГАТЕЛЬ
Автоматическая КП + +
Выделение СО2 в городском цикле, г/км 167 199 185 205
Выделение СО2 в загородном цикле, г/км 112 120 113 123
Выделение СО2 в смешанном цикле, г/км 133 149 140 153
Двигатель Kappa 1.4 MPI Gamma 1.6 MPI
Максимальная мощность, кВт при об/мин 73. 3 / 6000 73.3 / 6000 90.2 / 6300 90.2 / 6000
Максимальная мощность, л.с. при об/мин 99.66 / 6000 99.66 / 6000 123 / 6300 123 / 6300
Максимальный момент, NM при об/мин 132.4 / 4000 132.4 / 4000 150.7 / 4850 150.7 / 4850
Мощность, л.с.  99.66 99.66 123 123
Объем двигателя, л 1.4 1.4 1.6 1.6
Степень сжатия 10.5 10.5 10.5 10.5
Топливный бак, л 50 50 50 50
Топливо Бензин с октановым числом не менее 92
Экологический класс 5 (пятый) 5 (пятый) 5 (пятый) 5 (пятый)
ДИНАМИКА
Время разгона (0-100 км/ч, сек) 12. 2 12.9 10.3 11.2
Макс. скорость, км/ч 185 183 193 192
Привод Передний
Передний
Трансмиссия Механическая Гидромеханическая
Механическая
Гидромеханическая
РАСХОД ТОПЛИВА
Городской цикл, л / 100 км 7.2 8.5 8 8.9
Загородный цикл, л / 100 км 4.8 5.1 4.8 5.3
Смешанный цикл, л / 100 км 5.7 6.4 6 6.6
МАССА
Масса буксируемого прицепа, не оборудованного тормозами, кг 450 450 450 450
Масса буксируемого прицепа, оборудованного тормозами, кг  1000 800 1000 800
Полная масса, кг 1560 1600 1580 1610
Снаряженная масса, кг, min-max 1150 ~ 1211 1182 ~ 1243 1160 ~ 1221 1198 ~ 1259
ПОДВЕСКА
Задние тормозные механизмы Дисковые / барабанные Дисковые / барабанные
Задний свес, мм 975 975 975 975
Задняя колея, мм 1 524 / 1 518 (шины 15″ / 16″) 1 524 / 1 518 (шины 15″ / 16″)
Задняя подвеска Полузависимая, пружинная, с гидравлическими телескопическими амортизаторами, со стабилизатором поперечной устойчивости
Колесная база, мм 2600 2600 2600 2600
Минимальный дорожный просвет, мм 160 160 160 160
Передние тормозные механизмы Дисковые Дисковые
Передний свес, мм 830 830 830 830
Передняя колея, мм 1 516 / 1 510 (шины 15″ / 16″) 1 516 / 1 510 (шины 15″ / 16″)
Передняя подвеска Независимая, пружинная, типа McPherson с гидравлическими телескопическими амортизаторами, со стабилизатором поперечной устойчивости
УПРАВЛЕНИЕ
Кол-во поворотов до упора 2. 73 2.73 2.73 2.73
Минимальный радиус поворота, м 5.2 5.2 5.2 5.2
Тип С электроусилителем, реечная передача
РАЗМЕРЫ
Высота от сиденья до потолка: спереди / сзади, мм 1033 / 948 1033 / 948
Габаритные размеры: длина, ширина, высота 4405 / 1729 / 1469 4405 / 1729 / 1469
Количество мест 5 5 5 5
Объем багажника, л (VDA) 480 480 480 480
Пространство для ног: спереди / сзади, мм 1070 (1120) / 870 (789) 1070 (1120) / 870 (789)
Ширина салона на уровне плеч: спереди / сзади, мм 1375 / 1365 1375 / 1365
ОБЩИЕ
Диски 6. 0Jx15 | 6.0Jx16 6.0Jx15 | 6.0Jx16
Шины 185/65R15 88H | 195/55R16 87H 185/65R15 88H | 195/55R16 87H

количество посадочных мест в автомобиле Хендай Solaris в комплектациях

Active 5
Active 1,4 MT 5
Classic+AC 5
Comfort 5
Comfort + SPEC+STEEL 5
Comfort + Безопасность Безопасность 5
Comfort + Безопасность+ Зимний Безопасность+ Зимний 5
Comfort + Зимний 5
Comfort + Зимний Зимний 5
Comfort + Расширенный Расширенный 5
Comfort + Расширенный+ Безопасность Расширенный+ Безопасность 5
Comfort + Расширенный+ Зимний Расширенный+ Зимний 5
Comfort + Расширенный+ Зимний+ Безопасность Расширенный+ Зимний+ Безопасность 5
Comfort + Специальный Специальный 5
Comfort+Безопасность Безопасность 5
Comfort+Престиж Престиж 5
Comfort+Престиж+Безопасность Престиж+Безопасность 5
Elegance 5
Elegance + Безопасность Безопасность 5
Elegance + Престиж Престиж 5
Elegance + Престиж + Безопасность Престиж + Безопасность 5
Elegance + Престиж + Безопасность + Свет Престиж + Безопасность + Свет 5
Elegance + Престиж + Свет Престиж + Свет 5
Elegance + Свет Свет 5
Elegance Безопасность Безопасность 5
Elegance Безопасность+ Свет Безопасность+ Свет 5
Elegance Престиж Престиж 5
Elegance Престиж+ Безопасность Престиж+ Безопасность 5
Elegance Престиж+Свет Престиж+Свет 5
Elegance Свет Свет 5
Elegance+ Престиж + Безопасность Престиж + Безопасность 5
Elegance+ Престиж+ Безопасность + Свет Престиж+ Безопасность + Свет 5
Elegance+ Престиж+ Безопасность+ Свет Престиж+ Безопасность + Свет 5
Family 5
Optima 5
Optima+Аудио Аудио 5
Optima+Аудио+Расшир. Аудио+Расшир. 5
Optima+Расширенный Расширенный 5
Special Edition 5
Super Series 5
Super Series II 5

Грегори, Питер Х., Грегори, Питер: 9780130960535: Amazon.com: Книги

ПредисловиеКому следует прочитать эту книгу У

Solaris Security есть две аудитории: IS / IT и менеджеры безопасности и администраторы UNIX.

Содержание для менеджеров по информационной безопасности / ИТ и безопасности появляется в основном в

Глава 1, «Проблема безопасности»

Глава 2, «Парадигма безопасности»

Глава 10, «Архитектура сети / системы»

Глава 16, «Подготовка к восстановлению системы»

Остальные главы книги в основном технические и написаны для администратора UNIX. Однако любой IS / IT или менеджер по безопасности, которому нужно больше узнать о технологии UNIX (в контексте безопасности), найдет все технические главы легко читаемыми. Большинство глав открываются разделами «Что в этой главе» и «Почему это важно». Это позволяет вам выбрать, требует ли какая-либо конкретная глава немедленного внимания или ее можно или нужно рассмотреть в будущем. Краткий обзор содержания

В этой книге обсуждаются физические, логические и человеческие аспекты компьютерной и сетевой безопасности в конкретном контексте Solaris 2.x и Solaris 7, работающие на компьютерах Sun Microsystems. Всего пять частей.

Введение. Проблема компьютерной безопасности наглядно проиллюстрирована в главе 1 «Проблема безопасности». Глава 2 «Парадигма безопасности» — это основанный на принципах рецепт, рекомендуемый для использования всеми администраторами UNIX, но также применимый к тем, кто управляет компьютерами других поколений.

Автономная система. Эта часть посвящена самому компьютеру и охватывает все аспекты безопасности. Независимо от того, подключена она к сети или нет, каждая система также является автономной системой.Глава 3 «PROM, OpenBoot и физическая безопасность» описывает одну из наименее известных уязвимостей системы Solaris, а также практические средства защиты Sun на настольном компьютере или в центре обработки данных. Глава 4 «Файловая система» представляет собой всесторонний обзор безопасности файлов и каталогов и включает разделы об инструментах аудита файловой системы и предложения для администраторов UNIX. Все, что касается учетных записей пользователей, обсуждается в главе 5 «Учетные записи пользователей и среды». Тонкости загрузки системы описаны в главе 6 «Запуск и завершение работы системы».В главе 7 «cron and at» и в главе 8 «Системные журналы» подробно рассматриваются соответствующие области.

Система, подключенная к сети. Эта часть книги посвящена роли и месту Система Sun в сети. Наиболее серьезные уязвимости системы связаны с ее подключением к сети. В главе 9 «Сетевые интерфейсы и службы» обсуждается логическое подключение систем Sun к сети и ее уязвимых служб. сетевая и системная архитектура рассматриваются в главе 10 «Архитектура сети / системы.«Электронная почта» — тема главы 11. В главе 12 раскрываются уязвимости при печати. ​​В главе 13 «Контроль доступа к сети» описываются лучшие средства управления доступом к системе через сеть. Обсуждаются DNS, NIS и NIS + в главе 14 «Службы имен». Глава 15 «NFS и Automounter» анализирует эти службы и предлагает способы повышения их безопасности.

Аварии и восстановление. Бедствия, вызванные человеческой ошибкой, злонамеренным умыслом или стихийными бедствиями, произойдет.В главе 16 «Подготовка к восстановлению системы» подробно рассматриваются меры, которые необходимо предпринять до возникновения аварии, чтобы обеспечить быстрое, точное и полное восстановление.

Приложения. Приложение A «Онлайн-источники информации о безопасности» представляет собой подробный обзор веб-сайтов, FTP-сайтов и списков рассылки. Аналогичным образом, исчерпывающий список источников средств безопасности можно найти в Приложении B, «Интернет-источники для средств обеспечения безопасности общего пользования». Полную информацию о патчах Solaris можно найти в приложении C, «Получение и применение патчей Solaris».«Приложение D,« Рекомендуемая литература »отсылает читателя к онлайновым и печатным публикациям, представляющим дополнительный интерес. Продукты Sun Solaris для обеспечения безопасности обсуждаются в Приложении E. Шаги, необходимые для реализации и управления безопасностью C2, приведены в Приложении F. Приложение G объясняет, как проверить целостность программного обеспечения, являющегося общественным достоянием. Глоссарий атак приведен в приложении H. Приложение I представляет собой контрольный список безопасности системы. Технические требования для практикующего специалиста

Solaris Security написан для среднего и продвинутого администратора UNIX, которому нужен глубокое понимание операционной системы Solaris с точки зрения безопасности.Если вы технический читатель, у вас должны быть следующие инструменты и опыт:

Компилятор C — либо поставляемый Sun, либо компилятор Gnu C. Это связано с тем, что большинство общедоступных инструментов упакованы только в исходной форме и требуют компиляции.

Некоторый опыт создания общедоступных инструментов в системе UNIX. Это не столь критическое требование, как это было в течение первого десятилетия UNIX, когда общедоступные инструменты не были такими переносимыми, когда они требовали большого количества модификаций перед компиляцией (а тем более корректной работы).Кроме того, усовершенствования инструментов конфигурации, которые сопровождают большинство пакетов общественного достояния, позволяют тем, у кого мало или совсем не опыта работы с языком C, запускать и запускать даже самые сложные инструменты общественного достояния. команды и имена файлов в абзацах выделены курсивом. Например, файл / etc / passwd содержит информацию о системном пароле. Команда trap используется для предотвращения преждевременного выхода.

Команды и имена файлов вне абзацев задаются шрифтом Courier; например

share -F NFS -o rw = homeusers -d «Домашние каталоги» / export / home

Части команд, указывающие синтаксис (vs. фактическое предполагаемое содержание) выделены курсивом следующим образом.

share -F FStype -o options -d description path

В приведенном выше примере FStype, параметры, описание и путь должны быть заменены фактическими значениями, подходящими на практике (я всегда буду указывать на это в тексте, где такие Примеры приведены в книге). Содержимое файлов и сценарии

Сценарии оболочки и содержимое компьютерных файлов выделяются отдельно от абзацев и набираются шрифтом Courier. В следующем примере user.файл профиля иллюстрирует. # .profile файл для выхода приложения userstrap 1 2 3 15PATH = / export / app / binexec / export / app / bin / applicationexit

Пример файла / etc / default / passwd выглядит следующим образом. (#) passwd.dfl 1.3 92/07/14 SMI «MAXWEEKS = 4MINWEEKS = 1WARNWEEKS = 3PASSLENGTH = 6Computer Sessions

Примеры сеансов с компьютером выделены отдельно от абзацев и набраны шрифтом Courier. Вводимые пользователем данные подчеркнуты, чтобы их можно было отличить от компьютерных. Ниже приводится пример сеанса.% iduid = 1001 (jim) gid = 101 (пользователи)% su bobPassword: ********% iduid = 1004 (bob) gid = 102 (cust)% lp -d localprinter / home / bob / eom. prtrequest-id — localprinter-87 (1 файл (ы))%

Также обратите внимание на этот пример, что введенный пользователем пароль представлен строкой подчеркнутых звездочек. На самом деле Solaris не отображает никакие символы, набираемые при вводе пароля пользователем; подчеркнутые звездочки означают, что пользователь вводит неотражаемый текст.

Примечание. Некоторые команды содержат символ подчеркивания (_), который скрыт в подчеркнутом тексте.Команды с подчеркиванием не подчеркнуты в этой книге, и все такие примеры помечены сносками. Ниже приведен пример команды с подчеркиванием: # ndd -set / dev / ip ip_forwarding 0 Предостережения и предупреждения

Особые примечания и предостережения выделены отдельно, как показано ниже.

Внимание: в / usr / bin / su установлен бит SetUID. Su больше не будет работать, если этот бит выключен. Источники информации

В этой книге есть ссылки на несколько источников информации. Каждая глава заканчивается разделом, озаглавленным «Куда обращаться за дополнительной информацией», в котором цитируются один или несколько из следующих типов ссылок.

Книга ответов. Это онлайн-справочник, предоставленный Sun и включенный в среду выпуска Solaris 2.x. В AnswerBook используются гиперссылки, чтобы вы могли быстро находить документы, на которые есть ссылки в других документах. Любой пользователь может запустить локальный сеанс AnswerBook с помощью команды answerbook (собственный браузер Sun, предшествующий веб-технологии) или answerbook2 (интерфейс веб-браузера).

Справочные страницы. Это исходная справка по командам UNIX, полезная, если вы знаете имя команды или файла, о которых хотите узнать больше.

Примечание. Ссылки на справочные страницы в этой книге содержат номер раздела справочной страницы, чтобы помочь отличить те случаи, когда запись появляется в нескольких разделах. Например, когда цитируется справочная страница passwd, она может отображаться как «passwd (1M)» (команда passwd) или «passwd (4)» (файл passwd). Чтобы вызвать страницу руководства «passwd (1M)», введите команду man -s 1M passwd. Чтобы вызвать страницу руководства «passwd (4)», введите команду man -s 4 passwd.

docs.sun.SunSolve. Это информационная услуга, доступная клиентам Sun по текущим контрактам на техническое обслуживание или поддержку.Для использования этого сайта требуются идентификатор пользователя и пароль.

Веб-сайты. Это организации или сборники информации, полезные для специалиста по безопасности.

Публикации. Это варьируется от бумажных до электронных журналов, книг и статей. Средства защиты и программное обеспечение, являющееся общественным достоянием

В этой книге показаны слабые места в системе безопасности в операционной системе Solaris и предлагаются способы их устранения. Средства защиты представлены в виде

Syste.

Об авторе

ПИТЕР ГРЕГОРИ (PETER GREGORY) — руководитель ИТ-отдела крупного поставщика телекоммуникационных услуг. Он разработал и внедрил политики безопасности системы и сети для исследовательских центров, где работал менеджером по безопасности сайта, ИТ-архитектором, системным администратором UNIX, сетевым инженером, веб-мастером и разработчиком сетевого программного обеспечения. Ранее он был ведущим инженером-программистом для продукта безопасности, используемого в крупнейших казино мира.

Выдержка. © Печатается с разрешения автора. Все права защищены.

Предисловие

Кому следует прочитать эту книгу

Solaris Security имеет две аудитории — IS / IT и менеджеров по безопасности и администраторов UNIX.

Контент для IS / IT и менеджеров безопасности появляется в основном в

  • Глава 1, «Проблема безопасности»
  • Глава 2, «Парадигма безопасности»
  • Глава 10, «Архитектура сети / системы»
  • Глава 16 , «Подготовка к восстановлению системы»

Остальные главы книги в основном технические и написаны для администратора UNIX. Однако любой IS / IT или менеджер по безопасности, которому нужно больше узнать о технологии UNIX (в контексте безопасности), найдет все технические главы легко читаемыми.Большинство глав открываются разделами «Что в этой главе» и «Почему это важно». Это позволяет вам выбрать, требует ли какая-либо конкретная глава немедленного внимания или ее можно или нужно рассмотреть в будущем.

Краткий обзор содержания

В этой книге обсуждаются физические, логические и человеческие аспекты компьютерной и сетевой безопасности в конкретном контексте Solaris 2.x и Solaris 7, работающих на компьютерах Sun Microsystems. Всего пять частей.

  • Введение .Проблема компьютерной безопасности наглядно проиллюстрирована в главе 1 «Проблема безопасности». Глава 2 «Парадигма безопасности» — это основанный на принципах рецепт, рекомендуемый для использования всеми администраторами UNIX, но также применимый к тем, кто управляет компьютерами других поколений.
  • Автономная система . Эта часть посвящена самому компьютеру и охватывает все аспекты безопасности. Независимо от того, подключена она к сети или нет, каждая система также является автономной системой.Глава 3 «PROM, OpenBoot и физическая безопасность» описывает одну из наименее известных уязвимостей системы Solaris, а также практические средства защиты Sun на настольном компьютере или в центре обработки данных. Глава 4 «Файловая система» представляет собой всесторонний обзор безопасности файлов и каталогов и включает разделы об инструментах аудита файловой системы и предложения для администраторов UNIX. Все, что касается учетных записей пользователей, обсуждается в главе 5 «Учетные записи пользователей и среды». Тонкости загрузки системы описаны в главе 6 «Запуск и завершение работы системы».В главе 7 « cron и на » и в главе 8 «Системные журналы» подробно рассматриваются соответствующие области.
  • Система, подключенная к сети . Эта часть книги посвящена роль и место системы Sun в сети. Наиболее серьезные уязвимости системы связаны с ее подключением к сети. В главе 9 «Сетевые интерфейсы и службы» обсуждается логическое подключение систем Sun к сети и ее уязвимые сервисы.Принципы сетевой и системной архитектуры описаны в главе 10 «Сетевая / системная архитектура». «Электронная почта» — тема главы 11. Глава 12 раскрывает уязвимости печати. В главе 13 «Контроль доступа к сети» описаны лучшие средства управления доступом к системе через сеть. DNS, NIS и NIS + обсуждаются в главе 14 «Службы имен». Глава 15, «NFS и Automounter», анализирует эти службы и предлагает способы повышения их безопасности.
  • Аварии и восстановление .Бедствия, вызванные человеческой ошибкой, злым умыслом или стихийными бедствиями, будут происходить. В главе 16 «Подготовка к восстановлению системы» подробно рассматриваются меры, которые необходимо предпринять до возникновения аварии, чтобы обеспечить быстрое, точное и полное восстановление.
  • Приложения . Приложение A «Онлайн-источники информации о безопасности» представляет собой подробный обзор веб-сайтов, FTP-сайтов и списков рассылки. Аналогичным образом, исчерпывающий список источников средств безопасности можно найти в Приложении B, «Интернет-источники для средств обеспечения безопасности, являющихся общественным достоянием».«Полная информация об исправлениях для Solaris находится в приложении C,« Получение и применение исправлений для Solaris ». Приложение D,« Рекомендуемая литература », отсылает читателя к онлайновым и печатным публикациям, представляющим дополнительный интерес. Продукты Sun для обеспечения безопасности Solaris обсуждаются в приложении E. Шаги, необходимые для реализации и управления безопасностью C2, приведены в приложении F. В приложении G объясняется, как проверить целостность общедоступного программного обеспечения.Глоссарий атак приведен в приложении H. Приложение I представляет собой контрольный список безопасности системы.

Предварительные технические требования для практикующего специалиста

Solaris Security написан для среднего и продвинутого администратора UNIX, которому необходимо глубокое понимание операционной системы Solaris с точки зрения безопасности. Если вы технический читатель, у вас должны быть следующие инструменты и опыт:

  • Компилятор C — либо поставляемый Sun, либо компилятор Gnu C. Это связано с тем, что большинство общедоступных инструментов упакованы только в исходной форме и требуют компиляции.
  • Некоторый опыт создания общедоступных инструментов в системе UNIX. Это не столь критичное требование, как это было в течение первого десятилетия UNIX, когда общедоступные инструменты не были такими переносимыми, когда им требовалось лотов модификаций , прежде чем они будут скомпилированы (а тем более работает правильно ). Кроме того, усовершенствования инструментов конфигурации, которые сопровождают большинство пакетов общественного достояния, позволяют тем, у кого мало или совсем не опыта работы с языком C, запускать и запускать даже самые сложные инструменты общественного достояния.

Условные обозначения, используемые в этой книге

Команды и имена файлов

Я выделяю команды и имена файлов в абзацах курсивом. Например, файл / etc / passwd содержит информацию о системном пароле. Команда trap используется для предотвращения преждевременного выхода.

Команды и имена файлов вне абзацев задаются шрифтом Courier; например

share -F NFS -o rw = homeusers -d "Домашние каталоги" / export / home

Части команд, указывающие синтаксис (vs.фактическое предполагаемое содержание) выделены курсивом следующим образом.

share -F FStype -o options -d description path

В приведенном выше примере FStype , options , description и path должны быть заменены фактическими ценности, подходящие на практике (я всегда буду указывать на это в тексте, где такие примеры встречаются в книге).

Содержимое файла и сценарии

Сценарии оболочки и содержимое компьютерных файлов выделяются отдельно от абзацев и набираются шрифтом Courier.В следующем примере показан пользовательский файл . profile .

  # .profile файл для выхода приложения userstrap 1 2 3 15PATH = / export / app / binexec / export / app / bin / applicationexit  

Пример файла / etc / default / passwd выглядит следующим образом.

  #ident "@ (#) passwd.dfl 1.3 92/07/14 SMI" MAXWEEKS = 4MINWEEKS = 1WARNWEEKS = 3PASSLENGTH = 6  
Компьютерные сеансы

Примеры сеансов с компьютером выделены отдельно от параграфов и установлены шрифтом Courier.Вводимые пользователем данные подчеркнуты, чтобы их можно было отличить от компьютерных. Ниже приводится пример сеанса.

%  id  uid = 1001 (jim) gid = 101 (users)%  su bob  Пароль:  ******** %  id  uid = 1004 (bob) gid = 102 ( cust)%  lp -d localprinter /home/bob/eom.prt  идентификатор запроса - localprinter-87 (1 файл (ы))% 

Также обратите внимание на этот пример, что введенный пользователем пароль представлен строка подчеркнутых звездочек. На самом деле Solaris не отображает никакие символы, набираемые при вводе пароля пользователем; подчеркнутые звездочки означают, что пользователь вводит неотражаемый текст.

Примечание. Некоторые команды содержат символ подчеркивания (_), который скрыт в подчеркнутом тексте. Команды с подчеркиванием — это , а не , подчеркнутые в этой книге, и все такие примеры имеют сноски. Ниже приводится пример команды с подчеркиванием.

 # ndd -set / dev / ip ip_forwarding 0 
Предостережения и предупреждения

Особые примечания и предостережения выделены таким образом.

Внимание: / usr / bin / su имеет установленный бит SetUID. Su больше не будет работать, если этот бит выключен.

Источники информации

В этой книге содержится ссылка на несколько источников информации. Каждая глава заканчивается разделом, озаглавленным «Куда обращаться за дополнительной информацией», в котором цитируются один или несколько из следующих типов ссылок.

  • Ответная книга . Это онлайн-справочник, предоставленный Sun и включенный в среду выпуска Solaris 2.x. В AnswerBook используются гиперссылки, чтобы вы могли быстро находить документы, на которые есть ссылки в других документах.Любой пользователь может запустить локальный сеанс AnswerBook с помощью команды answerbook (собственный браузер Sun, предшествующий веб-технологии) или answerbook2 (интерфейс веб-браузера).
  • Справочные страницы . Это исходная справка по командам UNIX, полезная, если вы знаете имя команды или файла, о которых хотите узнать больше.

Примечание. Ссылки на справочную страницу в этой книге содержат номер раздела справочной страницы , чтобы помочь различить те случаи, когда запись появляется более чем в одном разделе.Например, когда цитируется справочная страница passwd , она может отображаться как «passwd (1M)» (команда passwd ) или «passwd (4)» (файл passwd ). Чтобы вызвать страницу руководства «passwd (1M)», введите команду man -s 1M passwd . Чтобы вызвать страницу руководства «passwd (4)», введите команду man -s 4 passwd .

  • docs.sun.com . Sun разместила все свои коллекции AnswerBook и Man Pages в Интернете по адресу http: // docs.sun.com/.
  • SunSolve . Это информационная услуга, доступная клиентам Sun по текущим контрактам на техническое обслуживание или поддержку. SunSolve периодически распространяется среди клиентов на компакт-дисках, а также доступна в Интернете по адресу http://sunsolve.sun.com/. Для использования этого сайта требуются идентификатор пользователя и пароль.
  • Веб-сайты . Это организации или сборники информации, полезные для специалиста по безопасности.
  • Публикации .Это варьируется от бумажных до электронных журналов, книг и статей.

Средства защиты и программное обеспечение, являющееся общественным достоянием

В этой книге показаны слабые места в системе безопасности в операционной системе Solaris и предлагаются способы их устранения. Средства правовой защиты включают

  • изменений конфигурации системы. Часто слабое место в системе безопасности можно уменьшить, просто изменив конфигурацию.
  • Использование программного обеспечения, поставляемого Sun. В этой книге будет описано имя пакета, где его можно найти и где найти инструкции по установке.
  • Использование коммерческого ПО. Иногда в качестве средства защиты доступен только коммерческий программный пакет. В этой книге описаны такие программы безопасности и их местонахождение.
  • Изменения в процессах и процедурах. Часто слабость системы заключается в действиях (или бездействии) пользователей и администраторов. В этой книге предлагается несколько изменений в поведении, направленных на повышение осведомленности о безопасности системы.
Предупреждения:

Solaris Security не гарантирует и не одобряет использование изменений конфигурации или общедоступного или коммерческого программного обеспечения. Окончательное решение администратора UNIX или другого специалиста по локальному сайту — решить, какие меры необходимо предпринять для устранения слабых мест в системе безопасности.

Все общедоступные программные инструменты должны быть проверены на целостность. Известный инструмент безопасности был однажды взломан (снабжен задним ходом) и на короткое время распространен среди ничего не подозревающей публики. Администратор UNIX больше не должен воспринимать целостность средства безопасности как должное только потому, что оно находится на уважаемом или хорошо известном веб-сайте.Приложение G содержит информацию о том, как проверить целостность программного обеспечения, полученного из Интернета.

Термин общественное достояние не обязательно означает юридическое право на использование для всех лиц, организаций или ситуаций. Лицензионное соглашение для любого пакета программного обеспечения, являющегося общественным достоянием, необходимо сначала изучить, чтобы убедиться, что его условия и положения не противоречат предполагаемому использованию пакета. Администратор UNIX каждого сайта или другой специалист местного сайта должен выносить здравый смысл.

О веб-сайтах

Solaris Security полон унифицированных указателей ресурсов (URL), содержащих новейшие инструменты и другую информацию. Но, с другой стороны, ничто так не датирует книгу, как устаревшие, измененные или неработающие URL-адреса. За короткий промежуток времени между окончательным черновиком и публикацией этой книги некоторые URL-адреса наверняка устареют или веб-сайт будет реструктурирован, в результате чего сложные URL-адреса станут неработоспособными.

Рассмотрим следующий URL:

ftp: // ftp.win.tue.nl/pub/security/tcp_wrappers_7.6.tar.gz

Этот URL, поскольку он содержит номер версии инструмента, имеет довольно высокую вероятность стать устаревшим. Если инструмент обновлен, этот URL-адрес может быть деактивирован. Если что-то подобное произойдет, попробуйте использовать URL-адрес, но без последнего элемента, а именно:

ftp://ftp. win.tue.nl/pub/security/

Изучите содержимое этой страницы, чтобы определить, какие данные должны быть восстановлены. Чтобы продолжить этот пример, если даже предыдущий URL недействителен, обрежьте последний оставшийся элемент

ftp: // ftp.win.tue.nl/pub/

и так далее, пока не будет найдена информация, которая укажет, что произошло с желаемым контентом. Наиболее ответственные веб-сайты и сайты с протоколом передачи файлов (ftp) депонируют файл README, в котором говорится, что инструменты или другая информация находятся на другом сайте или больше не доступны.

Если все вышеперечисленное не помогает, то информацию о желаемом инструменте или публикации можно найти на одном из общих веб-сайтов по безопасности, перечисленных в приложении A, «Интернет-источники информации по безопасности» или в приложении B, «Интернет-источники для общего доступа». -Инструменты безопасности домена.»

Отзыв

Несмотря на многочисленные исследования, эксперименты и контроль качества, вполне возможно, что в этой книге есть ошибки. Прогресс и технологии идут вперед: еще до того, как эта книга поступит в печать, количество веб-сайтов, упомянутых в ней, будет расти и падать, безопасность инструменты будут попадать в популярность и выходить из нее, хакеры найдут совершенно новые возможности использования, а Sun Microsystems добавит и изменит функции в Solaris. Пожалуйста, присылайте мне отзывы о любых ошибках или идеях для будущих выпусков:

Prentice Hall PTR
Attn : Грегори Денч,
Уан-Лейк-Стрит,
, Аппер-Сэдл-Ривер, Нью-Джерси, 07458
Эл. Почта: ptr_feedback @ phptr.com

Заявление об ограничении ответственности

Мнения, примеры и инсценировки в этой книге принадлежат мне и не отражают мнения моего работодателя, AT&T или любого предыдущего работодателя или клиента.

мер по защите Oracle Solaris OS


Что такое Solaris? Зачем вам это нужно?

Solaris — операционная система на основе Unix, разработанная Sun Microsystems, которая позже была приобретена Oracle. ОС Solaris известна своей масштабируемостью, поэтому ее можно эффективно использовать для обработки тяжелых рабочих нагрузок, и она имеет расширенные возможности безопасности для автоматизации самовосстановления (аварийное восстановление) .Они также поставляются с высокопроизводительными процессорами, которые могут обрабатывать несколько потоков одновременно и при этом бесперебойно работать с базами данных, системами и приложениями.


Как Oracle выпускает рекомендации по безопасности для Solaris?

Oracle Solaris предоставляет ежемесячные исправления безопасности, известные как обновления репозитория поддержки (SRU) , которые касаются любых исправлений или улучшений. Это исправление безопасно, поскольку оно создает резервную копию среды загрузки, а затем обновляет рабочую среду, что позволяет нам при необходимости использовать более старые среды.Исправления, доступные в каждом SRU, будут содержать все исправления, включенные в его предыдущий SRU. Пример: Если SRU 12 является недавно выпущенным SRU, то он будет содержать все исправления SRU 11 и более ранних версий.

Каждый квартал эти SRU объединяются в обновление Critical Patch Update (CPU SRU) , которое охватывает критические исправления, включая исправления CVE.

На рисунке ниже показаны две стратегии обновления системы, где
GA = выпуск, такой как Oracle Solaris 11.2 или Oracle Solaris 11.3,
S = SRU и
C = CPU SRU.

Рисунок 1: Стратегии обновления системы

Чтобы избежать риска успешных атак, Oracle рекомендует незамедлительно применять исправления. Рекомендуется обновлять каждый раз, когда появляется новый SRU, или, по крайней мере, ежеквартально для CPU SRU.


Где найти исправления безопасности, связанные с Solaris?

Исправления безопасности

, выпущенные Oracle для Solaris, доступны на странице предупреждений безопасности, которая содержит рекомендательные ссылки на Critical Patch Update Advisories, Security Alerts и Bulletins.


Что содержат советы по безопасности?

Critical Patch Update Advisory — это набор кумулятивных исправлений для множественных уязвимостей безопасности, Security Alert будет касаться исправлений уязвимостей, которые слишком важны, чтобы ждать следующего критического обновления, а Solaris Third Party Bulletin объявляет об исправлениях для стороннего программного обеспечения это часть дистрибутивов Oracle Solaris.


Где искать информацию, недоступную по ссылкам с рекомендациями по безопасности?

Подробности, связанные с исправлениями CVE, можно увидеть в разделе дополнительной информации или в примечаниях внизу каждой ссылки.Если несколько CVE затронуты для одного и того же продукта, тогда в таблице будет доступна только одна запись со связанным с ней номером примечания, а другие будут упомянуты в конце соответствующей ссылки.

Таблица CVE, выпущенная Oracle для Solaris, выглядит, как показано на изображении ниже.

Рисунок 2: Таблица CVE

На изображении ниже показан раздел примечаний, который обычно находится в конце определенных рекомендательных ссылок.

Рисунок 3: Примечания Раздел

Мы можем обратиться к ссылке NVD для описания CVE, и обновленную версию его продукта можно узнать из Solaris 11 Image Packaging System (IPS) .


Lock IT Down: Начало работы с Solaris: Безопасность из коробки

Узнайте, как выполнить некоторые основные процедуры блокировки в системе Solaris.


Solaris 8.0 поставляется с множеством функций, но прежде, чем вы возьмете совершенно новую установку и подключите ее к Интернету, вы можете захотеть посмотреть, что включено, и немного заблокировать вещи.

В этом Daily Drill Down я покажу вам наиболее продуманные планы администратора Solaris по блокировке только нужных окон.

В курсе
Согласно Sun, Solaris соответствует критериям, установленным Министерством обороны Orange Book для систем компьютерной безопасности уровня C2. Это не значит, что вы в полной безопасности. Компьютерная безопасность требует большего, чем просто покупка ОС и ее установка. Безопасность — это постоянный процесс понимания вашей системы и того, что в ней работает.Как администратор, вам необходимо активно выявлять уязвимости по мере их обнаружения и применять исправления или обновления для защиты от них.

Sun имеет список рассылки исправлений для зарегистрированных пользователей, который будет держать вас в курсе последних исправлений. Список исправлений также доступен на сайте SunSolve. CERT, координационный центр компьютерной безопасности, — это то место, куда вы хотите идти, чтобы быть в курсе уязвимостей безопасности в Solaris и любых других операционных системах, которые вы можете использовать. CERT также предлагает интересный список, на который вы можете подписаться, если хотите получать регулярные обновления.

Наш испытательный стенд
Для этого обсуждения я выполнил новую установку Solaris 8, при этом компьютер работает и находится в моей сети. Я выбрал установку Solaris по умолчанию, а также назначил IP-адрес через DHCP с моего основного сервера. Я также дал записи сервера имен для /etc/resolve.conf , но еще не настроил таблицу маршрутизации для шлюза через мой брандмауэр в Интернет. Я дал пароль root, зашел в систему и добавил одного пользователя «тушенку». На данный момент машина только что загрузилась и находится на графическом экране входа в систему для X.] ‘.

SunOS 5.8

логин: root
Пароль:
Не на системной консоли
Соединение прервано внешним хостом.

Ну, по крайней мере, root не может подключиться через telnet; это хорошо. Это контролируется в файле / etc / default / login путем установки переменной CONSOLE в записи сценария:
CONSOLE = / dev / console

ssh
Если установлено CONSOLE , то вход в систему осуществляется с помощью корневого каталога сети. отключены, но telnet для пользователей включен.Многие операционные системы теперь поставляются с отключенными telnet и ftp, а также с ssh и scp для их замены. Ssh и scp шифруют соединение, поэтому имена пользователей и пароли в открытом виде не видны, если посторонние глаза попытаются проникнуть в вашу систему. Возможно, вы захотите сделать то же самое, отключив telnet и ftp и получив ssh . Ознакомьтесь с этой версией Openssh для Solaris 8.

Вам также потребуется загрузить и установить openssl с того же сайта.Если вы используете Solaris 7, вам потребуются gzip и zlib . Поместите файлы во временный рабочий каталог (например, / tmp / packages ) и запустите это (как root):



Примечание
Я использую 32-битные версии на Sparc20.

У вас должно получиться два каталога: openssh и openssl . Теперь вы можете установить пакеты:
pkgadd -d. openssl
pkgadd -d.openssh

Обратите внимание на точку (.) после –d; это важно. Вы будете уведомлены об изменении атрибутов на / usr / local / bin и / usr / local / man . Вы можете ответить n на эти изменения и продолжить установку с y . Для openssh вы увидите такое же уведомление, а также предупреждение о том, что ssh будет установлен suid root, который я решил переопределить, и еще одно предупреждение о том, что скрипты будут запускаться от имени root как часть установки.

Содержимое пакета будет находиться в / usr / local . Первое, что вам нужно сделать, чтобы настроить sshd в качестве сервера, — это сгенерировать ключи хоста:

Есть два ключа, один для ssh2 и один для ssh3 .

Я рассмотрел самую основную часть конфигурации. Файл / usr / local / etc / ssd_config имеет дополнительные параметры для сервера, а / usr / local / etc / ssh_config имеет параметры клиента.

Чтобы запустить сервер, запустите:
/ usr / local / bin / sshd

Теперь вы можете получить ssh с другого компьютера в сети.Вы можете использовать опцию -v на клиентском компьютере, чтобы включить подробный вывод, если вам нужно что-то отладить. Типичный логин ssh будет работать примерно так:

Я обнаружил одно предостережение с scp и этой настройкой. Пакет был установлен в / usr / local / bin. При запуске scp с другого компьютера он породил scp в окне Solaris без полного пути, и я получил ошибку. Самое простое исправление — это, вероятно, символическая ссылка в / usr / bin :
cd / usr / bin
ln -s / usr / local / bin / scp scp

Вероятно, вы также захотите настроить демон sshd для запуска во время загрузки.Мы можем создать файл в /etc/rc2.d с именем S78sshd :
#! / Sbin / sh
футляр «1 доллар» в
‘start’)
/ usr / local / bin / sshd
;;
‘стоп’)
/ usr / bin / pkill -x -u 0 -P 1 sshd
;;
*)
echo «Usage: $ 0 {start | stop}»
exit 1
;;
esac
exit 0

Нам также необходимо создать сценарий выключения, когда система переходит на уровень выполнения 0 и 1:
cp S78sshd../rc1.d/K78sshd
cp S78sshd ../rc0.d/K78sshd

Вот и все, что касается базовой настройки. На страницах руководства и на сайте openssh имеется гораздо больше информации о ssh .

Отключение telnet и ftp
Отключить telnet и ftp очень просто; файл, который мы хотим отредактировать, — это inetd.conf . В Solaris 8 файл в / etc является символической ссылкой на /etc/inet/inetd.conf . Файл также доступен только для чтения, поэтому нам нужно изменить права доступа (как root):
chmod u + w / etc / inet / inetd.conf
vi /etc/inet/inetd.conf

Затем вам просто нужно отредактировать две строки, добавив # в начале, чтобы закомментировать их (см. боковую панель).

Каждый раз, когда вы вносите изменения в inetd.conf , вам нужно останавливать и перезапускать демон inetd :
/etc/rc2.d/S72inetsvc stop
/etc/rc2.d/S72inetsvc start


Примечание
Две приведенные выше строки — это сценарии в моей системе; ваш может отличаться.Большинство системных демонов запускаются и останавливаются с помощью этих сценариев. Скрипты «S» запускают демоны при запуске системы в порядке номеров после «S». Сценарии «K» завершают работу служб при завершении работы системы или изменении уровня выполнения. «Rc2.d» относится к службам, запущенным на уровне запуска 2.

Пробуждение и исследование: что работает
Так что еще работает? Мы можем быстро взглянуть на сетевые службы, работающие с netstat . Netstat предоставит вам список ваших активных сетевых подключений, а также список возможных способов доступа к вашему ящику.Некоторые из них безобидны, но если мы собираемся заблокировать вещи как можно сильнее, то нужно закрыть все, что нам абсолютно не нужно. Чтобы узнать, какие службы работают, введите этот текст.

Это отредактированный список; ваш должен быть намного длиннее. Каждая из этих названных служб и портов является потенциальным средством доступа к вашему компьютеру через сетевое соединение. Я отредактировал его, но вы также увидите подмножество этого списка, указанное в IPv6, который является новым протоколом доставки в Интернет.Так что же это за штука и почему она у нас запущена?

Давайте посмотрим на некоторые из названных сервисов, которые нам следует заинтересовать:

  • · sunrpc : Удаленный вызов процедур (RPC) Sun формирует основу многих сервисов UNIX, особенно сетевой файловой системы (NFS). Однако RPC может быть чрезвычайно опасным, если его оставить в Интернете.
  • · echo , discard , daytime и chargen : в основном используются для тестирования сети.
  • · lockd : Используется вместе с NFS для поддержки файловых блокировок совместно используемых файлов.
  • · shell , login и exec : Это службы «r»: rshelld , rlogind и rexecd . Как и telnet, они позволяют пользователям на других машинах в сети удаленно входить в систему или выполнять команды на вашем компьютере при условии, что у них есть учетная запись пользователя. Многие администраторы закрывают их. Установив ssh / scp , мы тоже можем отключить их.
  • · finger : Finger позволяет искать информацию о пользователе. Многие администраторы отключают его, потому что любая информация о пользователе, которую может получить взломщик, значительно упрощает его работу. Как только он / она пробует пальцем и находит действительное имя пользователя, для входа требуется только пароль.
  • · dtspc : Это «демон управления подпроцессом CDE». Подобно программам «r», он позволяет запускать удаленный xterm с другой машины.Очевидно, он использует другую схему авторизации, чем rsh и семейство, из того, что я видел при поиске в сети. Похоже, это еще один кандидат на отключение.
  • · smtp : Это «простой протокол передачи почты», используемый для передачи электронной почты между системами. Solaris использует sendmail , исторически являвшийся источником ряда системных эксплойтов. Версия в Solaris 8 — Sendmail 8.9.3 с патчами Sun. Самый простой способ найти вашу версию sendmail — это установить Telnet на порт 25 (при условии, что telnet включен) (см. Врезку).

Если вы будете в курсе рекомендаций по безопасности и обновлений до sendmail , у вас не должно возникнуть особых проблем. Хотя в прошлом это было источником проблем, в него было внесено множество улучшений.

Давайте также воспользуемся ps , чтобы увидеть, что в настоящее время выполняется в системе:
$ ps -ae

PID TTY TIME CMD
0? 0:01 расписание
1? 0:00 инициализации
2? 0:00 выгрузки
3? 0:08 fsflush
285? 0:00 sac

Опять же, это отредактированный список, и в моем фактическом списке было около 30 записей, что довольно много для машины с одним человеком на нем.Давайте рассмотрим некоторые из потенциально проблемных программ в этом списке.

  • · rpcbind : сервер, который упрощает отображение портов на службы.
  • · inetd : Inetd — это демон служб Интернета. Он отслеживает активность порта и запускает соответствующую программу на основе записей в / etc / services и /etc/inetd.conf .
  • · statd : Монитор состояния сети, часть NFS.
  • · cimomboot : часть управления предприятием через веб-интерфейс Solaris.
  • · snmpXdmi : Часть интерфейса управления рабочим столом.
  • · dwhttpd : Это веб-сервер. Sun, как и многие другие производители, предоставляет документацию в формате HTML. Этот сервер предназначен для доступа к этой информации; по умолчанию это порт 8888.
  • · snmpdx : Главный агент Solstice Enterprise.
  • · dmispd : поставщик услуг DMI.Другая часть Solaris Enterprise Management. Этот процесс лежит в основе DMI.

Как видите, существует ряд запущенных инструментов управления предприятием Solaris / Solstice, которые мы, возможно, захотим отключить.

nessus
. Полезным инструментом для выявления уязвимостей вашего компьютера, если у вас есть другой компьютер для доступа к нему через сеть, является nessus . Nessus — это удаленный сканер безопасности, который будет проверять данную сетевую машину и определять, может ли эта машина быть взломана или использована некорректно.Пакет имеет приятный графический интерфейс, и вы можете запускать все около 500 сканирований или выбирать по мере необходимости.

После сборки nessus я провел полную атаку и сканирование на машине Solaris. Вот результаты.

Отчет nessus продолжается, подробно описывая каждую дыру и предупреждение, ссылаясь на рекомендации CERT и предлагая шаги для решения проблемы. Похоже, у нас есть над чем поработать. Инструменты управления предприятием Solaris / Solstice являются частью нашей проблемы, начиная с SNMP.Процесс достаточно легко остановить, запустив:
/etc/rc3.d/S76snmpdx stop

Чтобы он не запускался снова при следующей загрузке, нам просто нужно переименовать файл:
mv / etc / rc3 .d / S76snmpdx /etc/rc3.d/no-S76snmpdx

Это изменение привело к падению сканирования nessus до двух отверстий и 14 предупреждений при его повторном запуске.

В следующем предупреждении упоминается walld . Walld — это программа, которую администратор может использовать для отправки сообщений всем пользователям в случае выключения системы или другого события.Как упоминает nessus , взломщики также могут использовать его, чтобы обманом заставить пользователей раскрыть пароли или другую конфиденциальную информацию. Легко отключить. Пока мы на этом, давайте рассмотрим echo , дневной и chargen . Опять же, мы будем комментировать строки в inetd.conf , как мы это делали с ftp и telnet. Не забудьте остановиться и запустить inetd , когда закончите. Строки, которые нам нужны, здесь.

Это отбрасывает сканирование nessus до двух дыр и 10 предупреждений.

Теперь вернитесь и закомментируйте остальные известные опасные службы в /etc/inet/inetd.conf , включая sadmind , rquotad , rstatd , ruserd , Sprayd , cmsd , finger , rsh , rlogin , rexec и tooltalk . Не забудьте остановиться и запустить inetd . Согласно странице CERT, Sun выпустила исправления для проблемы tooltalk в 1998 году, но, опять же, если она вам не нужна, не запускайте ее.Эти изменения сокращают сканирование нашего nessus до нуля дырок и пяти предупреждений.

Если вы не чувствуете, что вам нужен работающий веб-сервер, остановите его и измените также сценарии запуска для него. Даже если служба не была упомянута в вашем сканировании, если вы не чувствуете, что она вам нужна, не запускайте ее. Вы всегда можете включить его снова. Ниже приведены некоторые примеры, показывающие, как отключить эти службы:

Отключение веб-сервера Answerbook:
/etc/rc2.d/S96ab2mgr stop
mv / и т. д. / rc2.d / S96ab2mgr /etc/rc2.d/no-S96ab2mgr

Отключение других инструментов управления Solaris:
/etc/rc3.d/S77dmi stop
mv /etc/rc3.d/S77dmi stop /etc/rc3.d/no-S77dmi
/etc/rc2.d/S90wbem stop
mv /etc/rc2.d/S90wbem /etc/rc2.d/no-S90wbem

Если вы не используете nfs , вы также можете отключить клиентские инструменты nfs , statd и lockd , которые генерируют два предупреждения из nessus .

Если бы вы сейчас перезапустили netstat и ps , вы бы увидели, что списки значительно сократились.

Остальные три предупреждения относятся к факторам низкого риска. Неслучайный IP-идентификатор предполагает наличие патча от вашего поставщика, которого я не нашел на сайте Sun. Два других предполагают фильтрацию пакетов ICMP, которая может быть выполнена с помощью продукта фильтрации пакетов TCP / IP. IP-фильтр кажется довольно популярным на машинах Solaris.

Мне не удалось найти двоичные файлы, и на этой машине еще не настроено gcc и семейство, поэтому для сборки и установки IP Filter придется подождать до следующей статьи.По сути, как только программа будет запущена и запущена, вы должны добавить набор правил для блокировки icmp пакетов указанного типа:
блок в протоколе icmp «тип пакета»

Или вы можете заблокировать все, а затем выборочно разрешить пакет типы, которые вы хотите (например, чтобы разрешить ping) (см. врезку).

Если вы обнаружите, что вам нужно включить клиент nfs или некоторые другие службы, которые мы отключили, наличие фильтра пакетов должно дать вам некоторую защиту от уязвимостей.

Заключение
Безопасность — это непрерывный процесс. Вам необходимо знать свою систему, какие процессы в ней выполняются и для чего нужна система. Отключение ненужных процессов не только закроет возможные угрозы безопасности, но также освободит системные ресурсы для задач, которые вы действительно хотите выполнить. Будьте в курсе обновлений от поставщика и следите за объявлениями по безопасности от CERT. Отслеживайте файлы журналов на предмет необычной активности и узнавайте свою таблицу процессов и то, что вы ожидаете запускать.Если возможно, замените telnet и ftp безопасными версиями и поощряйте пользователей использовать нетривиальные пароли. Это не гарантия того, что вас не взломают, но вы усложните задачу взломщикам.

Сложный субъект угроз использовал Oracle Solaris Zero-Day

Более двух лет наблюдался злоумышленник, нацеленный на операционные системы Oracle Solaris, в том числе с использованием эксплойта для недавно устраненной уязвимости нулевого дня, сообщает FireEye в понедельник.

Отслеживается как UNC1945 — UNC назначается FireEye неклассифицированным группам — злоумышленник был замечен в компрометации телекоммуникационных компаний и использовании сторонних сетей для нацеливания на определенные финансовые и профессиональные консалтинговые отрасли.

На протяжении всей наблюдаемой деятельности группа использовала различные инструменты для взлома операционных систем Windows, Linux и Solaris, а также настраиваемые виртуальные машины, уделяя особое внимание уклонению от обнаружения.

«UNC1945 продемонстрировал доступ к эксплойтам, инструментам и вредоносным программам для нескольких операционных систем, дисциплинированный интерес к сокрытию или манипулированию их деятельностью, а также продемонстрировал передовые технические возможности во время интерактивных операций», — говорят исследователи безопасности FireEye из Mandiant.

В конце 2018 года было замечено, что злоумышленник взломал сервер Solaris, на котором служба SSH была доступна в Интернете, чтобы установить на нем бэкдор SLAPSTICK с целью кражи учетных данных. Злоумышленник использовал SSH для подключения к серверу.

В середине 2020 года, после 519-дневного периода ожидания, был замечен другой сервер Solaris, подключенный к инфраструктуре злоумышленника. Злоумышленник развернул средство удаленной эксплуатации под названием EVILSUN, чтобы использовать уязвимость нулевого дня, воздействующую на сервер Solaris 9.

Отслеживаемая как CVE-2020-14871, об уязвимости было сообщено в Oracle, которая устранила ее в рамках обновления критического исправления за октябрь 2020 года. Ошибка затрагивала подключаемый модуль аутентификации Solaris (PAM) и позволяла злоумышленнику, имеющему доступ к сети, скомпрометировать операционную систему без аутентификации.

Madiant также обнаружил, что в апреле 2020 года на подпольной торговой площадке предлагался «Oracle Solaris SSHD Remote Root Exploit» примерно за 3000 долларов, отметив, что этот эксплойт «может быть идентифицирован с EVILSUN.”

«Кроме того, мы подтвердили, что сервер Solaris, подключенный к Интернету, имеет критические уязвимости, в том числе возможность удаленного использования без аутентификации», — говорят исследователи.

Используя бэкдор SLAPSTICK Solaris PAM, злоумышленник закрепился на скомпрометированном сервере Solaris 9. После размещения вредоносной программы в скомпрометированной системе злоумышленник установил на рабочую станцию ​​специальный бэкдор Linux под названием LEMONSTICK, чтобы облегчить выполнение команд, туннелирование соединений, а также передачу и выполнение файлов.

UNC1945 поддерживал доступ с помощью механизма перенаправления портов SSH и отбрасывал пользовательскую виртуальную машину QEMU на нескольких хостах, используя сценарий «start.sh» для ее выполнения в любой системе Linux. Сценарий содержал настройки пересылки TCP, в то время как на виртуальную машину были предварительно загружены такие инструменты, как Mimikatz, Powersploit, Responder, Procdump, CrackMapExec, PoshC2, Medusa, JBoss Vulnerability Scanner и другие.

Злоумышленник использовал энергозависимую память для снижения операционной видимости, манипулировал отметками времени и файлами журналов с помощью встроенных утилит и общедоступных инструментов, а также применял методы защиты от криминалистики.Кроме того, хакеры собирали учетные данные, повышали привилегии и продвигались через скомпрометированную среду.

Также использовалась программа удаленного доступа с открытым исходным кодом PUPYRAT. На одной цели после первоначального взлома злоумышленник развернул три разных бэкдора: SLAPSTICK, TINYSHELL и OKSOLO. В среде Windows для удаленного выполнения команд использовался IMPACKET с SMBEXEC. Также использовался сканирующий инструмент BlueKeep.

Согласно Mandiant, несмотря на многоэтапную операцию, кражи данных не произошло.Однако в одном случае программа-вымогатель ROLLCOAST была развернута на последнем этапе, но неясно, был ли UNC1945 ответственен за это развертывание или нет, поскольку доступ к скомпрометированной среде мог быть продан другому субъекту.

«Простота и широта использования, в которых UNC1945 проводил эту кампанию, предполагает, что сложный, постоянный субъект, комфортно эксплуатирующий различные операционные системы и доступ к ресурсам и многочисленным инструментам. С учетом вышеупомянутых факторов, использования эксплойтов нулевого дня и виртуальных машин, а также способности проходить через несколько сторонних сетей, Mandiant ожидает, что этот мотивированный злоумышленник продолжит целенаправленные операции против ключевых отраслей », — заключают исследователи.

Связано: Oracle выпускает внеполосное обновление для критической уязвимости, используемой в атаках

Связано: ЦП Oracle за октябрь 2020 г. содержит 402 новых исправления безопасности

Ионут Аргире — международный корреспондент SecurityWeek. Предыдущие столбцы Ионутом Аргире: Теги:

YASSP! Инструмент для повышения безопасности Solaris

ЯССП! Инструмент для повышения безопасности Solaris
Стр. 341-354 протокола
Жан Шуанар — Xerox — Исследовательский центр Пало-Альто

Этот документ представляет YASSP, еще один безопасный пакет Solaris, набор инструментов, разработанный, чтобы помочь системному администратору обезопасить Хост Solaris.Он объясняет внутренний механизм, используемый YASSP для реализовать эти изменения безопасности, чтобы системный администратор мог либо используйте этот инструмент в его текущей форме и локализуйте его, либо измените исходный код пакета, соответствующий его потребностям.

YASSP состоит из пакета SECclean и набора дополнительных пакеты, предоставляющие общие полезные инструменты, связанные с безопасностью. SECclean внутренний механизм, используемый для изменения существующей операционной системы, реализован через механизм пакетов Solaris и обеспечивает полную процедура демонтажа.Это потребовало разработки специальная библиотека функций оболочки для облегчения работы с файлами.

Проект YASSP предоставляет сообществу простой путь к обеспечению безопасности хост Solaris. Это научило нас многому о внутреннем устройстве Solaris и манипуляции с пакетами. YASSP еще молод и готов к расширению.

Проект ЯССП был начат еще в 1997 году, чтобы удовлетворить потребность в установка открытых серверов Solaris. Для таких серверов Sun Solaris установка по умолчанию имеет следующие недостатки:

  • В стандартной комплектации Solaris запускает множество сетевых служб.Это нарушает принцип, согласно которому машина должна предоставлять только те услуги, которые намерен предоставлять его владелец.
  • В стандартной комплектации все сетевые сервисы доступны любому хост, который их запрашивает, нарушая принцип «предлагать услуги только тем, кому вы собираетесь их использовать »
  • При стандартной установке ведение системного журнала несовместимо.
  • В стандартной комплектации система не выдает предупреждения о безопасности. баннерные сообщения людям, которые пытаются его использовать.

Текущая версия YASSP была создана в Xerox Palo Alto Research Center, как настраиваемый инструмент для защиты хоста Solaris. Более того Полную историю проекта можно найти далее в этой статье.

YASSP можно использовать на Solaris 2.6, 7 или 8, sparc или Intel архитектура для повышения безопасности рабочей станции конечного пользователя или сервер.

Прежде чем рассматривать внутреннее устройство YASSP, давайте разберемся с концепциями используется для построения ЯССП. Эти концепции стимулировали YASSP реализации, создали свои собственные проблемы и предложили решения, но оставались неизменными в течение существования YASSP, что сделало его очень стабильный.

  • Он должен играть по правилам Sun, а не сражаться с Sun: мы следуем как можно точнее. мы можем вс стандарт и правила.
  • YASSP пытается быть максимально тесно интегрированным с Solaris. Это было построен и распространяется как пакет Solaris. ЯССП будет следовать за пакетом правила и стандарты Sun, если они существуют. Когда стандарта не существует, YASSP постарается приспособить различные варианты систем возможно, администратор сделал.
  • Его можно устанавливать и снимать без разрушения и восстановления тот же контекст, что и раньше.Особое внимание было уделено этим пунктов, чтобы быть уверенным, что системный администратор никогда не потеряет файлы или модификации, сделанные после установки YASSP на любой YASSP файлы конфигурации. Здесь цель двоякая: убедитесь, что любые изменения сделанный YASSP можно отменить, но также убедитесь, что все изменения, сделанные after не будет потеряно в случае деинсталляции. Это верно для все компоненты ЯССП.
  • Он должен работать при минимальной установке, как и основной выбор из Установка Solaris, или любая другая.
    Это один из самых важные и самые ограничивающие правила, так как они напрямую повлияли на выбор мы сделали в инструментах и ​​языке, используемых в реализации YASSP. Кроме для нескольких двоичных файлов ядро ​​YASSP написано в оболочке Bourne, использует sed и [n] awk.
  • Дополнительные скрипты, не являющиеся частью YASSP, но называемые примерами на в веб-документации могут использоваться инструменты, не включенные в базовую установку, как Perl.
  • Защищено и закрыто по умолчанию …
  • … но может быть открыт после установки или изменен, чтобы быть локализованный.
  • Поведение YASSP по умолчанию должно быть безопасным. Для каждого выбора конфигурации YASSP предлагает, он по умолчанию установит тот, который команда YASSP разработчики считают наиболее безопасным.
  • Большинство этих вариантов конфигурации легко просматриваются и изменяются. после установки ЯССП.
  • Используя трехуровневую реализацию: с точки зрения безопасности мы пытаясь решить, мы формируем список модификаций, которые необходимо случаться; этот список реализуется установкой пакета (Файл заменен, файл отредактирован, файл создан…)

Созданный как пакет Sun и соответствующий правилам Sun, этот инструмент заботится о базе данных пакетов Solaris, исправляет ее, когда неправильно, и сохраняет точность с течением времени.

После установки SECclean большинство ваших сетевых служб будут выключен, и большинство процессов запускаются по умолчанию под Solaris больше не будет работать. Ваш сервер будет усилен, возможно, слишком сильно. Это значение по умолчанию для SECclean: если вы не измените его конфигурацию, или, если его конфигурация не существует, она будет закрыта и защищена.Это очень хорошо подходит для установки открытого сервера, но не для конца. рабочая станция пользователя.

Модификация SECclean в вашей системе может быть представлена ​​следующим образом:

  • Удаление ненужных файлов (/ etc / auto_home, / etc / auto_master, / etc / dfs / dfstab, / var / spool / cron / crontabs / adm, / var / spool / cron / crontabs / lp и / var / spool / cron / crontabs / uucp).
  • Управление большинством сценариев запуска через /etc/yassp.conf.
  • Изменение настроек среды по умолчанию, чтобы сделать вашу систему более безопасной (umask, длина пароля, PATH) и сделайте некоторые из этих переменных доступно через / etc / yassp.conf (/ etc / profile, / etc / default / login, / etc / default / su, / etc / default / passwd, /etc/skel/local.cshrc, / etc / skel / local.profile, /etc/.login, /etc/rmmount.conf) и настройки umask по умолчанию для сценария запуска (/etc/init.d/umask.sh).
  • Включение файлов баннеров (/ etc / motd, / etc / issue, / etc / ftp-banner).
  • Контроль доступа к системе и к определенным командам (/etc/pam.conf, / etc / default / login, /.rhosts, /etc/hosts.equiv, /etc/cron.d/at.allow, /etc/cron.d/cron.allow, / etc / default / sys-suspend, / etc / ftpusers, / usr / dt / config / Xaccess и / etc / dt / config / Xaccess).
  • Упрощение запуска сети при сохранении обратной совместимости через /etc/yassp.conf (/etc/init.d/inetsvc, /etc/init.d/inetinit, и / etc / init.d / network).
  • Больше контроля над службами RPC (keyserv и rpcbind с TCP-оболочкой) [15] (/ etc / init.d / rpc).
  • Отключение доступных сетевых служб (/ etc / inet / inetd.conf).
  • Настройка параметров системы, попытка предотвращения и разбиения стека журналов атаки (/ etc / system).
  • Производительность сетевого стека и настройка безопасности [16] (/ etc / init.d / nettune и / etc / default / inetinit).
  • Добавляет несколько общих определений сервисов (/ etc / inet / services).
  • Устанавливает стандартную конфигурацию системного журнала (/etc/syslog.conf).
  • Разное и ведение журнала (/ etc / shells, / var / adm / loginlog, / etc / norouter и / etc / inittab).
  • Исправление базы данных пакета и изменения режима файла, чтобы сделать их более полезными безопасный (режимы очистки и исправления).
Более подробное и актуальное объяснение того, что на самом деле done можно найти в Интернете по адресу: https: // www.yassp.org/internal.html.

Помимо SECclean, YASSP обеспечит проверку целостности (tripwire) [4], элементы управления TCP и RPC (tcpd и rpcbind с tcp_wrappers) [15], зашифрованный канал (ssh) и другие журналы ротации и контроль версий системные файлы (PARCdaily, GNUrcs и GNUgzip).

Пример того, как выглядит система после перезагрузки, можно найти на Приложение 1.

Во-первых, пакеты Sun занимают важное место в YASSP реализации, давайте объясним, что это такое и как они работают.

В мире Solaris прикладное программное обеспечение или системные компоненты поставляются в единицах, называемых пакетами [Примечание 1]. Пакет — это набор файлов и каталогов, необходимых для реализует новую функцию и обычно разрабатывается и создается разработчик этой новой функции (новые приложения, доработка системы) после завершения разработки кода.

Компоненты пакета делятся на две категории: пакет объекты, которые являются файлами приложения, которые необходимо установить, и управлять файлы, которые определяют, как, где и установлен ли пакет.

Контрольные файлы

Контрольные файлы делятся на две категории: информационные файлы и сценарии установки. Некоторые из этих управляющих файлов обязательны и некоторые из них необязательны, установочные скрипты всегда по желанию. Сценарий установки должен состоять из оболочки Bourne. команды.

Сценарий установки выполняет настраиваемые действия во время установка вашего пакета, особенно сценариев процедур, определяющих действия, которые происходят в определенных точках во время установки пакета и удаление, а также сценарий группового действия, который определяет набор действия над группой объектов.Четыре сценария процедуры предопределены: предустановка, постинсталляция, предварительное удаление и последующее удаление.

Это компоненты, из которых состоит приложение. Они могут быть: файлы (исполняемые файлы или данные), каталоги, именованные каналы, ссылки или устройств.

Объекты пакета описаны в файлах прототипов, по одной строке на единый предмет сдачи. Описание объекта включает его местонахождение (путь, относительный или абсолютный), атрибуты (владелец, группа и мод разрешений), класс и тип файла.

Классы объектов позволяют выполнять серию действий над группа объектов пакета при установке или удалении. Сед предопределенный класс предоставляет метод использования инструкций sed для редактирования файлы при установке и удалении пакета. См. Документацию Sun для получения более подробной информации о классах объектов.

Доставка, установка, регистрация и проверка посылки

При установке пакета все его объекты зарегистрирован в / var / sadm / install / contents.Информация, хранящаяся в этом файл — это либо статическая информация, найденная в информации пакета файлы (имя пакета, тип файла объекта, атрибуты, класс) или динамическая информация, генерируемая при установке pkgadd команда, такая как дата, размер и контрольная сумма ( сумма (1)) объект, который обеспечивает хорошую проверку целостности, но плохую проверка подлинности. Точность и целостность различных объектов установленного пакет можно проверить с помощью команды pkgchk (1).`-N ‘ опция, которая указывает pkgchk не проверять изменчивые или редактируемые файлы, следует использовать при проверке после установки. Проверки выполняются на наличие каждого объекта, их записанные атрибуты, их размер и контрольная сумма.

Информация о пакете может быть обновлена ​​вручную в любое время с помощью installf (1M) и removef (1M) команды.

Пакеты — это рекомендуемый способ доставки приложений Solaris. Пакеты Solaris предоставляют инструменты и методы для установки новых объектов и изменить или удалить существующие с помощью класса действий или сценарий установки.Они также предоставляют базовый механизм для сохранения файлов. изменен и будет записывать все установленные файлы, включая их атрибуты и базовая контрольная сумма.

Пакеты не идеальны, но существуют в каждой системе Solaris.

SECclean — это ядро ​​YASSP, обеспечивающее большую часть безопасности тюнинг. SECclean построен как пакет с использованием правил, которые мы объяснили. в последнем разделе. Чтобы реализовать эту настройку безопасности, SECclean будет изменить существующую систему Solaris путем добавления, удаления, замены или изменение различных файлов.

Файлы можно сортировать по группам: созданные, удаленные, заменены и изменены файлы и сценарии запуска.

Новые файлы, удаленные файлы и замененные файлы делятся на три категории файлов легко понять. Иногда разумнее изменить существующий файл вместо замены его нашей версией, так как они могут быть разные в каждой системе.

Файлы запуска или сценарии управления запуском в соответствии с документацией Sun они представляют собой сценарии оболочки Bourne для управления изменениями уровня выполнения.Каждый пробег level имеет связанный сценарий rc, расположенный в каталоге / sbin: RC [0-6S].

Скрипты управления запуском находятся в каталоге /etc/init.d с ссылки из соответствующих скриптов управления запуском в /etc/rc[0-6S ].d каталогов. В связи с их особыми функциями и требования, файлы запуска обрабатываются SECclean как особые случаи.

Поскольку ничего не может быть простым, для этого будут исключения. классификация. SECclean совместим с тремя версиями Solaris, и файлы, которые необходимо заменить, могут зависеть от версии.Другой файлы, которые мы хотим изменить, потребуют особого внимания, так как эти изменения может быть более сложным. Двоичные файлы, устанавливаемые SECclean, должны быть обрабатывается в зависимости от архитектуры цели. Наконец, несколько файлов может потребоваться изменить, только если они существуют.

Управление файлами под SECclean

Как объяснено в разделе «Философия», SECclean не должен устанавливаться, а состояние вашей системы после SECclean установка и удаление должны быть такими же, как и раньше.Все информация, связанная с файлом (его содержимое, его атрибуты (владелец, группа и режим разрешений), а также информация о пакете связанные с этим файлом) должны быть извлечены и сохранены в SECclean установка, так что шаг удаления сможет восстановить ее. Эти процедуры резервного копирования и восстановления должны быть созданы, поскольку пакеты предоставляют вам руководство о том, как это должно быть сделано, но это до разработчика пакета для реализации таких функций. Борн оболочка [Примечание 2] библиотека с именем cleanlib.sh предоставляет функции, помогающие работать с пакетом регистрация, резервное копирование и восстановление файлов. Выполнить любой файл операций, SECclean использует функции cleanlib.sh как операции с пакетами. предоставляемые Solaris, очень примитивны.

Cleanlib предоставляет следующие функции:

  • Install_file (): устанавливает файл, перемещая его по префиксу имени на свое настоящее имя. Он сохраняет копию установленного файла, чтобы любой его модификацию можно отслеживать, и файл регистрируется как часть пакет SECclean.
  • Install_RC_file (): та же функция, что и Install_file (), но для установки сценарий запуска. Он также создает символические ссылки, необходимые под /etc/rc[0-6S ].d каталогов.
  • Backup_user_file (): копирует файл и воссоздает его путь в каталог резервных копий.
  • Save_and_move_file (): перемещает указанный файл и его пакет информацию в резервную область, а затем отмените регистрацию ее из база данных пакетов.
  • Disable_RC (): удаляет ссылки на сценарий запуска.Это сделает резервную копию всех найдена информация о пакете.
  • Disable_Init (): ищет любую зарегистрированную ссылку на сценарий запуска. и вызывает Disable_RC () для каждого из них.
  • RCconfized_Init (): изменяет сценарий запуска для управления его запуском. через /etc/yassp.conf. Также обновит /etc/yassp.conf для каждого изменен сценарий запуска.
  • Create_RCconf (): инициализирует статический заголовок /etc/yassp.conf.
  • DE_RCconfized_Init (): отменяет модификацию, выполненную RCconfized_Init () в сценариях запуска.
  • Restore_RC (): восстанавливает ссылки сценария запуска из сохраненного информация и обновляет базу данных пакетов.
  • Restore_file (): восстанавливает файл из резервной копии и обновляет база данных пакетов.
  • Init_preremove (): инициализирует значение каталога резервного копирования для файлы, измененные с момента установки YASSP.
  • Cmp_and_backup_file (): проверяет наличие ранее установленных файлов были изменены, и если да, то делает их резервную копию.

Чтобы удалить существующий файл, мы сначала сохраняем его текущий пакет информацию, переместите ее в каталог сохранения пакета и отмените регистрацию из оригинальной упаковки.Это делается с помощью файла Save_and_move_file функция.

Замена файла требует дополнительных действий. Сначала мы должны доставить новый файл под другим именем, чтобы не перезаписать существующий. Соглашение для SECclean заключается в установке нового файла с именем с префиксом «SECclean_». Затем мы должны удалить, так как объяснено в последнем разделе существующий файл, переместите новый файл в его настоящее имя, отмените регистрацию имени с префиксом из пакета SECclean и пропишите в нем настоящее имя. Кроме того, поскольку SECclean хочет иметь возможность для отслеживания любых изменений в этих файлах после его установки копия исходный установленный файл сохраняется.Эти операции выполняются с использованием функции Save_and_move_file и Install_file.

Файлы, которые необходимо изменить, определены как часть sed класс в прототипе SECclean. Никаких особых действий не требуется, так как связанный скрипт sed обрабатывает установку и деинсталляцию фаза.

Для скриптов запуска мы хотели предложить системному администратору выбор запуска различных имеющихся сценариев запуска, и мы хотелось, чтобы этот выбор был максимально удобным.Решение в SECclean было выбрано изменение существующего сценария таким образом, чтобы он запускать, только если переменная оболочки установлена ​​в YES в конфигурации YASSP файл /etc/yassp.conf. Имя этой переменной оболочки основано на название сценария, без букв, не содержащих букв, и заглавные. Функция RCconfized_Init используется для изменения каждого оригинальный сценарий запуска.

Функция Disable_Init используется для резервного копирования и удаления любых информация, связанная со сценарием запуска. Это будет, судя по названию сценария запуска в / etc / init.d, найдите все существующие ссылки к нему из любого каталога /etc/rc[0-6S visible.d/, запишите все эти ссылки и информацию о пакете, связанную с ними, сохраните содержимое исходный скрипт запуска и удалите их все. Он используется, когда нам нужно заменить или удалить сценарий запуска.

Cleanlib также обеспечивает обратные функции, используемые при удалении фаза пакета для восстановления состояния и содержимого этих файлы.

Существуют исключения: некоторые сценарии запуска нуждаются в доработке, некоторые сценарии запуска необходимо заменить нашей версией, но в зависимости от в версии операционной системы необходимо установить только некоторые файлы если их еще не было.

Все эти функции отслеживают список пакетов, которых они касаются, так что когда мы закончим, мы знаем, какие изменения необходимо подтвердить.

Помимо описанных нами файловых операций, SECclean также необходимо выполнить следующие задачи:

Резервное копирование, удобное для пользователя

Нам показалось очень полезным и удобным копировать дерево файлов. SECclean коснется и предоставит его в качестве информационной копии системный администратор. Эта копия не используется в резервной копии пакета механизм, но предоставляет системному администратору простой способ увидеть какие и как файлы были изменены.Резервное копирование по умолчанию выполняется в /yassp.bk (Подробнее см. в разделе «Собираем все вместе». подробности).

Очистка файла паролей

Файл паролей будет проверен и при необходимости очищен, чтобы заблокировать все нерелевантные системные учетные записи, сменить оболочку всех заблокированных учетные записи в двоичный файл, который будет вести системный журнал любого использования этих учетных записей перед выходом. Очистка файла паролей реализована в clean_passwd, часть SECclean, и его можно повторно запустить в любое время после Установка SECclean.

Очистка операционной системы

При установке Solaris, даже если компоненты Solaris построены как пакеты, вы обнаружите некоторую несогласованность, если проверите пакет честность. Эти несоответствия отражают файлы, измененные во время установка, или файлы зарегистрированы неправильно, или и то, и другое. Использование оболочки скрипт, который очень зависит от ОС, SECclean исправит эти incoherencies и оставьте базу данных пакетов чистой.

После, используя программу исправлений Casper Dik для Solaris [3], SECclean обеспечивает права и права собственности на различные файлы.Это делает это удалив права записи группы и мира для всех файлы / устройства / каталоги, перечисленные в / var / sadm / install / contents, с исключение из тех, которые предварительно перечислены в программе fix-Mode.

Процесс установки

SECclean использует процедуру до и после установки скрипты.

Предварительная установка

Сценарий предварительной установки сначала определяет, в каком каталоге Компонент SECclean будет установлен. Некоторые компоненты ЯССП, которые могут быть установлены позже, пути к ним жестко запрограммированы в их двоичном коде [Примечание 3].На с другой стороны, системные администраторы могут захотеть установить свои софт в другом месте. Если существует / opt / local и можно ли изменить dir к нему [Примечание 4], SECclean использует / opt / local как путь установки по умолчанию. Если мы не можем изменить каталог на / opt / local, но если / usr / local существует и мы может изменить каталог на него, / opt / local создается как символическая ссылка указывая на / usr / local. Если ни один из них не существует, создается / opt / local как каталог.

Затем сценарий предварительной установки инициализирует две переменные оболочки. $ SECBCK и $ CLEANUPDIR, если они еще не определены.$ SECBCK — это используется в качестве пути, под которым будет создана удобная для пользователя резервная копия. Выполнено. Его значение по умолчанию — /yassp.bk. $ CLEANUPDIR — это путь, по которому скрипты и двоичные файлы, связанные с очисткой операционной системы, будут быть установлен. Его значение по умолчанию — / var / sadm / clean-up.

Затем сценарий предварительной установки определяет четыре переменные оболочки, соответствующие категориям файлов. Переменная $ RCCONF соответствует к исчерпывающему списку сценариев запуска. Скрипты запуска всегда упоминаемые по их имени в каталоге / etc / init.d каталог. Этот список является исчерпывающим, собирая все имена сценариев запуска, которые мы хотим control во всех поддерживаемых нами версиях Solaris. Следующая переменная — $ NRC, определение сценария запуска, который мы хотим заменить нашей собственной ОС зависимая версия. В этот список входят три сценария запуска: inetsvc, inetinit и сети (только на Solaris 8). Они сценарии, управляющие настройкой сети во время загрузки. Последние два определены переменные: список файлов, которые нужно удалить ($ SD), и список заменяемых файлов ($ SA).Все эти переменные записываются в файле ($ PKGSAVE / .PROC_Init_Var), чтобы другие сценарии, используемые в При установке или удалении SECclean могут использоваться одни и те же списки. Для получения актуального списка файлов, определенных в каждой из этих переменных, пожалуйста, консультироваться https://www.yassp.org.

Удобное для пользователя резервное копирование — последнее, что делает предустановка: все файлы, которые SECclean должен коснуться, будут скопированы в $ SECBCK / Before_`date +% Y.% m.% D-% H.% M.% S`.

Установка

Именно на этапе установки все объекты пакета определенные в SECclean будут установлены.Объекты, соответствующие файлы, которые мы хотим заменить, зарегистрированы и будут установлены с именем с префиксом «SECclean_». Для объектов, зависящих от версия операционной системы (например inetsvc) или по архитектуре хоста (двоичный), все возможные экземпляры были зарегистрированы и будут быть установленным с использованием версии ОС или архитектуры в качестве суффикса.

Все сценарии sed, связанные с любыми объектами пакета, входящими в состав Затем будет выполнен класс sed, и целевой файл будет изменен.

После установки

Сценарий постинсталляции — самый сложный.

После прочтения файла PROC_Init_Var, созданного предустановкой, в узнать значение различных категорий файла, сначала отключает файлы запуска, которые мы заменим позже, путем вызова Функция Disable_Init.

Затем все файлы, перечисленные в RCCONF, изменяются с помощью Функция RCconfized_Init. Для каждого из них создается сценарий sed. и применил к ним. В результате чего файлы запуска были присутствуют в этой системе, и из некоторой статической информации, yassp.conf создается файл.

Все файлы, которые мы удаляем или заменяем, сохраняются и перемещаются с помощью Save_and_move_file. На этом этапе SECclean завершает изменение существующие пакеты, и теперь он может закрыть и проверить все удаления сделано с базой данных пакетов.

Следующие шаги относятся к объектам пакета SECclean. Для файлов, которые зависят от версии операционной системы или от машины архитектура, правильная версия сохраняется, а другие удаляются и незарегистрированный. Информация о пакете SECclean обновляется, а база данных закрыто.Все файлы, которые мы хотим заменить, которые были установлены используя «SECclean_» в качестве префикса в своем имени, переименовываются в свои правильное имя. Новый инетинит, инетсвц и сети [Примечание 5] сценарии запуска установлены, а символические ссылки создаются из соответствующих /etc/rc[012ght.d каталогов, и особые случаи обрабатываются для конкретных файлы. Затем база данных SECclean снова закрывается, чтобы проверить все эти изменения.

Теперь мы закончили установку файлов и базу данных пакетов. Обновить. Настройка некоторых недавно установленных файлов, таких как / etc / system, выполняется в зависимости от версии операционной системы, файлы системного журнала, используемые недавно установленный системный журнал.conf затронуты, а пароль файл очищается вызовом clean_passwd.

Последнее, что было сделано, это очистка операционной системы, которая включает исправление базы данных пакетов и запуск fix-режимов. Готово: программа SECclean установлена.

Удаление

Этап удаления имеет две основные задачи: восстановление состояния вашего рабочую станцию, как это было до установки SECclean, но также сохраняя копирование любых файлов, установленных SECclean и измененных системами администратор, чтобы эти изменения не были потеряны.Так и будет используйте сценарии процедуры preremove и postremove для реализации этих задачи.

Предварительно снять

После прочтения файла PROC_Init_Var, созданного предустановкой для узнать значение различных категорий файлов, он проверяет все файлы заменены на SECclean по сравнению с оригиналами, и сохраняется резервная копия скопируйте в /var/tmp/SECclean.Backup_$$, если они были изменены. Затем он делает копию библиотеки cleanlib.sh, так как этот файл будет удаляется на этапе удаления, и это необходимо для постустановки.

Удаление

Все файлы, зарегистрированные как часть прототипа SECclean, удаляются. Скрипты Sed, связанные с объектом пакета класса sed, будут выполняется для отмены любых сделанных изменений.

Postremove

После прочтения файла PROC_Init_Var, созданного предустановкой для узнайте ценность различных категорий файлов, это будет отменить регистрацию из базы данных пакета всех файлов, зарегистрированных как часть SECclean в сценарии после установки, перечисленные в $ SA и $ NRC переменных и закройте базу данных.

Следующим шагом будет восстановление исходного содержимого файлов SECclean удалил или заменил, и повторно зарегистрировал их в базе данных пакетов с их оригинальными атрибутами.

Модификации для управления запуском скриптов запуска: отменено, и база данных пакетов закрывается для проверки этих изменений.

Наконец, будет удалена копия библиотеки cleanlib.sh.

Как мы это тестировали

Этот сложный процесс был проверен путем установки (и деинсталляции) YASSP на различных хостах для тестирования, а также участия в повседневной работы.

Окончательное состояние после установки проверяется с помощью таких инструментов, как titan [8], ISS … и, конечно же, мы попросили бета-тестеров использовать их опыт.

Команда SANS также очень полезна для получения совета или консенсуса по предлагаемые изменения или указание на существующую документацию и инструменты [2, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14].

Особое внимание было уделено тестированию удаления пакета функция. Тестирование может занять много времени, особенно если пакет не работает и повреждает базу данных пакетов.Использование Vmware virtual машина под управлением Solaris для тестирования — это большая экономия времени.

ЯССП также предлагает установить набор полезных и распространенных инструментов, построены как отдельные пакеты. Это включает:

  • GNUrcs: RCS 5.7 и diff 2.7 [GNU], чтобы упростить контроль версий вашего файлы.
  • GNUgzip: gzip 1.2.4a [GNU]: сжатие файлов.
  • PARCdaily: некоторые ежедневные сценарии, ротация журналов, резервное копирование и RCS для системные файлы … Нужны GNUgzip и GNUrcs. В основном это пример покажите людям, на что они способны.
  • WVtcpd: tcp_wrappers 7.6 + rpcbind 2.1 [Wietse Venema]: оболочка tcp, и версия Wietse rpcbind, скомпилированная с библиотекой оболочки tcp, для люди, которым нужно запускать RPC.
  • PRFtripw: Tripwire 1.2 [Purdue Research Foundation of Purdue Университет]: инструменты проверки добросовестности
  • SSHsdi: версия 1.2.30-SDI, сборка с поддержкой SecurID (см. ftp://ftp.parc.xerox.com:/pub/jean/sshsdi/README).
Все эти пакеты при установке будут иметь все необходимые шаги, чтобы быть готовыми к использованию.Для пакетов, зависящих от конфигурации файлы, некоторые предлагаемые файлы конфигурации предоставляются, и они будут быть установленным как файл конфигурации по умолчанию, если они не были уже присутствует.
Что может пойти не так во время установки

По нашему опыту, ничего не должно случиться, если это свежий Установите Solaris. Для установки, выполненной в существующей системе, вы могут возникнуть конфликты при установке пакета с файлами или каталоги.

Пример установки
# распаковать yassp.tar.Z
# tar xvf yassp.tar
# cd yassp
# ./install.sh
... проверить и изменить все
      файлы конфигурации ...
# перезагружать
 
Прокомментированный журнал установки можно найти в Приложении 2.
Что может быть сломано после?

По умолчанию SECclean и YASSP отключают (или переводят в безопасное состояние) большинство существующих услуг. Если вы планируете установить YASSP или SECclean на существующем сервере, вы должны знать, какие приложения работает на нем, и какие сетевые службы и системные ресурсы использовался.Ваша работа после установки YASSP будет заключаться в повторном включении эти услуги, и только эти услуги, чтобы иметь систему, в которой вы знать, почему запущен какой-либо процесс или служба. ЯССП поможет вам предоставление некоторых инструментов для отслеживания этих изменений и повторного включения некоторых функции безопасности после его установки, но YASSP не может понять ваши настройки, как вы можете сделать.

Также, если в вашей системе были нестандартные приложения или конфигураций, SECclean, возможно, пропустил некоторые настройки, специфичные для вашего заявление.

Что делать после?

Большая часть конфигурации YASSP обрабатывается одним текстовым файлом /etc/yassp.conf. Страница руководства, yassp.conf (4) https: //yassp/man/yassp.conf-4.html, описывает различные настройки это можно сделать через этот файл. Более общее описание того, что делать после установки, не сосредоточено на SECclean, поддерживается в: https: //yassp/after.html.

И не забудьте прислать нам отзыв о ЯССП; мы очень хотим получать комментарии, предложения или просто признание того, что люди используй это.

По состоянию на 10 октября 2000 г. выпущена бета-версия №12 YASSP. https://www.yassp.org. Он протестирован и поддерживает Solaris 2.6, 2.7 и 8, в архитектуре sparc. Бета №12 широко используется [Примечание 6] и является релиз-кандидат для версии 1.0 [17].

ЯССП построен на основе двух независимых компонентов:

  • Основной пакет, названный SECclean, реализует безопасность ОС. модификация, которая также включает исправление несогласованности оставленных после стандартной установки Solaris и изменяет некоторые файловые режимы, чтобы файловая иерархия более безопасна.
  • Набор дополнительных пакетов, предоставляемых как необязательная установка, поскольку они представляют некоторые часто используемые функции, не реализованные в Solaris.
Системные администраторы могут использовать эти инструменты, выбрав либо Сценарий YASSP install.sh, включенный в tar-файл YASSP, или для запуска каждого пакет или сценарий вручную.

Сценарий install.sh по умолчанию для YASSP очистит Solaris. установить, изменить режимы файлов для защиты различных файлов и каталогов, установить основной пакет и предложить установить набор дополнительных пакеты.

После установки основного пакета SECclean результат система достаточно закрытая и безопасная, где большинство сервисов было выключен, запущены минимальные процессы и с некоторой степенью безопасности настройка применяется на разных уровнях операционной системы, начиная с сетевой стек в файл конфигурации XDM.

Еще многое предстоит сделать, от сбора дополнительных отзывов до переноса на новые выпуски Solaris и улучшение веб-документации.

Из разговора в рассылке YASSP можно угадать два основных направления. список:

  • Разработайте новые инструменты, которые помогут контролировать систему после первоначального установка, чтобы убедиться, что никаких изменений не произошло, и иметь возможность повторно применить некоторые настройки безопасности по запросу.
  • Разработайте инструмент для управления некоторыми более ограничительными правами доступа к файлам, особенно для бинарных файлов SUID / SGID, как вариант.

Проект YASSP многому нас научил на внутреннем устройстве Solaris, как с точки зрения безопасности и механизма пакетов Solaris. Сложность добавлена ​​тем, как YASSP работает с файлами и пакетами. информация показала свою силу, поскольку она обеспечивает надежный механизм демонтажа и значительно упрощает обслуживание YASSP для любого нового версия Solaris.

YASSP используется различными организациями в различных контекстах из рабочие станции конечных пользователей на открытых серверах. Отзывы, которые мы получили, показывает нам, что это полезный инструмент, который люди ценят. ЯССП молод, и будет продолжать улучшаться, но мы должны быть осторожны, чтобы сохранить его сосредоточены на защите хоста Solaris и сохраняют его размер в разумных пределах, чтобы что мы можем поддерживать это

Наконец, мы хотели бы поблагодарить всех людей, которые участвовали в списке рассылки YASSP или отправьте нам отзыв.Пожалуйста, продолжайте.

[1] Bastille Linux, https://bastille-linux.sourceforge.net/.
[2] Boran, Seán, Установка хоста-бастиона межсетевого экрана: Закалка Solaris https://www.boran.com/security/sp/solaris_harpting3.html.
[3] Дик, Каспер, Великие инструменты Solaris (режимы исправления) и Солярис 2 FAQ , https://ftp.wins.uva.nl:/pub/solaris, https://www.science.uva.nl/pub/solaris/solaris2.html.
[4] Ким, Джин и Джин Спаффорд, Tripwire: Бесплатная версия V1.2, ftp://ftp.cerias.purdue.edu/pub/tools/unix/ids/tripwire.
[5] Noordergraaf, Alex и Keith Watson, Network Настройки безопасности, https://www.sun.com/software/solutions/blueprints/1299/network.pdf.
[6] Noordergraaf, Alex and Keith Watson, Минимизация для Безопасность: простая, воспроизводимая и безопасная установка приложения Методика , https://www.sun.com/software/solutions/blueprints/1299/minimization.pdf.
[7] Pomeranz, Hal, Building Bastion Hosts With Solaris: Step по шагу , https: // www.deer-run.com/solaris.html.
[8] Пауэлл, Брэд, Мэтт Арчибальд и Дэн Фармер, Титан Проект, https://www.fish.com/titan/.
[9] Руководство по безопасности Sabernet Solaris, https://www.sabernet.net/papers/Solaris.html.
[10] Часто задаваемые вопросы по безопасности Solaris , https://www.sunworld.com/common/security-faq.html.
[11] Spitzner, Lance, Официальные документы , https://www.enteract.com/~lspitz/papers.html.
[12] Sun, Руководство системного администратора Solaris 8, Том умэ 1 , https: // документы.sun.com/ab2/coll.47.11/SYSADV1/@Ab2TocView?Ab2Lang=C&Ab2Enc=iso-8859-1.
[13] Sun, Руководство разработчика пакетов приложений , https://docs.sun.com/ab2/coll.45.13/PACKINSTALL/@Ab2TocView?Ab2Lang=C&Ab2Enc=iso-8859-1.
[14] Университет Ватерлоо, Безопасность: инструкции по работе с документами, https://ist.uwaterloo.ca/security/howto/.
[15] Venema, Wietse, Инструменты и бумага , ftp://ftp.porcupine.org/pub/security/index.html.
[16] Vöckler, Jens-S., Solaris 2.x — Настройка TCP / IP Стек и многое другое , https://www.rvs.uni-hannover.de/people/voeckler/tune/EN/tune.html.
[17] Архив списков рассылки YASSP, https://www.theorygroup.com/Archive/YASSP/.

Еще в 1997 году перед нами стояла задача развернуть межсетевой экран и внешние серверы в разных местах по всему миру. Даже если конфигурация была стандартной и хорошо известной, мы быстро поняли, что поскольку местные навыки работы с Unix были неизвестны, нам нужно было помочь системам администраторов и предоставить способ установки этих серверов, чтобы мы может быть довольно комфортно, что результат этой установки был то, что мы ожидали увидеть.

Мы начали писать некоторые инструкции по установке и затем защитите эти серверы. Это было идеально для опытных систем администраторов, но мы быстро поняли, что что-то написанное не означает, что люди будут его читать, и что это руководство было написано для людей, понимающих контекст установки (опытных сеть, Unix, Solaris), что не всегда имело место на этих удаленных места.

Мы перевели эти инструкции в сценарий оболочки, очень примитивный, который должен был делать всю работу автоматически.Требовалось хорошее Навыки Unix у системного администратора, запустившего его, были очень болезненными. с существующим состоянием сервера, который должен был быть свежим установленная ОС и была разрушительной в том смысле, что файлы были заменен без бекапа. Невозможно было исправить ущерб, нанесенный это, также не было способа использовать его для выполнения другой задачи, кроме установка внешнего сервера, как определено нашей организацией.

Xerox PARC

В 1999 году автор обратился в исследовательский центр Xerox в Пало-Альто и смог уделить этому проекту больше времени.Идея заключалась в том, чтобы улучшить существующий базовый уровень и разрешить его использование конечным пользователем рабочие станции.

Сценарий оболочки был перенесен в формат пакета Sun, что позволило быть деинсталлированным и интегрированным в нашу (PARC) установку по умолчанию процесс.

Этот пакет вырос, включая множество предложений от его пользователей (в основном люди Xerox) и новые функции или настройки, собранные из различных источники.

В это время он предоставил возможность укрепить свежий Solaris установка будет использоваться в основном на открытом сервере (большая часть сервисы будут отключены), при необходимости не удалось установить.А общедоступная версия была доступна на нашем внешнем ftp-сайте и использовалась разные люди. Базовая документация существовала на том же сервере ftp.

SANS

В рамках института SANS мы создали команду для работы над инструментами для обеспечение безопасности Solaris. Эта команда (10 человек в начале, около 160 сейчас) был открыт для всех, кто решил потратить время на тестирование или обзор существующих инструментов и предоставление отзывов.

Это привело к серьезным изменениям в существующих инструментах.

Во-первых, область применения была расширена: она по-прежнему должна фокусироваться на экспонированных серверов, но также должны подходить для рабочих станций конечных пользователей.

Кроме того, он был изменен, чтобы разрешить ожидаемое состояние операционная система и возможность установки на существующую установку вместо того, чтобы требовать новой установки Solaris.

К нему были добавлены некоторые рекомендуемые инструменты безопасности, реализующие дополнительные функции, недоступные в Solaris.

Наконец, в дополнение ко всем исправлениям ошибок и улучшениям предложенный этой командой, инструмент был изменен, чтобы быть более подробным, иметь лучшую документацию и облегчить системному администратору способ настроить желаемый уровень безопасности.

Конечно, были подняты некоторые проблемы и некоторые хорошие словесные споры случались, но без этого жизнь была бы слишком тихой.

Почему он все еще существует?

На момент запуска было не так много инструментов, доступных для безопасный Solaris, но теперь существуют различные другие инструменты (Titan, Bastille-Solaris), и люди могут задаться вопросом, зачем мы тратим нашу энергию на создание и поддерживать отдельный инструмент, а не объединять наши усилия с существующие инструменты.

Первой причиной сохранения YASSP было то, что он существовал, был работал, использовался людьми и был им полезен, если мы верим, что отзывы, которые мы получили в то время.

Также YASSP правильно работает с пакетами Solaris и сохранит база данных чистая. Эта часть была уникальной для YASSP, как и уникальный файл конфигурации, который он предлагает.

Наконец, мы обнаружили, что для некоторых системных администраторов это было меньше сбивает с толку минимальное взаимодействие со сценарием, особенно с менее опытными системными администраторами Unix. Эти системы администраторы, практически не имеющие опыта работы с Unix / Solaris, могут требуется для установки сервера Solaris во враждебной среде.ЯССП сделает это по умолчанию.

Безопасность — это область, в которой выбор инструментов является плюсом. Более варианты выбора обеспечивают гибкость и более подходящие решения.

Перезагрузка командой: boot
Загрузочное устройство: диск Файл и аргументы:
SunOS Release 5.8 Версия Generic 64-бит
Авторские права 1983-2000 Sun Microsystems, Inc. Все права защищены.
настройка интерфейсов IPv4: hme0.
Имя хоста: zeta
Тонкая настройка Solaris TCP / IP: Solaris 7 или выше (отлично)
   настройка отдельных очередей подключений
   настройка против симптомов SYN-флуда
   настройка таймаутов
   настройка интервала обнаружения pMTU и общих таймеров
   настройка разное.параметры
   применение настроек безопасности ...
   настройка окон, буферов и водяных знаков
Выполнено.
Система приближается. Пожалуйста, подождите.
проверка файловых систем ufs
/ dev / rdsk / c0t0d0s5: чистый.
Установка сетевой маски hme0 на 255.255.255.0
запуск службы системного журнала.
sshd запускается.
Система готова.
ВНИМАНИЕ: Для защиты системы от несанкционированного использования и обеспечения того, чтобы
система работает правильно, действия в этой системе
контролируются, регистрируются и подлежат аудиту. Использование этой системы
выразили согласие на такой мониторинг и запись.Любые несанкционированные
доступ или использование этой Автоматизированной информационной системы запрещено и
могут быть привлечены к уголовной и гражданской ответственности.
логин консоли zeta: root
Пароль:
Последний вход: среда, 19 июля, 19:07:06 на консоли
Эта компьютерная система предназначена только для авторизованного использования.
# ps -eaf
     UID PID PPID C STIME TTY TIME CMD
    корень 0 0 0 22:49:18? 0:15 по расписанию
    корень 1 0 0 22:49:19? 0:00 / etc / init -
    корень 2 0 0 22:49:19? 0:00 разгрузка
    корень 3 0 0 22:49:19? 0:00 fsflush
    root 212 1 0 22:49:45 консоль 0:00 -sh
    корень 173 1 0 22:49:43? 0:00 / usr / sbin / syslogd
    корень 185 1 0 22:49:44? 0:04 / opt / local / sbin / sshd
    корень 227212 0 22:53:42 консоль 0:00 ps -eaf
    корень 168 1 0 22:49:42? 0:00 / usr / sbin / cron
# netstat -an
UDP: IPv4
   Локальный адрес Состояние удаленного адреса
-------------------- -------------------- -------
      *.514 Холостой ход
      *. * Несвязанный
TCP: IPv4
   Локальный адрес Удаленный адрес Swind Send-Q Rwind Recv-Q State
-------------------- -------------------- ----- ----- - ----- ------ -------
      *. * *. * 0 0 24576 0 ПРОСТОЙ
      * .22 *. * 0 0 32768 0 СЛУШАТЬ
      *. * *. * 0 0 32768 0 ПРОСТОЙ
TCP: IPv6
 Локальный адрес Удаленный адрес Swind Send-Q Rwind Recv-Q State If
---------------- ----------------- ----- ------ ----- - ----- ----------- -----
    *.* *. * 0 0 24576 0 ПРОСТОЙ
# pkgchk -n
 

Команды, вводимые системными администраторами, имеют фиксированную ширину . смелый; комментарии набираются курсивом римским шрифтом .

логин консоли zeta:  root
# ./install.sh
          Запуск сценария установки YASSP. 
<...>
Введите список пакетов, который вы хотите установить, или нажмите Return, чтобы принять
По умолчанию:
 SECclean GNUrcs GNUgzip PARCdaily WVtcpd PRFtripw
  <возврат>
          Мы решили установить все предложенные пакеты.
Вы хотите установить SSH (см. Файл SSH-COPYING для SSH
лицензия) ?: [y | n] (n)  г
          Нам нужен SSH. 
YASSP установит: SECclean GNUrcs GNUgzip PARCdaily WVtcpd PRFtripw SSHsdi
Установка различных пакетов:
==========
SECclean
==========
          Начало установки SECclean.
        Предварительная установка запускается, инициализирует некоторые переменные и файлы резервных копий.
        он изменится. 
Использование / opt / local в качестве корневого каталога.
Резервное копирование всех файлов в /yassp.bk/Before_2000.19.07-22.35.53:
<... Длинный список файлов ...>
         Предварительная установка завершена.
       Запускается установка: файлы, заявленные в прототипе, устанавливаются
       молча. Файлы, являющиеся частью класса sed в прототипе, являются
       изменить с помощью связанного сценария sed. 
Изменение <...>
...
         Запуск после установки. Сначала он читает переменные, хранящиеся в
       предустановка. 
Сценарий постинсталляции работает в автоматическом режиме. Это может занять некоторое время
на медленной машине. Просто будьте терпеливы
          Отключение файлов инициализации, которые мы заменим позже.
Отключение файлов автозагрузки: inetsvc inetinit network
          Изменение файлов запуска для управления yassp.conf. 
Изменение файлов запуска для использования /etc/yassp.conf: <... список всех запусков
файлы изменены ...>
          Создание /etc/yassp.conf, поскольку теперь мы знаем, какой файл запуска был изменен. 
Создание вашего /etc/yassp.conf по умолчанию
          Сохранение (в директории сохранения пакета) и удаление файлов.
        Некоторые из них позже будут заменены собственной версией SECclean.
Сохранение файлов: <... список файлов, резервные копии которых сделаны ...>
       Мы отменили регистрацию (удалили) все файлы, которые мы удалили из
     база данных пакетов.
        Теперь мы должны закрыть (removef -f) эти открытые пакеты. 
Закрывая пакет, который мы коснулись <... список имен пакетов ...>
       Это файлы, которые будут заменены SECclean
     версия. Они были установлены (как часть SECclean's
     файл-прототип) как / path / name / SECclean_ {name_of_the_file}, и
     зарегистрированы под этим именем как часть пакета SECclean.Мы
     сначала необходимо отменить регистрацию (удалить на SECclean) их. 
Обновление базы данных пакета SECclean: <... список файлов ...>
          и закройте SECclean (removef -f SECclean) 
Закрытие SECclean DB
         Переместите файлы из их SECclean_ {name} в {name} и
       зарегистрируйте их как часть SECclean (installf) 
Замена: <... список файлов ...>
          Файлы запуска для ОС: выберите правильную версию. 
Выбор правильных файлов запуска: /etc/init.d/inetsvc
/ etc / init.d / inetinit /etc/init.d/network для вашей ОС: Solaris 5.8
       Замена их, регистрация (installf) в составе SECclean
     пакет и создание символьной ссылки. 
Замена специальных файлов запуска: /etc/init.d/inetsvc
/etc/init.d/inetinit /etc/init.d/network и создание символической ссылки
          Закрытие (installf -f SECclean) SECclean. 
Повторное закрытие SECclean DB
          Специальная настройка ОС: для Solaris 8, без priority_paging 
Настройка / etc / system, чтобы закомментировать priority_paging
          Выполняется clean_passwd 
Очистка файла passwd...
 Отключение учетных записей UID 0:
Отключение системной учетной записи (ов):
        daemon bin sys adm lp uucp nuucp никого не слушай noaccess nobody4
 Удаление учетной записи (ов):
идентификатор root будет изменен на "Root at zeta"
файлы паролей и теней, сохраненные в /etc/passwd.Old и /etc/shadow.Old
          Выполняется очистка ОС: сначала запускаются fix-mode ... 
Выполнение очистки ОС
Запуск fix-mode 2.6 2000.01.13 14:13:35 casper
режимы исправления выполнены, файл журнала в: /var/sadm/clean-up/clean_up.log
          Затем исправляем известную несогласованность в установке Sun 
очистить базу данных содержимого
очистка завершена, файл журнала в папке: / var / sadm / clean-up / clean_up.бревно
Запуск / usr / lib / makewhatis / opt / local / man
          Мы закончили с SECclean, повторите сводку. 
   ================================================== ====
   Установка SECclean завершена.
   Изменения в файловой системе и базе данных пакетов задокументированы в:
      /var/sadm/clean-up/clean_up.log
   Все измененные или замененные файлы архивируются в
      /yassp.bk
   Если существует, crontab для пользователей:
      lp adm uucp root
   был удален. Пожалуйста, повторно включите вручную необходимые записи
   Резервные копии файлов crontab находятся в:
      / yassp.bk / var / spool / cron / crontabs /
   Для завершения закалки этот хост необходимо перезагрузить.
   Однако сначала вы должны убедиться, что /etc/yassp.conf настроен
   к вашим требованиям. См. Также yassp (1) и yassp.conf (4).
   ================================================== ====
Установка  прошла успешно.
==========
GNUrcs
==========
Установка  прошла успешно.
==========
GNUgzip
==========
Установка  прошла успешно.
==========
PARCdaily
==========
Изменение / usr / lib / newsyslog
Установка  прошла успешно.==========
WVtcpd
==========
          tcp_wrappers добавить пример того, как его использовать, в комментарии в /etc/inetd.conf 
Изменение /etc/inet/inetd.conf
          и установите какой-нибудь файл конфигурации по умолчанию, если его нет. 
Создание /etc/hosts.deny из файла раздачи
 *** Пожалуйста, настройте его!
Создание /etc/hosts.allow из файла раздачи
 *** Пожалуйста, настройте его!
Установка  прошла успешно.
==========
PRFtripw
==========
          Файл конфигурации по умолчанию создается, если его не было.
Создание /secure/tripwire/tw.config из дистрибутива:
/secure/tripwire/tw.config.Dist
 *** Пожалуйста, настройте его!
теперь вы можете использовать tripwire.
Введите: "cd / secure / tripwire /; ./tripwire -i 2 -initialise -c tw.config"
    для создания новой базы данных,
Используйте "cd / secure / tripwire /; ./tripwire -q -i 2 -c tw.config"
    проверить,
 ***** СОХРАНИТЕ БАЗУ ДАННЫХ В НАДЕЖНОМ МЕСТЕ *****
Установка  прошла успешно.
==========
SSHsdi
==========
Изменение /etc/syslog.conf
         Файлы конфигурации по умолчанию  создаются, если их нет.
Создание / etc / ssh_config из файла раздачи
 *** Пожалуйста, настройте его!
Создание / etc / sshd_config из файла раздачи
 *** Пожалуйста, настройте его!
          Генерируем ключи, если их не было. 
Инициализация генератора случайных чисел ...
<...>
Ваш открытый ключ был сохранен в /etc/ssh_host_key.pub
ssh установлен.
запустите '/etc/init.d/sshd stop; /etc/init.d/sshd start' и перезапустите syslogd
использовать новые двоичные файлы / конфигурацию
Установка  прошла успешно. Установка YASSP завершена, теперь заново создайте базу данных whatis, если она была. 
Восстановление базы данных whatis
ЯССП установлен.
Большинство этих изменений вступят в силу при следующей перезагрузке.
**** ВАША РАБОТА ЕЩЕ НЕ ВЫПОЛНЕНА ****
     *) Отредактируйте и настройте /etc/yassp.conf
     *) Отредактируйте и настройте /etc/hosts.deny /etc/hosts.allow
     *) Отредактируйте и настройте / etc / sshd_config / etc / ssh_config
     *) Прочтите https://yassp.parc.xerox.com/after.html
        и документы по ссылке https: // yassp.parc.xerox.com/ref.html
     *) внесение дополнительных изменений / установка ПО
     *) СОЗДАЙТЕ БАЗУ ДАННЫХ tripwire И СОХРАНИТЕ ЕЕ !!!
 Тип:
vi /etc/yassp.conf /etc/hosts.deny /etc/hosts.allow / etc / sshd_config
  / etc / ssh_config; cd / secure / tripwire; ./tripwire -i 2 -initialise -c
  tw.config; cp /secure/tripwire/databases/tw.db_zeta TO_A_SECURE_PLACE
   *** ВАШ отзыв *** важен: пожалуйста, отправляйте комментарии или пламя по адресу:
            [email protected], [email protected]
            с "ЯССП" в теме
#  перезагрузка
     

Сноски:
Примечание 1: Эта деталь не предназначена быть учебным пособием по пакету, а скорее кратким введением в предоставить читателю достаточно знаний о них, чтобы понять Внутреннее устройство ЯССП [13].
Примечание 2: Почему оболочка Борна? Эти функции будут использоваться в сценариях установки пакета, которые должен быть написан в оболочке Bourne, и мы должны иметь возможность использовать эта библиотека на основной установке.
Примечание 3: Примером является RCS пакет, скомпилированный с помощью GNUdiff: двоичный файл RCS имеет путь GNUdiff жестко запрограммирован. По умолчанию мы использовали путь / opt / local.
Примечание 4: / opt / local может быть символическая ссылка на любой существующий каталог.
Примечание 5: Эти сценарии запуска рассматривается как особый случай: мы хотим, чтобы они выполняли строгие минимум вместо обработки всех случаев, запланированных Sun (DHCP Например). Предлагаемые новые сценарии всегда основаны на оригинальные. Установка переменных в yassp.conf может восстановить оригинальное поведение Sun этих скриптов.
Примечание 6: Широко расплывчато, но это трудно быть более точным. С момента анонса сайта YASSP, в журналах указано количество загрузок, но, к сожалению, у нас есть получил очень мало отзывов.

Как работает защита агента для зон Solaris?

Deep Security Agent можно развернуть либо в глобальной зоне Solaris, либо в зоне ядра. Если в вашей среде Solaris используются какие-либо неглобальные зоны, защита, которую агент может обеспечить для глобальной зоны и неглобальных зон, будет отличаться для каждого модуля защиты:

См. Установка агента Solaris. Подробнее об установке Deep Security Agent в Solaris.

Для получения информации о защите доменов Solaris см. Как работает защита агента для управляющих и логических доменов Solaris ?.

Предотвращение вторжений (IPS), брандмауэр и веб-репутация

Если в вашей среде Solaris используются неглобальные зоны, модули предотвращения вторжений, брандмауэра и Web Reputation могут обеспечивать защиту только определенных потоков трафика между глобальной зоной, неглобальными зонами и любыми внешними IP-адресами.Какие потоки трафика может защитить агент, зависит от того, используют ли неглобальные зоны сетевой интерфейс с общим IP или сетевой интерфейс с эксклюзивным IP.

Зоны ядра

используют сетевой интерфейс с эксклюзивным IP, а защита потоков трафика агентом ограничена этой сетевой конфигурацией.

Неглобальные зоны используют сетевой интерфейс с общим IP

Защита агентом потоков трафика в конфигурации с общим IP выглядит следующим образом:

Транспортный поток Защищено агентом
внешний адрес <-> неглобальная зона Есть
внешний адрес <-> глобальная зона Есть
глобальная зона <-> неглобальная зона
неглобальная зона <-> неглобальная зона

Неглобальные зоны используют сетевой интерфейс с эксклюзивным IP

Защита агентом потоков трафика в конфигурации с эксклюзивным IP выглядит следующим образом:

Транспортный поток Защищено агентом
внешний адрес <-> неглобальная зона
внешний адрес <-> глобальная зона Есть
глобальная зона <-> неглобальная зона Есть
неглобальная зона <-> неглобальная зона

Защита от вредоносного ПО, мониторинг целостности и проверка журналов

Модули Anti-Malware, Integrity Monitoring и Log Inspection обеспечивают защиту глобальной зоны и любых зон ядра, в которых установлен агент.Для неглобальных зон все файлы или каталоги, которые также видны в глобальной зоне, защищены. Файлы, относящиеся к неглобальной зоне, не защищены.

Solaris Security — для системных администраторов — Peter H Gregory

Наконец, книга по безопасности только для Solaris и UNIX

Системные администраторы: узнайте особенности создания вашего безопасность системы, будь то сеть в масштабе всей организации или автономная рабочая станция.Автор-эксперт Питер Грегори управляемая безопасность для всего, от сверхсекретных корпоративных исследовательские центры в казино. Воспользуйтесь его опыт для создания безопасной и надежной системы вашего собственный.

Solaris Security рассматривает физические, логические и человеческие факторы, влияющие на безопасность, в том числе:

  • PROMS, физическая безопасность, пути загрузки, разрешения, инструменты аудита, системные журналы, пароли и многое другое
  • Безопасные сетевые интерфейсы и сервисы для удаленных и Доступ в Интернет, обнаружение вторжений, контроль доступа, электронная почта и печать.
  • Повышенная безопасность для NIS, NIS +, DNS и NFS
  • Краткое руководство по поддержке безопасных систем в Среда Solaris
  • Автономные и сетевые системы под управлением Solaris
  • Специальный раздел по подготовке к бедствиям и восстановлению операции
В специальном разделе показано, как спланировать неизбежное стихийных бедствий, поэтому вы можете быстро восстановить свои данные и точно без обеспечения безопасности. Ссылки на книги, журналы и интернет-ресурсы помогут вам не отставать от с последними инновациями.

Каждая глава открывается контрольным списком ключевых тем и их значение, поэтому вы можете быстро найти информацию тебе нужно. Независимо от того, являетесь ли вы менеджером по безопасности, информация технический / системный менеджер или сетевая безопасность администратор, Solaris Security — единственный ресурс, чтобы ответить на все ваши вопросы и получить ваши системы в форме сейчас и на будущее.

Содержание

Список рисунков
Список таблиц
Предисловие
Предисловие
Часть первая: Введение
Глава 1: Проблема безопасности
Причины слабых мест в системе безопасности
Рост сетевых подключений
Уязвимости в программном обеспечении
Сотрудники и подрядчики
Мотивированные и находчивые хакеры
Политика сайта
Глава 2: Парадигма безопасности
Принцип 1: Хакер, взламывающий вашу систему Вероятно, это будет кто-то, кого вы знаете
Принцип 2: никому не доверяй или будь осторожен с кем ты Требуется доверие
Принцип 2а: Не доверяйте себе и не проверяйте Все, что вы делаете
Принцип 3: Заставить потенциальных злоумышленников поверить в то, что они будут Быть пойманным
Принцип 4: Многослойная защита
Принцип 5: Планируя свою стратегию безопасности, Предположить полный отказ какой-либо отдельной ценной бумаги Слой
Принцип 6: Сделайте безопасность частью начального Типовой проект дома
Принцип 7: Отключите ненужные службы, пакеты и Возможности
Принцип 8: Перед подключением, поймите и Безопасность
Принцип 9: Готовьтесь к худшему
Девять принципов: образ жизни
Часть вторая: автономный Система
Глава 3: PROM, OpenBoot и физическая безопасность
Что такое PROM?
Что такое OpenBoot?
Почему пользователи не должны использовать OpenBoot
Защита OpenBoot путем установки параметров безопасности
Процедуры изменения уровней безопасности OpenBoot
Все пароли утеряны — процедура частичного восстановления
Рекомендации по загрузочному устройству
Изменить баннер OpenBoot
Восстановить утерянный пароль root
Соображения физической безопасности
Защита от краж и доступа
Аудиторские ППЗУ
Пароли OpenBoot
Приводы компакт-дисков
Резервный носитель
Носитель с выпуском ОС
Куда обратиться за дополнительной информацией
Глава 4: Файловая система
Что такое файловая система?
Некоторым приложениям требуются открытые разрешения
Общие сведения о разрешениях для файлов и каталогов
Кто: пользователь, группа и другие
Сводка разрешений: чтение, запись, выполнение, SetUID, SetGID, липкий бит
Собираем все вместе: кто и что
Как просматривать разрешения для файлов и каталогов
Разрешения: числовая форма
Установка разрешений для файлов и каталогов — числовые
Установка разрешений для файлов и каталогов — символический
umask и как это работает
Права доступа к файлам по умолчанию и маска
umask корневого пользователя
Разрешения каталога по умолчанию и маска
Как найти файлы с определенным разрешением Настройки
Разрешения на доступ к системным устройствам
Инструменты аудита файловой системы
ASET
КОПЫ
Тигр
Tripwire
lsof (список открытых файлов)
Другие средства и методы обеспечения безопасности
Проверка / и т.д. Разрешения
Обеспечьте правильные разрешения utmp и utmpx
Используйте инструмент Fix-Mode для повышения безопасности
Используйте команду термоэлемента
Используйте команду ls для отображения скрытых файлов и скрытых файлов. Символы в именах файлов
Псевдоним команды rm
Произвести случайное изменение номеров Inode файловой системы с помощью fsirand
Квоты для файловой системы
Списки контроля доступа к файловой системе
Куда обратиться за дополнительной информацией
Глава 5: Учетные записи пользователей и среды
Введение
Безопасность учетной записи пользователя
Корневой аккаунт
Другие административные учетные записи и группы
Учетные записи пользователей
Когда пользователям нужны привилегии root
ПУТЬ и LD_LIBRARY_PATH
Файлы пароля, теней и групп
Файл паролей
Файл теней
Защита паролем
Группы UNIX
Файл / etc / default / passwd
Корневой доступ
Прямой вход в систему с root-доступом
Команда su
Безопасность оболочки и приложений
Принудительный запуск приложения
Включить имя системы в приглашение корневой оболочки
Ограниченная оболочка
Среда входа по умолчанию
Запись непосредственно в консоль
Переполнение буфера программы
Дополнительная информация о процессе
Безопасность X-Windows
Блокировка экрана X-Windows, Руководство
Блокировка экрана X-Windows, Авто
Разрешения на отображение в X-Windows
Инструменты аудита
КОПЫ
Трещина
Куда обратиться за дополнительной информацией
Глава 6: Запуск и завершение работы системы
Уровни работы системы
Определение текущего рабочего уровня
Запуск системы
ПРОМ
инициализация
Многопользовательский режим
Радиоуправляемый механизм
Отключение системы
инициализация
uadmin
Дополнительная информация о RC-файлах
Изучен пример RC-файла
Аудит механизмов запуска и выключения
КОПЫ
Tripwire
Изменение механизмов запуска и выключения
Добавление сценариев запуска и завершения работы
Изменение сценариев запуска и завершения работы
Отключение сценариев запуска и завершения работы
Подробнее о связанных файлах автозагрузки
Куда обратиться за дополнительной информацией
Глава 7: cron и at
хрон
Что такое cron?
Как работает cron
Как настраивается cron
Конфигурация пользователя cron
Доступ пользователей к системе cron
в
Что есть?
Как работает
Доступ пользователей к системе
Распространенные ошибки, которых следует избегать
Неспособность надлежащим образом скрыть программы, запущенные cron
Оставление файлов crontab для всеобщего обозрения
Небезопасные элементы PATH в сценариях, запущенных cron
Неопределенные элементы PATH в скриптах, запущенных cron
Использование stdin и stdout в cron и в заданиях
Инструменты аудита
Tripwire
КОПЫ
Куда обратиться за дополнительной информацией
Глава 8: Системные журналы
Что такое системный журнал
системный журнал
Объекты системного журнала и уровни серьезности
Обозначение классификации сообщений системного журнала
Конфигурация системного журнала
Отладка системного журнала
логин
сулонг
Последняя запись
Журнал диспетчера томов
Журнал установки
Журнал sysidtool
Инструменты для ведения журнала
Logcheck
Куда обратиться за дополнительной информацией
Часть третья: Система, подключенная к сети
Глава 9: Сетевые интерфейсы и службы
Сети
Сетевые интерфейсы
Характеристики сетевого интерфейса
Конфигурация сетевого интерфейса
ifconfig
ndd
Отключить переадресацию IP с помощью / etc / notrouter
netstat
/ и т.д. / inet / хосты
/ и т. Д. / Inet / netmasks
/ etc / defaultrouter
/ etc / nodename
/ etc / hostname.интерфейс
Как настраиваются адаптеры
Беспорядочный брак
Сетевые службы
Ненужные услуги
Номера сетевых служб
Конфигурация сетевых служб
Как запускаются сетевые службы
Сетевые службы демона не запускаются с inetd
Маршрут
Добавление статических маршрутов
Добавление динамических маршрутов
Использование Snoop
Куда обратиться за дополнительной информацией
Глава 10: Сетевая / системная архитектура
Что такое архитектура?
Simple vs.Комплексная архитектура
Принципы архитектуры
Принцип 1: Минимизируйте количество точек отказа (или Сократите критический путь)
Принцип 2: Держите услуги ближе к тем, кто есть Обслужено
Принцип 3: Вертикальное выравнивание служб с их Приложения
Принцип 4: Подготовьтесь к расширению сети Разметка
Глава 11: Электронная почта
Обзор электронной почты
Транспортный агент
Агент доставки
Пользовательский агент
Типы слабых мест в защите электронной почты
Протокол аутентификации (или Identd)
Посредник сообщений
Маршрутизация от источника сообщений
Конфиденциальность
Подлинность
Устранение слабых мест в защите электронной почты
Запускать Sendmail только на почтовых серверах
Отключить внутренние почтовые серверы от Интернета
Запретить маршрутизацию источника сообщений
Внедрение шифрования почты и цифровых подписей
Заменить Sendmail
Удаление ненужных псевдонимов электронной почты
Орудие Smrsh
Агрегат ForwardPath
Куда обратиться за дополнительной информацией
Глава 12: Печать
Архитектура печати
Каталоги подсистемы печати
Аудит каталогов подсистемы печати
Локальная печать
Локальные устройства печати
Как определить, какое устройство является конкретным принтером Использует
Разрешения для устройства печати
Аудит разрешений устройства печати
Ограничение доступа к принтерам и серверам печати
Прямой доступ к сетевым принтерам
Куда обратиться за дополнительной информацией
Глава 13: Контроль доступа к сети
Принципы управления доступом к сети
Ненужные точки доступа к сети — безопасность Риски
Неохраняемые точки доступа к сети представляют угрозу безопасности
Необходимые и ненужные услуги
Как отключить ненужные службы
Усиление контроля доступа к сети
Трассировка подключений inetd
Оболочки TCP
Общественное достояние rpcbind
.Файл rhosts — шлюз к r-командам
/etc/hosts.equiv Файл
Аудит файлов .rhosts и hosts.equiv
Безопасная замена для telnet, rsh и rlogin
ftp
тфтп
X-Windows небезопасна
Межсетевые экраны
Доступность системы тестирования
Сатана
МКС
Обнаружение вторжений
Syn
Клаксон
Кортни
Токсин
Габриэль
Обнаружение вторжений: постоянная информация
Аутентификация
Аутентификация системы
DES (Diffie-Hellman) Аутентификация
Проверка подлинности Kerberos
Виртуальные частные сети
ПРОПУСТИТЬ
IPsec
Куда обратиться за дополнительной информацией
Глава 14: Службы имен
Служба доменных имен (DNS)
/ etc / nsswitch.conf
/etc/resolv.conf
Недостатки безопасности DNS и решения
Слишком много информации в Интернете
Незаконная передача зоны с DNS-серверов
Различия между nslookup и фактическим DNS Запросы
общедоступный DNS (BIND)
Инструмент общественного достояния DIG
Отключить кеширование nscd
Знайте свою версию BIND
шек.
Получение и установка NISKIT
Недостатки безопасности NIS и их решения
Переместить карты NIS из каталога / etc
Защитить каталог карт NIS
Используйте трудно угадываемое доменное имя NIS
Реализация / var / yp / securenets
Hide Shadow Fields
Избегайте незаконных серверов NIS
Не допускайте доступа к корневым и другим административным учетным записям
шек.
Отключить кеширование nscd
Другие слабые стороны шекелей
шек. +
шекелей + права доступа по умолчанию
Права доступа для принципала никто
шекелей + уровень безопасности
Администрация шекелей +
Резервное копирование столов NIS +
Сброс шекелей + транзакции
Хранить корневые и другие административные учетные записи Шекелей +
Отключить кеширование nscd
Переключатель службы имен
NSCD
Куда обратиться за дополнительной информацией
Глава 15: NFS и Automounter
NFS
Операции NFS
Повышение безопасности с помощью общего ресурса NFS
Повышение безопасности с помощью монтирования NFS
Повышение безопасности путем настройки NFS Portman
Аутентификация NFS
Серверы как клиенты NFS
Списки NFS и контроля доступа
NFS в сети
Отключение NFS
Автомат счетчика
Карты косвенного счетчика
Карты прямого автомонтирования
Просмотр автомонтера
Автомонитор и коммутатор службы имен
Отключение автомонтера
Куда обратиться за дополнительной информацией
Часть четвертая: Катастрофа и Восстановление
Глава 16: Подготовка к восстановлению системы
Что может и пойдет не так
Стихийное бедствие
Техногенная катастрофа
Внутренний сбой энергосистемы
Аппаратный сбой
Ошибка администратора UNIX
Ошибка документации
Ошибка программиста
Ошибка пользователя
Диверсия
Подготовка к восстановлению
Создание группы реагирования на инциденты
Проектирование файловой системы
Геометрия файловой системы
Резервное копирование на ленту
Тестирование восстановления системы
Релиз СМИ
Журналы системных событий
Solaris и исправления для инструментов
Приводы компакт-дисков
Соглашения об обслуживании оборудования и программного обеспечения
Храните запасные части оборудования
Копии критических серверных PROM
Свободное дисковое пространство
Документация по восстановлению
Контакты и перекрестное обучение
Партнер с внутренними поставщиками
Партнер с внешними поставщиками
Куда обратиться за дополнительной информацией
Часть пятая: Приложения
Приложение A: Интернет-источники информации о безопасности
Веб-сайты безопасности
Веб-сайты хакеров
Списки рассылки по безопасности
Патчи
Приложение B: Интернет-источники для общественной безопасности Инструменты
Средства безопасности TCP / IP
ISS (сканирование интернет-безопасности)
Сатана (Инструмент администратора безопасности для анализа Сети)
копий в минуту (проверьте неразборчивый режим)
tcpdump (мониторинг сети и сбор данных)
Средства безопасности контроля доступа
Оболочки TCP
rpcbind
Ssh (защищенная оболочка)
Kerberos
русификатор (взломщик паролей)
fwtk (набор средств межсетевого экрана)
S / ключ
Средства обнаружения вторжений
Клаксон
Кортни
Токсин
Габриэль
син.
Средства безопасности файловой системы
Тигр
Tripwire
КОПЫ
Средства шифрования
PGP
MD5
Средства защиты электронной почты
SMAP (оболочка sendmail)
sendmail V8 (общественное достояние sendmail)
Postfix (ранее Vmailer)
смрш
Инструменты DNS
Общественное достояние BIND
Копание
Другие инструменты DNS
Другие инструменты и источники
logcheck
lsof (список открытых файлов)
Patchdiag
фиксированные режимы
перл
Вашингтонский университет ftpd
Сайт средств безопасности
Инструменты CERT
Инструменты CIAC
COAST Tools
Инструменты Дуга
СПИСОК (Лаборатория информационной безопасности Технологии)
Средства безопасности
Сайт бесплатного программного обеспечения Sun
Коллекция средств безопасности UNIX Wietse Venema
Сайты хакерских инструментов
Приложение C: Получение и применение исправлений Solaris
Источники информации об обновлении
Общие сведения об исправлениях Solaris
Общие сведения о кластерах исправлений Solaris
Источники патчей
Стратегии установки исправлений
Перед установкой исправлений
Какие патчи устанавливать
Тестовые патчи
Для исправлений, требующих перезагрузки системы
Программа patchdiag
Процедура установки патча, Solaris 2.х — 2.5.1
Процедуры установки исправлений для Solaris 2.6 и Solaris 7
Обновления ОС Solaris
Куда обратиться за дополнительной информацией
Приложение D: Рекомендуемая литература
Книги
Публикации и статьи в Интернете
Публикации SunSolve
Периодические издания в Интернете
Интернет-RFC
Приложение E: Продукты безопасности Solaris
Солнцезащитный экран EFS
Солнцезащитный крем SPF
Солнцезащитный экран SKIP
Sun Security Manager
SunScreen SecureNet
Надежный Solaris
Куда обратиться за дополнительной информацией
Приложение F: Реализация безопасности C2
Что такое C2 Security?
Значение C2 Security
Включение безопасности C2
Отключение безопасности C2
Управление безопасностью C2
Конфигурация C2 Audit Capture
Управление журналами C2
Управление производительностью
Аудиторские события
Анализ журнала аудита
Управление съемными носителями
Распределение устройств
Рекомендации
Куда обратиться за дополнительной информацией
Приложение G: Проверка целостности общественного достояния Программное обеспечение
Проверка с использованием PGP
Проверка с использованием MD5
Куда обратиться за дополнительной информацией
Приложение H: Глоссарий атак
Приложение I: Контрольный список безопасности системы
Индекс

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *