Солярис безопасность: hyundai solaris — Авторевю

Заявление об ограничении ответственности

Мнения, примеры и инсценировки в этой книге принадлежат мне и не отражают мнения моего работодателя, AT&T или любого предыдущего работодателя или клиента.

мер по защите Oracle Solaris OS

Что такое Solaris? Зачем вам это нужно?

Solaris — операционная система на основе Unix, разработанная Sun Microsystems, которая позже была приобретена Oracle. ОС Solaris известна своей масштабируемостью, поэтому ее можно эффективно использовать для обработки тяжелых рабочих нагрузок, и она имеет расширенные возможности безопасности для автоматизации самовосстановления (аварийное восстановление) .Они также поставляются с высокопроизводительными процессорами, которые могут обрабатывать несколько потоков одновременно и при этом бесперебойно работать с базами данных, системами и приложениями.

Как Oracle выпускает рекомендации по безопасности для Solaris?

Oracle Solaris предоставляет ежемесячные исправления безопасности, известные как обновления репозитория поддержки (SRU) , которые касаются любых исправлений или улучшений. Это исправление безопасно, поскольку оно создает резервную копию среды загрузки, а затем обновляет рабочую среду, что позволяет нам при необходимости использовать более старые среды.Исправления, доступные в каждом SRU, будут содержать все исправления, включенные в его предыдущий SRU. Пример: Если SRU 12 является недавно выпущенным SRU, то он будет содержать все исправления SRU 11 и более ранних версий.

Каждый квартал эти SRU объединяются в обновление Critical Patch Update (CPU SRU) , которое охватывает критические исправления, включая исправления CVE.

На рисунке ниже показаны две стратегии обновления системы, где
GA = выпуск, такой как Oracle Solaris 11.2 или Oracle Solaris 11.3,
S = SRU и
C = CPU SRU.

Рисунок 1: Стратегии обновления системы

Чтобы избежать риска успешных атак, Oracle рекомендует незамедлительно применять исправления. Рекомендуется обновлять каждый раз, когда появляется новый SRU, или, по крайней мере, ежеквартально для CPU SRU.

Где найти исправления безопасности, связанные с Solaris?

, выпущенные Oracle для Solaris, доступны на странице предупреждений безопасности, которая содержит рекомендательные ссылки на Critical Patch Update Advisories, Security Alerts и Bulletins.

Что содержат советы по безопасности?

Critical Patch Update Advisory — это набор кумулятивных исправлений для множественных уязвимостей безопасности, Security Alert будет касаться исправлений уязвимостей, которые слишком важны, чтобы ждать следующего критического обновления, а Solaris Third Party Bulletin объявляет об исправлениях для стороннего программного обеспечения это часть дистрибутивов Oracle Solaris.

Где искать информацию, недоступную по ссылкам с рекомендациями по безопасности?

Подробности, связанные с исправлениями CVE, можно увидеть в разделе дополнительной информации или в примечаниях внизу каждой ссылки.Если несколько CVE затронуты для одного и того же продукта, тогда в таблице будет доступна только одна запись со связанным с ней номером примечания, а другие будут упомянуты в конце соответствующей ссылки.

Таблица CVE, выпущенная Oracle для Solaris, выглядит, как показано на изображении ниже.

Рисунок 2: Таблица CVE

На изображении ниже показан раздел примечаний, который обычно находится в конце определенных рекомендательных ссылок.

Рисунок 3: Примечания Раздел

Мы можем обратиться к ссылке NVD для описания CVE, и обновленную версию его продукта можно узнать из Solaris 11 Image Packaging System (IPS) .

Lock IT Down: Начало работы с Solaris: Безопасность из коробки

Узнайте, как выполнить некоторые основные процедуры блокировки в системе Solaris.

В этом Daily Drill Down я покажу вам наиболее продуманные планы администратора Solaris по блокировке только нужных окон.

В курсе
Согласно Sun, Solaris соответствует критериям, установленным Министерством обороны Orange Book для систем компьютерной безопасности уровня C2. Это не значит, что вы в полной безопасности. Компьютерная безопасность требует большего, чем просто покупка ОС и ее установка. Безопасность — это постоянный процесс понимания вашей системы и того, что в ней работает.Как администратор, вам необходимо активно выявлять уязвимости по мере их обнаружения и применять исправления или обновления для защиты от них.

Sun имеет список рассылки исправлений для зарегистрированных пользователей, который будет держать вас в курсе последних исправлений. Список исправлений также доступен на сайте SunSolve. CERT, координационный центр компьютерной безопасности, — это то место, куда вы хотите идти, чтобы быть в курсе уязвимостей безопасности в Solaris и любых других операционных системах, которые вы можете использовать. CERT также предлагает интересный список, на который вы можете подписаться, если хотите получать регулярные обновления.

Наш испытательный стенд
Для этого обсуждения я выполнил новую установку Solaris 8, при этом компьютер работает и находится в моей сети. Я выбрал установку Solaris по умолчанию, а также назначил IP-адрес через DHCP с моего основного сервера. Я также дал записи сервера имен для /etc/resolve.conf , но еще не настроил таблицу маршрутизации для шлюза через мой брандмауэр в Интернет. Я дал пароль root, зашел в систему и добавил одного пользователя «тушенку». На данный момент машина только что загрузилась и находится на графическом экране входа в систему для X.] ‘.

SunOS 5.8

логин: root
Пароль:
Не на системной консоли
Соединение прервано внешним хостом.

Ну, по крайней мере, root не может подключиться через telnet; это хорошо. Это контролируется в файле / etc / default / login путем установки переменной CONSOLE в записи сценария:
CONSOLE = / dev / console

ssh
Если установлено CONSOLE , то вход в систему осуществляется с помощью корневого каталога сети. отключены, но telnet для пользователей включен.Многие операционные системы теперь поставляются с отключенными telnet и ftp, а также с ssh и scp для их замены. Ssh и scp шифруют соединение, поэтому имена пользователей и пароли в открытом виде не видны, если посторонние глаза попытаются проникнуть в вашу систему. Возможно, вы захотите сделать то же самое, отключив telnet и ftp и получив ssh . Ознакомьтесь с этой версией Openssh для Solaris 8.

Вам также потребуется загрузить и установить openssl с того же сайта.Если вы используете Solaris 7, вам потребуются gzip и zlib . Поместите файлы во временный рабочий каталог (например, / tmp / packages ) и запустите это (как root):

Обратите внимание на точку (.) после –d; это важно. Вы будете уведомлены об изменении атрибутов на / usr / local / bin и / usr / local / man . Вы можете ответить n на эти изменения и продолжить установку с y . Для openssh вы увидите такое же уведомление, а также предупреждение о том, что ssh будет установлен suid root, который я решил переопределить, и еще одно предупреждение о том, что скрипты будут запускаться от имени root как часть установки.

Содержимое пакета будет находиться в / usr / local . Первое, что вам нужно сделать, чтобы настроить sshd в качестве сервера, — это сгенерировать ключи хоста:

Есть два ключа, один для ssh2 и один для ssh3 .

Я рассмотрел самую основную часть конфигурации. Файл / usr / local / etc / ssd_config имеет дополнительные параметры для сервера, а / usr / local / etc / ssh_config имеет параметры клиента.

Чтобы запустить сервер, запустите:
/ usr / local / bin / sshd

Теперь вы можете получить ssh с другого компьютера в сети.Вы можете использовать опцию -v на клиентском компьютере, чтобы включить подробный вывод, если вам нужно что-то отладить. Типичный логин ssh будет работать примерно так:

Я обнаружил одно предостережение с scp и этой настройкой. Пакет был установлен в / usr / local / bin. При запуске scp с другого компьютера он породил scp в окне Solaris без полного пути, и я получил ошибку. Самое простое исправление — это, вероятно, символическая ссылка в / usr / bin :
cd / usr / bin
ln -s / usr / local / bin / scp scp

Вероятно, вы также захотите настроить демон sshd для запуска во время загрузки.Мы можем создать файл в /etc/rc2.d с именем S78sshd :
#! / Sbin / sh
футляр «1 доллар» в
‘start’)
/ usr / local / bin / sshd
;;
‘стоп’)
/ usr / bin / pkill -x -u 0 -P 1 sshd
;;
*)
echo «Usage: $ 0 {start | stop}»
exit 1
;;
esac
exit 0

Нам также необходимо создать сценарий выключения, когда система переходит на уровень выполнения 0 и 1:
cp S78sshd../rc1.d/K78sshd
cp S78sshd ../rc0.d/K78sshd

Вот и все, что касается базовой настройки. На страницах руководства и на сайте openssh имеется гораздо больше информации о ssh .

Отключение telnet и ftp
Отключить telnet и ftp очень просто; файл, который мы хотим отредактировать, — это inetd.conf . В Solaris 8 файл в / etc является символической ссылкой на /etc/inet/inetd.conf . Файл также доступен только для чтения, поэтому нам нужно изменить права доступа (как root):
chmod u + w / etc / inet / inetd.conf
vi /etc/inet/inetd.conf

Затем вам просто нужно отредактировать две строки, добавив # в начале, чтобы закомментировать их (см. боковую панель).

Каждый раз, когда вы вносите изменения в inetd.conf , вам нужно останавливать и перезапускать демон inetd :
/etc/rc2.d/S72inetsvc stop
/etc/rc2.d/S72inetsvc start

Это отредактированный список; ваш должен быть намного длиннее. Каждая из этих названных служб и портов является потенциальным средством доступа к вашему компьютеру через сетевое соединение. Я отредактировал его, но вы также увидите подмножество этого списка, указанное в IPv6, который является новым протоколом доставки в Интернет.Так что же это за штука и почему она у нас запущена?

Давайте посмотрим на некоторые из названных сервисов, которые нам следует заинтересовать:

• · sunrpc : Удаленный вызов процедур (RPC) Sun формирует основу многих сервисов UNIX, особенно сетевой файловой системы (NFS). Однако RPC может быть чрезвычайно опасным, если его оставить в Интернете.
• · echo , discard , daytime и chargen : в основном используются для тестирования сети.
• · lockd : Используется вместе с NFS для поддержки файловых блокировок совместно используемых файлов.
• · shell , login и exec : Это службы «r»: rshelld , rlogind и rexecd . Как и telnet, они позволяют пользователям на других машинах в сети удаленно входить в систему или выполнять команды на вашем компьютере при условии, что у них есть учетная запись пользователя. Многие администраторы закрывают их. Установив ssh / scp , мы тоже можем отключить их.
• · finger : Finger позволяет искать информацию о пользователе. Многие администраторы отключают его, потому что любая информация о пользователе, которую может получить взломщик, значительно упрощает его работу. Как только он / она пробует пальцем и находит действительное имя пользователя, для входа требуется только пароль.
• · dtspc : Это «демон управления подпроцессом CDE». Подобно программам «r», он позволяет запускать удаленный xterm с другой машины.Очевидно, он использует другую схему авторизации, чем rsh и семейство, из того, что я видел при поиске в сети. Похоже, это еще один кандидат на отключение.
• · smtp : Это «простой протокол передачи почты», используемый для передачи электронной почты между системами. Solaris использует sendmail , исторически являвшийся источником ряда системных эксплойтов. Версия в Solaris 8 — Sendmail 8.9.3 с патчами Sun. Самый простой способ найти вашу версию sendmail — это установить Telnet на порт 25 (при условии, что telnet включен) (см. Врезку).

Давайте также воспользуемся ps , чтобы увидеть, что в настоящее время выполняется в системе:
$ ps -ae

PID TTY TIME CMD
0? 0:01 расписание
1? 0:00 инициализации
2? 0:00 выгрузки
3? 0:08 fsflush
285? 0:00 sac

Опять же, это отредактированный список, и в моем фактическом списке было около 30 записей, что довольно много для машины с одним человеком на нем.Давайте рассмотрим некоторые из потенциально проблемных программ в этом списке.

• · rpcbind : сервер, который упрощает отображение портов на службы.
• · inetd : Inetd — это демон служб Интернета. Он отслеживает активность порта и запускает соответствующую программу на основе записей в / etc / services и /etc/inetd.conf .
• · statd : Монитор состояния сети, часть NFS.
• · cimomboot : часть управления предприятием через веб-интерфейс Solaris.
• · snmpXdmi : Часть интерфейса управления рабочим столом.
• · dwhttpd : Это веб-сервер. Sun, как и многие другие производители, предоставляет документацию в формате HTML. Этот сервер предназначен для доступа к этой информации; по умолчанию это порт 8888.
• · snmpdx : Главный агент Solstice Enterprise.
• · dmispd : поставщик услуг DMI.Другая часть Solaris Enterprise Management. Этот процесс лежит в основе DMI.

nessus
. Полезным инструментом для выявления уязвимостей вашего компьютера, если у вас есть другой компьютер для доступа к нему через сеть, является nessus . Nessus — это удаленный сканер безопасности, который будет проверять данную сетевую машину и определять, может ли эта машина быть взломана или использована некорректно.Пакет имеет приятный графический интерфейс, и вы можете запускать все около 500 сканирований или выбирать по мере необходимости.

После сборки nessus я провел полную атаку и сканирование на машине Solaris. Вот результаты.

Отчет nessus продолжается, подробно описывая каждую дыру и предупреждение, ссылаясь на рекомендации CERT и предлагая шаги для решения проблемы. Похоже, у нас есть над чем поработать. Инструменты управления предприятием Solaris / Solstice являются частью нашей проблемы, начиная с SNMP.Процесс достаточно легко остановить, запустив:
/etc/rc3.d/S76snmpdx stop

Чтобы он не запускался снова при следующей загрузке, нам просто нужно переименовать файл:
mv / etc / rc3 .d / S76snmpdx /etc/rc3.d/no-S76snmpdx

Это изменение привело к падению сканирования nessus до двух отверстий и 14 предупреждений при его повторном запуске.

В следующем предупреждении упоминается walld . Walld — это программа, которую администратор может использовать для отправки сообщений всем пользователям в случае выключения системы или другого события.Как упоминает nessus , взломщики также могут использовать его, чтобы обманом заставить пользователей раскрыть пароли или другую конфиденциальную информацию. Легко отключить. Пока мы на этом, давайте рассмотрим echo , дневной и chargen . Опять же, мы будем комментировать строки в inetd.conf , как мы это делали с ftp и telnet. Не забудьте остановиться и запустить inetd , когда закончите. Строки, которые нам нужны, здесь.

Это отбрасывает сканирование nessus до двух дыр и 10 предупреждений.

Теперь вернитесь и закомментируйте остальные известные опасные службы в /etc/inet/inetd.conf , включая sadmind , rquotad , rstatd , ruserd , Sprayd , cmsd , finger , rsh , rlogin , rexec и tooltalk . Не забудьте остановиться и запустить inetd . Согласно странице CERT, Sun выпустила исправления для проблемы tooltalk в 1998 году, но, опять же, если она вам не нужна, не запускайте ее.Эти изменения сокращают сканирование нашего nessus до нуля дырок и пяти предупреждений.

Если вы не чувствуете, что вам нужен работающий веб-сервер, остановите его и измените также сценарии запуска для него. Даже если служба не была упомянута в вашем сканировании, если вы не чувствуете, что она вам нужна, не запускайте ее. Вы всегда можете включить его снова. Ниже приведены некоторые примеры, показывающие, как отключить эти службы:

Отключение веб-сервера Answerbook:
/etc/rc2.d/S96ab2mgr stop
mv / и т. д. / rc2.d / S96ab2mgr /etc/rc2.d/no-S96ab2mgr

Отключение других инструментов управления Solaris:
/etc/rc3.d/S77dmi stop
mv /etc/rc3.d/S77dmi stop /etc/rc3.d/no-S77dmi
/etc/rc2.d/S90wbem stop
mv /etc/rc2.d/S90wbem /etc/rc2.d/no-S90wbem

Если вы не используете nfs , вы также можете отключить клиентские инструменты nfs , statd и lockd , которые генерируют два предупреждения из nessus .

Если бы вы сейчас перезапустили netstat и ps , вы бы увидели, что списки значительно сократились.

Остальные три предупреждения относятся к факторам низкого риска. Неслучайный IP-идентификатор предполагает наличие патча от вашего поставщика, которого я не нашел на сайте Sun. Два других предполагают фильтрацию пакетов ICMP, которая может быть выполнена с помощью продукта фильтрации пакетов TCP / IP. IP-фильтр кажется довольно популярным на машинах Solaris.

Мне не удалось найти двоичные файлы, и на этой машине еще не настроено gcc и семейство, поэтому для сборки и установки IP Filter придется подождать до следующей статьи.По сути, как только программа будет запущена и запущена, вы должны добавить набор правил для блокировки icmp пакетов указанного типа:
блок в протоколе icmp «тип пакета»

Или вы можете заблокировать все, а затем выборочно разрешить пакет типы, которые вы хотите (например, чтобы разрешить ping) (см. врезку).

Если вы обнаружите, что вам нужно включить клиент nfs или некоторые другие службы, которые мы отключили, наличие фильтра пакетов должно дать вам некоторую защиту от уязвимостей.

Заключение
Безопасность — это непрерывный процесс. Вам необходимо знать свою систему, какие процессы в ней выполняются и для чего нужна система. Отключение ненужных процессов не только закроет возможные угрозы безопасности, но также освободит системные ресурсы для задач, которые вы действительно хотите выполнить. Будьте в курсе обновлений от поставщика и следите за объявлениями по безопасности от CERT. Отслеживайте файлы журналов на предмет необычной активности и узнавайте свою таблицу процессов и то, что вы ожидаете запускать.Если возможно, замените telnet и ftp безопасными версиями и поощряйте пользователей использовать нетривиальные пароли. Это не гарантия того, что вас не взломают, но вы усложните задачу взломщикам.

Сложный субъект угроз использовал Oracle Solaris Zero-Day

Более двух лет наблюдался злоумышленник, нацеленный на операционные системы Oracle Solaris, в том числе с использованием эксплойта для недавно устраненной уязвимости нулевого дня, сообщает FireEye в понедельник.

Отслеживается как UNC1945 — UNC назначается FireEye неклассифицированным группам — злоумышленник был замечен в компрометации телекоммуникационных компаний и использовании сторонних сетей для нацеливания на определенные финансовые и профессиональные консалтинговые отрасли.

На протяжении всей наблюдаемой деятельности группа использовала различные инструменты для взлома операционных систем Windows, Linux и Solaris, а также настраиваемые виртуальные машины, уделяя особое внимание уклонению от обнаружения.

«UNC1945 продемонстрировал доступ к эксплойтам, инструментам и вредоносным программам для нескольких операционных систем, дисциплинированный интерес к сокрытию или манипулированию их деятельностью, а также продемонстрировал передовые технические возможности во время интерактивных операций», — говорят исследователи безопасности FireEye из Mandiant.

В конце 2018 года было замечено, что злоумышленник взломал сервер Solaris, на котором служба SSH была доступна в Интернете, чтобы установить на нем бэкдор SLAPSTICK с целью кражи учетных данных. Злоумышленник использовал SSH для подключения к серверу.

В середине 2020 года, после 519-дневного периода ожидания, был замечен другой сервер Solaris, подключенный к инфраструктуре злоумышленника. Злоумышленник развернул средство удаленной эксплуатации под названием EVILSUN, чтобы использовать уязвимость нулевого дня, воздействующую на сервер Solaris 9.

Отслеживаемая как CVE-2020-14871, об уязвимости было сообщено в Oracle, которая устранила ее в рамках обновления критического исправления за октябрь 2020 года. Ошибка затрагивала подключаемый модуль аутентификации Solaris (PAM) и позволяла злоумышленнику, имеющему доступ к сети, скомпрометировать операционную систему без аутентификации.

Madiant также обнаружил, что в апреле 2020 года на подпольной торговой площадке предлагался «Oracle Solaris SSHD Remote Root Exploit» примерно за 3000 долларов, отметив, что этот эксплойт «может быть идентифицирован с EVILSUN.”

«Кроме того, мы подтвердили, что сервер Solaris, подключенный к Интернету, имеет критические уязвимости, в том числе возможность удаленного использования без аутентификации», — говорят исследователи.

Используя бэкдор SLAPSTICK Solaris PAM, злоумышленник закрепился на скомпрометированном сервере Solaris 9. После размещения вредоносной программы в скомпрометированной системе злоумышленник установил на рабочую станцию ​​специальный бэкдор Linux под названием LEMONSTICK, чтобы облегчить выполнение команд, туннелирование соединений, а также передачу и выполнение файлов.

UNC1945 поддерживал доступ с помощью механизма перенаправления портов SSH и отбрасывал пользовательскую виртуальную машину QEMU на нескольких хостах, используя сценарий «start.sh» для ее выполнения в любой системе Linux. Сценарий содержал настройки пересылки TCP, в то время как на виртуальную машину были предварительно загружены такие инструменты, как Mimikatz, Powersploit, Responder, Procdump, CrackMapExec, PoshC2, Medusa, JBoss Vulnerability Scanner и другие.

Злоумышленник использовал энергозависимую память для снижения операционной видимости, манипулировал отметками времени и файлами журналов с помощью встроенных утилит и общедоступных инструментов, а также применял методы защиты от криминалистики.Кроме того, хакеры собирали учетные данные, повышали привилегии и продвигались через скомпрометированную среду.

Также использовалась программа удаленного доступа с открытым исходным кодом PUPYRAT. На одной цели после первоначального взлома злоумышленник развернул три разных бэкдора: SLAPSTICK, TINYSHELL и OKSOLO. В среде Windows для удаленного выполнения команд использовался IMPACKET с SMBEXEC. Также использовался сканирующий инструмент BlueKeep.

Согласно Mandiant, несмотря на многоэтапную операцию, кражи данных не произошло.Однако в одном случае программа-вымогатель ROLLCOAST была развернута на последнем этапе, но неясно, был ли UNC1945 ответственен за это развертывание или нет, поскольку доступ к скомпрометированной среде мог быть продан другому субъекту.

«Простота и широта использования, в которых UNC1945 проводил эту кампанию, предполагает, что сложный, постоянный субъект, комфортно эксплуатирующий различные операционные системы и доступ к ресурсам и многочисленным инструментам. С учетом вышеупомянутых факторов, использования эксплойтов нулевого дня и виртуальных машин, а также способности проходить через несколько сторонних сетей, Mandiant ожидает, что этот мотивированный злоумышленник продолжит целенаправленные операции против ключевых отраслей », — заключают исследователи.

Связано: Oracle выпускает внеполосное обновление для критической уязвимости, используемой в атаках

Связано: ЦП Oracle за октябрь 2020 г. содержит 402 новых исправления безопасности

YASSP! Инструмент для повышения безопасности Solaris

Этот документ представляет YASSP, еще один безопасный пакет Solaris, набор инструментов, разработанный, чтобы помочь системному администратору обезопасить Хост Solaris.Он объясняет внутренний механизм, используемый YASSP для реализовать эти изменения безопасности, чтобы системный администратор мог либо используйте этот инструмент в его текущей форме и локализуйте его, либо измените исходный код пакета, соответствующий его потребностям.

YASSP состоит из пакета SECclean и набора дополнительных пакеты, предоставляющие общие полезные инструменты, связанные с безопасностью. SECclean внутренний механизм, используемый для изменения существующей операционной системы, реализован через механизм пакетов Solaris и обеспечивает полную процедура демонтажа.Это потребовало разработки специальная библиотека функций оболочки для облегчения работы с файлами.

Проект YASSP предоставляет сообществу простой путь к обеспечению безопасности хост Solaris. Это научило нас многому о внутреннем устройстве Solaris и манипуляции с пакетами. YASSP еще молод и готов к расширению.

Проект ЯССП был начат еще в 1997 году, чтобы удовлетворить потребность в установка открытых серверов Solaris. Для таких серверов Sun Solaris установка по умолчанию имеет следующие недостатки:

• В стандартной комплектации Solaris запускает множество сетевых служб.Это нарушает принцип, согласно которому машина должна предоставлять только те услуги, которые намерен предоставлять его владелец.
• В стандартной комплектации все сетевые сервисы доступны любому хост, который их запрашивает, нарушая принцип «предлагать услуги только тем, кому вы собираетесь их использовать »
• При стандартной установке ведение системного журнала несовместимо.
• В стандартной комплектации система не выдает предупреждения о безопасности. баннерные сообщения людям, которые пытаются его использовать.

Текущая версия YASSP была создана в Xerox Palo Alto Research Center, как настраиваемый инструмент для защиты хоста Solaris. Более того Полную историю проекта можно найти далее в этой статье.

YASSP можно использовать на Solaris 2.6, 7 или 8, sparc или Intel архитектура для повышения безопасности рабочей станции конечного пользователя или сервер.

Прежде чем рассматривать внутреннее устройство YASSP, давайте разберемся с концепциями используется для построения ЯССП. Эти концепции стимулировали YASSP реализации, создали свои собственные проблемы и предложили решения, но оставались неизменными в течение существования YASSP, что сделало его очень стабильный.

• Он должен играть по правилам Sun, а не сражаться с Sun: мы следуем как можно точнее. мы можем вс стандарт и правила.
• YASSP пытается быть максимально тесно интегрированным с Solaris. Это было построен и распространяется как пакет Solaris. ЯССП будет следовать за пакетом правила и стандарты Sun, если они существуют. Когда стандарта не существует, YASSP постарается приспособить различные варианты систем возможно, администратор сделал.
• Его можно устанавливать и снимать без разрушения и восстановления тот же контекст, что и раньше.Особое внимание было уделено этим пунктов, чтобы быть уверенным, что системный администратор никогда не потеряет файлы или модификации, сделанные после установки YASSP на любой YASSP файлы конфигурации. Здесь цель двоякая: убедитесь, что любые изменения сделанный YASSP можно отменить, но также убедитесь, что все изменения, сделанные after не будет потеряно в случае деинсталляции. Это верно для все компоненты ЯССП.
• Он должен работать при минимальной установке, как и основной выбор из Установка Solaris, или любая другая.
  Это один из самых важные и самые ограничивающие правила, так как они напрямую повлияли на выбор мы сделали в инструментах и ​​языке, используемых в реализации YASSP. Кроме для нескольких двоичных файлов ядро ​​YASSP написано в оболочке Bourne, использует sed и [n] awk.
• Дополнительные скрипты, не являющиеся частью YASSP, но называемые примерами на в веб-документации могут использоваться инструменты, не включенные в базовую установку, как Perl.
• Защищено и закрыто по умолчанию …
• … но может быть открыт после установки или изменен, чтобы быть локализованный.
• Поведение YASSP по умолчанию должно быть безопасным. Для каждого выбора конфигурации YASSP предлагает, он по умолчанию установит тот, который команда YASSP разработчики считают наиболее безопасным.
• Большинство этих вариантов конфигурации легко просматриваются и изменяются. после установки ЯССП.
• Используя трехуровневую реализацию: с точки зрения безопасности мы пытаясь решить, мы формируем список модификаций, которые необходимо случаться; этот список реализуется установкой пакета (Файл заменен, файл отредактирован, файл создан…)

Созданный как пакет Sun и соответствующий правилам Sun, этот инструмент заботится о базе данных пакетов Solaris, исправляет ее, когда неправильно, и сохраняет точность с течением времени.

После установки SECclean большинство ваших сетевых служб будут выключен, и большинство процессов запускаются по умолчанию под Solaris больше не будет работать. Ваш сервер будет усилен, возможно, слишком сильно. Это значение по умолчанию для SECclean: если вы не измените его конфигурацию, или, если его конфигурация не существует, она будет закрыта и защищена.Это очень хорошо подходит для установки открытого сервера, но не для конца. рабочая станция пользователя.

Модификация SECclean в вашей системе может быть представлена ​​следующим образом:

• Удаление ненужных файлов (/ etc / auto_home, / etc / auto_master, / etc / dfs / dfstab, / var / spool / cron / crontabs / adm, / var / spool / cron / crontabs / lp и / var / spool / cron / crontabs / uucp).
• Управление большинством сценариев запуска через /etc/yassp.conf.
• Изменение настроек среды по умолчанию, чтобы сделать вашу систему более безопасной (umask, длина пароля, PATH) и сделайте некоторые из этих переменных доступно через / etc / yassp.conf (/ etc / profile, / etc / default / login, / etc / default / su, / etc / default / passwd, /etc/skel/local.cshrc, / etc / skel / local.profile, /etc/.login, /etc/rmmount.conf) и настройки umask по умолчанию для сценария запуска (/etc/init.d/umask.sh).
• Включение файлов баннеров (/ etc / motd, / etc / issue, / etc / ftp-banner).
• Контроль доступа к системе и к определенным командам (/etc/pam.conf, / etc / default / login, /.rhosts, /etc/hosts.equiv, /etc/cron.d/at.allow, /etc/cron.d/cron.allow, / etc / default / sys-suspend, / etc / ftpusers, / usr / dt / config / Xaccess и / etc / dt / config / Xaccess).
• Упрощение запуска сети при сохранении обратной совместимости через /etc/yassp.conf (/etc/init.d/inetsvc, /etc/init.d/inetinit, и / etc / init.d / network).
• Больше контроля над службами RPC (keyserv и rpcbind с TCP-оболочкой) [15] (/ etc / init.d / rpc).
• Отключение доступных сетевых служб (/ etc / inet / inetd.conf).
• Настройка параметров системы, попытка предотвращения и разбиения стека журналов атаки (/ etc / system).
• Производительность сетевого стека и настройка безопасности [16] (/ etc / init.d / nettune и / etc / default / inetinit).
• Добавляет несколько общих определений сервисов (/ etc / inet / services).
• Устанавливает стандартную конфигурацию системного журнала (/etc/syslog.conf).
• Разное и ведение журнала (/ etc / shells, / var / adm / loginlog, / etc / norouter и / etc / inittab).
• Исправление базы данных пакета и изменения режима файла, чтобы сделать их более полезными безопасный (режимы очистки и исправления).

Помимо SECclean, YASSP обеспечит проверку целостности (tripwire) [4], элементы управления TCP и RPC (tcpd и rpcbind с tcp_wrappers) [15], зашифрованный канал (ssh) и другие журналы ротации и контроль версий системные файлы (PARCdaily, GNUrcs и GNUgzip).

Пример того, как выглядит система после перезагрузки, можно найти на Приложение 1.

Во-первых, пакеты Sun занимают важное место в YASSP реализации, давайте объясним, что это такое и как они работают.

В мире Solaris прикладное программное обеспечение или системные компоненты поставляются в единицах, называемых пакетами [Примечание 1]. Пакет — это набор файлов и каталогов, необходимых для реализует новую функцию и обычно разрабатывается и создается разработчик этой новой функции (новые приложения, доработка системы) после завершения разработки кода.

Компоненты пакета делятся на две категории: пакет объекты, которые являются файлами приложения, которые необходимо установить, и управлять файлы, которые определяют, как, где и установлен ли пакет.

Контрольные файлы

Контрольные файлы делятся на две категории: информационные файлы и сценарии установки. Некоторые из этих управляющих файлов обязательны и некоторые из них необязательны, установочные скрипты всегда по желанию. Сценарий установки должен состоять из оболочки Bourne. команды.

Сценарий установки выполняет настраиваемые действия во время установка вашего пакета, особенно сценариев процедур, определяющих действия, которые происходят в определенных точках во время установки пакета и удаление, а также сценарий группового действия, который определяет набор действия над группой объектов.Четыре сценария процедуры предопределены: предустановка, постинсталляция, предварительное удаление и последующее удаление.

Это компоненты, из которых состоит приложение. Они могут быть: файлы (исполняемые файлы или данные), каталоги, именованные каналы, ссылки или устройств.

Объекты пакета описаны в файлах прототипов, по одной строке на единый предмет сдачи. Описание объекта включает его местонахождение (путь, относительный или абсолютный), атрибуты (владелец, группа и мод разрешений), класс и тип файла.

Классы объектов позволяют выполнять серию действий над группа объектов пакета при установке или удалении. Сед предопределенный класс предоставляет метод использования инструкций sed для редактирования файлы при установке и удалении пакета. См. Документацию Sun для получения более подробной информации о классах объектов.

Доставка, установка, регистрация и проверка посылки

При установке пакета все его объекты зарегистрирован в / var / sadm / install / contents.Информация, хранящаяся в этом файл — это либо статическая информация, найденная в информации пакета файлы (имя пакета, тип файла объекта, атрибуты, класс) или динамическая информация, генерируемая при установке pkgadd команда, такая как дата, размер и контрольная сумма ( сумма (1)) объект, который обеспечивает хорошую проверку целостности, но плохую проверка подлинности. Точность и целостность различных объектов установленного пакет можно проверить с помощью команды pkgchk (1).`-N ‘ опция, которая указывает pkgchk не проверять изменчивые или редактируемые файлы, следует использовать при проверке после установки. Проверки выполняются на наличие каждого объекта, их записанные атрибуты, их размер и контрольная сумма.

Информация о пакете может быть обновлена ​​вручную в любое время с помощью installf (1M) и removef (1M) команды.

Пакеты — это рекомендуемый способ доставки приложений Solaris. Пакеты Solaris предоставляют инструменты и методы для установки новых объектов и изменить или удалить существующие с помощью класса действий или сценарий установки.Они также предоставляют базовый механизм для сохранения файлов. изменен и будет записывать все установленные файлы, включая их атрибуты и базовая контрольная сумма.

Пакеты не идеальны, но существуют в каждой системе Solaris.

SECclean — это ядро ​​YASSP, обеспечивающее большую часть безопасности тюнинг. SECclean построен как пакет с использованием правил, которые мы объяснили. в последнем разделе. Чтобы реализовать эту настройку безопасности, SECclean будет изменить существующую систему Solaris путем добавления, удаления, замены или изменение различных файлов.

Файлы можно сортировать по группам: созданные, удаленные, заменены и изменены файлы и сценарии запуска.

Новые файлы, удаленные файлы и замененные файлы делятся на три категории файлов легко понять. Иногда разумнее изменить существующий файл вместо замены его нашей версией, так как они могут быть разные в каждой системе.

Файлы запуска или сценарии управления запуском в соответствии с документацией Sun они представляют собой сценарии оболочки Bourne для управления изменениями уровня выполнения.Каждый пробег level имеет связанный сценарий rc, расположенный в каталоге / sbin: RC [0-6S].

Скрипты управления запуском находятся в каталоге /etc/init.d с ссылки из соответствующих скриптов управления запуском в /etc/rc[0-6S ].d каталогов. В связи с их особыми функциями и требования, файлы запуска обрабатываются SECclean как особые случаи.

Поскольку ничего не может быть простым, для этого будут исключения. классификация. SECclean совместим с тремя версиями Solaris, и файлы, которые необходимо заменить, могут зависеть от версии.Другой файлы, которые мы хотим изменить, потребуют особого внимания, так как эти изменения может быть более сложным. Двоичные файлы, устанавливаемые SECclean, должны быть обрабатывается в зависимости от архитектуры цели. Наконец, несколько файлов может потребоваться изменить, только если они существуют.

Управление файлами под SECclean

Как объяснено в разделе «Философия», SECclean не должен устанавливаться, а состояние вашей системы после SECclean установка и удаление должны быть такими же, как и раньше.Все информация, связанная с файлом (его содержимое, его атрибуты (владелец, группа и режим разрешений), а также информация о пакете связанные с этим файлом) должны быть извлечены и сохранены в SECclean установка, так что шаг удаления сможет восстановить ее. Эти процедуры резервного копирования и восстановления должны быть созданы, поскольку пакеты предоставляют вам руководство о том, как это должно быть сделано, но это до разработчика пакета для реализации таких функций. Борн оболочка [Примечание 2] библиотека с именем cleanlib.sh предоставляет функции, помогающие работать с пакетом регистрация, резервное копирование и восстановление файлов. Выполнить любой файл операций, SECclean использует функции cleanlib.sh как операции с пакетами. предоставляемые Solaris, очень примитивны.

Cleanlib предоставляет следующие функции:

• Install_file (): устанавливает файл, перемещая его по префиксу имени на свое настоящее имя. Он сохраняет копию установленного файла, чтобы любой его модификацию можно отслеживать, и файл регистрируется как часть пакет SECclean.
• Install_RC_file (): та же функция, что и Install_file (), но для установки сценарий запуска. Он также создает символические ссылки, необходимые под /etc/rc[0-6S ].d каталогов.
• Backup_user_file (): копирует файл и воссоздает его путь в каталог резервных копий.
• Save_and_move_file (): перемещает указанный файл и его пакет информацию в резервную область, а затем отмените регистрацию ее из база данных пакетов.
• Disable_RC (): удаляет ссылки на сценарий запуска.Это сделает резервную копию всех найдена информация о пакете.
• Disable_Init (): ищет любую зарегистрированную ссылку на сценарий запуска. и вызывает Disable_RC () для каждого из них.
• RCconfized_Init (): изменяет сценарий запуска для управления его запуском. через /etc/yassp.conf. Также обновит /etc/yassp.conf для каждого изменен сценарий запуска.
• Create_RCconf (): инициализирует статический заголовок /etc/yassp.conf.
• DE_RCconfized_Init (): отменяет модификацию, выполненную RCconfized_Init () в сценариях запуска.
• Restore_RC (): восстанавливает ссылки сценария запуска из сохраненного информация и обновляет базу данных пакетов.
• Restore_file (): восстанавливает файл из резервной копии и обновляет база данных пакетов.
• Init_preremove (): инициализирует значение каталога резервного копирования для файлы, измененные с момента установки YASSP.
• Cmp_and_backup_file (): проверяет наличие ранее установленных файлов были изменены, и если да, то делает их резервную копию.

Чтобы удалить существующий файл, мы сначала сохраняем его текущий пакет информацию, переместите ее в каталог сохранения пакета и отмените регистрацию из оригинальной упаковки.Это делается с помощью файла Save_and_move_file функция.

Замена файла требует дополнительных действий. Сначала мы должны доставить новый файл под другим именем, чтобы не перезаписать существующий. Соглашение для SECclean заключается в установке нового файла с именем с префиксом «SECclean_». Затем мы должны удалить, так как объяснено в последнем разделе существующий файл, переместите новый файл в его настоящее имя, отмените регистрацию имени с префиксом из пакета SECclean и пропишите в нем настоящее имя. Кроме того, поскольку SECclean хочет иметь возможность для отслеживания любых изменений в этих файлах после его установки копия исходный установленный файл сохраняется.Эти операции выполняются с использованием функции Save_and_move_file и Install_file.

Файлы, которые необходимо изменить, определены как часть sed класс в прототипе SECclean. Никаких особых действий не требуется, так как связанный скрипт sed обрабатывает установку и деинсталляцию фаза.

Для скриптов запуска мы хотели предложить системному администратору выбор запуска различных имеющихся сценариев запуска, и мы хотелось, чтобы этот выбор был максимально удобным.Решение в SECclean было выбрано изменение существующего сценария таким образом, чтобы он запускать, только если переменная оболочки установлена ​​в YES в конфигурации YASSP файл /etc/yassp.conf. Имя этой переменной оболочки основано на название сценария, без букв, не содержащих букв, и заглавные. Функция RCconfized_Init используется для изменения каждого оригинальный сценарий запуска.

Функция Disable_Init используется для резервного копирования и удаления любых информация, связанная со сценарием запуска. Это будет, судя по названию сценария запуска в / etc / init.d, найдите все существующие ссылки к нему из любого каталога /etc/rc[0-6S visible.d/, запишите все эти ссылки и информацию о пакете, связанную с ними, сохраните содержимое исходный скрипт запуска и удалите их все. Он используется, когда нам нужно заменить или удалить сценарий запуска.

Cleanlib также обеспечивает обратные функции, используемые при удалении фаза пакета для восстановления состояния и содержимого этих файлы.

Существуют исключения: некоторые сценарии запуска нуждаются в доработке, некоторые сценарии запуска необходимо заменить нашей версией, но в зависимости от в версии операционной системы необходимо установить только некоторые файлы если их еще не было.

Все эти функции отслеживают список пакетов, которых они касаются, так что когда мы закончим, мы знаем, какие изменения необходимо подтвердить.

Помимо описанных нами файловых операций, SECclean также необходимо выполнить следующие задачи:

Резервное копирование, удобное для пользователя

Нам показалось очень полезным и удобным копировать дерево файлов. SECclean коснется и предоставит его в качестве информационной копии системный администратор. Эта копия не используется в резервной копии пакета механизм, но предоставляет системному администратору простой способ увидеть какие и как файлы были изменены.Резервное копирование по умолчанию выполняется в /yassp.bk (Подробнее см. в разделе «Собираем все вместе». подробности).

Очистка файла паролей

Файл паролей будет проверен и при необходимости очищен, чтобы заблокировать все нерелевантные системные учетные записи, сменить оболочку всех заблокированных учетные записи в двоичный файл, который будет вести системный журнал любого использования этих учетных записей перед выходом. Очистка файла паролей реализована в clean_passwd, часть SECclean, и его можно повторно запустить в любое время после Установка SECclean.

Очистка операционной системы

При установке Solaris, даже если компоненты Solaris построены как пакеты, вы обнаружите некоторую несогласованность, если проверите пакет честность. Эти несоответствия отражают файлы, измененные во время установка, или файлы зарегистрированы неправильно, или и то, и другое. Использование оболочки скрипт, который очень зависит от ОС, SECclean исправит эти incoherencies и оставьте базу данных пакетов чистой.

После, используя программу исправлений Casper Dik для Solaris [3], SECclean обеспечивает права и права собственности на различные файлы.Это делает это удалив права записи группы и мира для всех файлы / устройства / каталоги, перечисленные в / var / sadm / install / contents, с исключение из тех, которые предварительно перечислены в программе fix-Mode.

Процесс установки

SECclean использует процедуру до и после установки скрипты.

Предварительная установка

Сценарий предварительной установки сначала определяет, в каком каталоге Компонент SECclean будет установлен. Некоторые компоненты ЯССП, которые могут быть установлены позже, пути к ним жестко запрограммированы в их двоичном коде [Примечание 3].На с другой стороны, системные администраторы могут захотеть установить свои софт в другом месте. Если существует / opt / local и можно ли изменить dir к нему [Примечание 4], SECclean использует / opt / local как путь установки по умолчанию. Если мы не можем изменить каталог на / opt / local, но если / usr / local существует и мы может изменить каталог на него, / opt / local создается как символическая ссылка указывая на / usr / local. Если ни один из них не существует, создается / opt / local как каталог.

Затем сценарий предварительной установки инициализирует две переменные оболочки. $ SECBCK и $ CLEANUPDIR, если они еще не определены.$ SECBCK — это используется в качестве пути, под которым будет создана удобная для пользователя резервная копия. Выполнено. Его значение по умолчанию — /yassp.bk. $ CLEANUPDIR — это путь, по которому скрипты и двоичные файлы, связанные с очисткой операционной системы, будут быть установлен. Его значение по умолчанию — / var / sadm / clean-up.

Затем сценарий предварительной установки определяет четыре переменные оболочки, соответствующие категориям файлов. Переменная $ RCCONF соответствует к исчерпывающему списку сценариев запуска. Скрипты запуска всегда упоминаемые по их имени в каталоге / etc / init.d каталог. Этот список является исчерпывающим, собирая все имена сценариев запуска, которые мы хотим control во всех поддерживаемых нами версиях Solaris. Следующая переменная — $ NRC, определение сценария запуска, который мы хотим заменить нашей собственной ОС зависимая версия. В этот список входят три сценария запуска: inetsvc, inetinit и сети (только на Solaris 8). Они сценарии, управляющие настройкой сети во время загрузки. Последние два определены переменные: список файлов, которые нужно удалить ($ SD), и список заменяемых файлов ($ SA).Все эти переменные записываются в файле ($ PKGSAVE / .PROC_Init_Var), чтобы другие сценарии, используемые в При установке или удалении SECclean могут использоваться одни и те же списки. Для получения актуального списка файлов, определенных в каждой из этих переменных, пожалуйста, консультироваться https://www.yassp.org.

Удобное для пользователя резервное копирование — последнее, что делает предустановка: все файлы, которые SECclean должен коснуться, будут скопированы в $ SECBCK / Before_`date +% Y.% m.% D-% H.% M.% S`.

Установка

Именно на этапе установки все объекты пакета определенные в SECclean будут установлены.Объекты, соответствующие файлы, которые мы хотим заменить, зарегистрированы и будут установлены с именем с префиксом «SECclean_». Для объектов, зависящих от версия операционной системы (например inetsvc) или по архитектуре хоста (двоичный), все возможные экземпляры были зарегистрированы и будут быть установленным с использованием версии ОС или архитектуры в качестве суффикса.

Все сценарии sed, связанные с любыми объектами пакета, входящими в состав Затем будет выполнен класс sed, и целевой файл будет изменен.

После установки

Сценарий постинсталляции — самый сложный.

После прочтения файла PROC_Init_Var, созданного предустановкой, в узнать значение различных категорий файла, сначала отключает файлы запуска, которые мы заменим позже, путем вызова Функция Disable_Init.

Затем все файлы, перечисленные в RCCONF, изменяются с помощью Функция RCconfized_Init. Для каждого из них создается сценарий sed. и применил к ним. В результате чего файлы запуска были присутствуют в этой системе, и из некоторой статической информации, yassp.conf создается файл.

Все файлы, которые мы удаляем или заменяем, сохраняются и перемещаются с помощью Save_and_move_file. На этом этапе SECclean завершает изменение существующие пакеты, и теперь он может закрыть и проверить все удаления сделано с базой данных пакетов.

Следующие шаги относятся к объектам пакета SECclean. Для файлов, которые зависят от версии операционной системы или от машины архитектура, правильная версия сохраняется, а другие удаляются и незарегистрированный. Информация о пакете SECclean обновляется, а база данных закрыто.Все файлы, которые мы хотим заменить, которые были установлены используя «SECclean_» в качестве префикса в своем имени, переименовываются в свои правильное имя. Новый инетинит, инетсвц и сети [Примечание 5] сценарии запуска установлены, а символические ссылки создаются из соответствующих /etc/rc[012ght.d каталогов, и особые случаи обрабатываются для конкретных файлы. Затем база данных SECclean снова закрывается, чтобы проверить все эти изменения.

Теперь мы закончили установку файлов и базу данных пакетов. Обновить. Настройка некоторых недавно установленных файлов, таких как / etc / system, выполняется в зависимости от версии операционной системы, файлы системного журнала, используемые недавно установленный системный журнал.conf затронуты, а пароль файл очищается вызовом clean_passwd.

Последнее, что было сделано, это очистка операционной системы, которая включает исправление базы данных пакетов и запуск fix-режимов. Готово: программа SECclean установлена.

Удаление

Этап удаления имеет две основные задачи: восстановление состояния вашего рабочую станцию, как это было до установки SECclean, но также сохраняя копирование любых файлов, установленных SECclean и измененных системами администратор, чтобы эти изменения не были потеряны.Так и будет используйте сценарии процедуры preremove и postremove для реализации этих задачи.

Предварительно снять

После прочтения файла PROC_Init_Var, созданного предустановкой для узнать значение различных категорий файлов, он проверяет все файлы заменены на SECclean по сравнению с оригиналами, и сохраняется резервная копия скопируйте в /var/tmp/SECclean.Backup_$$, если они были изменены. Затем он делает копию библиотеки cleanlib.sh, так как этот файл будет удаляется на этапе удаления, и это необходимо для постустановки.

Удаление

Все файлы, зарегистрированные как часть прототипа SECclean, удаляются. Скрипты Sed, связанные с объектом пакета класса sed, будут выполняется для отмены любых сделанных изменений.

Postremove

После прочтения файла PROC_Init_Var, созданного предустановкой для узнайте ценность различных категорий файлов, это будет отменить регистрацию из базы данных пакета всех файлов, зарегистрированных как часть SECclean в сценарии после установки, перечисленные в $ SA и $ NRC переменных и закройте базу данных.

Следующим шагом будет восстановление исходного содержимого файлов SECclean удалил или заменил, и повторно зарегистрировал их в базе данных пакетов с их оригинальными атрибутами.

Модификации для управления запуском скриптов запуска: отменено, и база данных пакетов закрывается для проверки этих изменений.

Наконец, будет удалена копия библиотеки cleanlib.sh.

Как мы это тестировали

Этот сложный процесс был проверен путем установки (и деинсталляции) YASSP на различных хостах для тестирования, а также участия в повседневной работы.

Окончательное состояние после установки проверяется с помощью таких инструментов, как titan [8], ISS … и, конечно же, мы попросили бета-тестеров использовать их опыт.

Команда SANS также очень полезна для получения совета или консенсуса по предлагаемые изменения или указание на существующую документацию и инструменты [2, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14].

Особое внимание было уделено тестированию удаления пакета функция. Тестирование может занять много времени, особенно если пакет не работает и повреждает базу данных пакетов.Использование Vmware virtual машина под управлением Solaris для тестирования — это большая экономия времени.

ЯССП также предлагает установить набор полезных и распространенных инструментов, построены как отдельные пакеты. Это включает:

• GNUrcs: RCS 5.7 и diff 2.7 [GNU], чтобы упростить контроль версий вашего файлы.
• GNUgzip: gzip 1.2.4a [GNU]: сжатие файлов.
• PARCdaily: некоторые ежедневные сценарии, ротация журналов, резервное копирование и RCS для системные файлы … Нужны GNUgzip и GNUrcs. В основном это пример покажите людям, на что они способны.
• WVtcpd: tcp_wrappers 7.6 + rpcbind 2.1 [Wietse Venema]: оболочка tcp, и версия Wietse rpcbind, скомпилированная с библиотекой оболочки tcp, для люди, которым нужно запускать RPC.
• PRFtripw: Tripwire 1.2 [Purdue Research Foundation of Purdue Университет]: инструменты проверки добросовестности
• SSHsdi: версия 1.2.30-SDI, сборка с поддержкой SecurID (см. ftp://ftp.parc.xerox.com:/pub/jean/sshsdi/README).

Что может пойти не так во время установки

По нашему опыту, ничего не должно случиться, если это свежий Установите Solaris. Для установки, выполненной в существующей системе, вы могут возникнуть конфликты при установке пакета с файлами или каталоги.

Пример установки

# распаковать yassp.tar.Z
# tar xvf yassp.tar
# cd yassp
# ./install.sh
... проверить и изменить все
      файлы конфигурации ...
# перезагружать
 

Что может быть сломано после?

По умолчанию SECclean и YASSP отключают (или переводят в безопасное состояние) большинство существующих услуг. Если вы планируете установить YASSP или SECclean на существующем сервере, вы должны знать, какие приложения работает на нем, и какие сетевые службы и системные ресурсы использовался.Ваша работа после установки YASSP будет заключаться в повторном включении эти услуги, и только эти услуги, чтобы иметь систему, в которой вы знать, почему запущен какой-либо процесс или служба. ЯССП поможет вам предоставление некоторых инструментов для отслеживания этих изменений и повторного включения некоторых функции безопасности после его установки, но YASSP не может понять ваши настройки, как вы можете сделать.

Также, если в вашей системе были нестандартные приложения или конфигураций, SECclean, возможно, пропустил некоторые настройки, специфичные для вашего заявление.

Что делать после?

Большая часть конфигурации YASSP обрабатывается одним текстовым файлом /etc/yassp.conf. Страница руководства, yassp.conf (4) https: //yassp/man/yassp.conf-4.html, описывает различные настройки это можно сделать через этот файл. Более общее описание того, что делать после установки, не сосредоточено на SECclean, поддерживается в: https: //yassp/after.html.

И не забудьте прислать нам отзыв о ЯССП; мы очень хотим получать комментарии, предложения или просто признание того, что люди используй это.

По состоянию на 10 октября 2000 г. выпущена бета-версия №12 YASSP. https://www.yassp.org. Он протестирован и поддерживает Solaris 2.6, 2.7 и 8, в архитектуре sparc. Бета №12 широко используется [Примечание 6] и является релиз-кандидат для версии 1.0 [17].

ЯССП построен на основе двух независимых компонентов:

• Основной пакет, названный SECclean, реализует безопасность ОС. модификация, которая также включает исправление несогласованности оставленных после стандартной установки Solaris и изменяет некоторые файловые режимы, чтобы файловая иерархия более безопасна.
• Набор дополнительных пакетов, предоставляемых как необязательная установка, поскольку они представляют некоторые часто используемые функции, не реализованные в Solaris.

Сценарий install.sh по умолчанию для YASSP очистит Solaris. установить, изменить режимы файлов для защиты различных файлов и каталогов, установить основной пакет и предложить установить набор дополнительных пакеты.

После установки основного пакета SECclean результат система достаточно закрытая и безопасная, где большинство сервисов было выключен, запущены минимальные процессы и с некоторой степенью безопасности настройка применяется на разных уровнях операционной системы, начиная с сетевой стек в файл конфигурации XDM.

Еще многое предстоит сделать, от сбора дополнительных отзывов до переноса на новые выпуски Solaris и улучшение веб-документации.

Из разговора в рассылке YASSP можно угадать два основных направления. список:

• Разработайте новые инструменты, которые помогут контролировать систему после первоначального установка, чтобы убедиться, что никаких изменений не произошло, и иметь возможность повторно применить некоторые настройки безопасности по запросу.
• Разработайте инструмент для управления некоторыми более ограничительными правами доступа к файлам, особенно для бинарных файлов SUID / SGID, как вариант.

Проект YASSP многому нас научил на внутреннем устройстве Solaris, как с точки зрения безопасности и механизма пакетов Solaris. Сложность добавлена ​​тем, как YASSP работает с файлами и пакетами. информация показала свою силу, поскольку она обеспечивает надежный механизм демонтажа и значительно упрощает обслуживание YASSP для любого нового версия Solaris.

YASSP используется различными организациями в различных контекстах из рабочие станции конечных пользователей на открытых серверах. Отзывы, которые мы получили, показывает нам, что это полезный инструмент, который люди ценят. ЯССП молод, и будет продолжать улучшаться, но мы должны быть осторожны, чтобы сохранить его сосредоточены на защите хоста Solaris и сохраняют его размер в разумных пределах, чтобы что мы можем поддерживать это

Наконец, мы хотели бы поблагодарить всех людей, которые участвовали в списке рассылки YASSP или отправьте нам отзыв.Пожалуйста, продолжайте.

Еще в 1997 году перед нами стояла задача развернуть межсетевой экран и внешние серверы в разных местах по всему миру. Даже если конфигурация была стандартной и хорошо известной, мы быстро поняли, что поскольку местные навыки работы с Unix были неизвестны, нам нужно было помочь системам администраторов и предоставить способ установки этих серверов, чтобы мы может быть довольно комфортно, что результат этой установки был то, что мы ожидали увидеть.

Мы начали писать некоторые инструкции по установке и затем защитите эти серверы. Это было идеально для опытных систем администраторов, но мы быстро поняли, что что-то написанное не означает, что люди будут его читать, и что это руководство было написано для людей, понимающих контекст установки (опытных сеть, Unix, Solaris), что не всегда имело место на этих удаленных места.

Мы перевели эти инструкции в сценарий оболочки, очень примитивный, который должен был делать всю работу автоматически.Требовалось хорошее Навыки Unix у системного администратора, запустившего его, были очень болезненными. с существующим состоянием сервера, который должен был быть свежим установленная ОС и была разрушительной в том смысле, что файлы были заменен без бекапа. Невозможно было исправить ущерб, нанесенный это, также не было способа использовать его для выполнения другой задачи, кроме установка внешнего сервера, как определено нашей организацией.

Xerox PARC

В 1999 году автор обратился в исследовательский центр Xerox в Пало-Альто и смог уделить этому проекту больше времени.Идея заключалась в том, чтобы улучшить существующий базовый уровень и разрешить его использование конечным пользователем рабочие станции.

Сценарий оболочки был перенесен в формат пакета Sun, что позволило быть деинсталлированным и интегрированным в нашу (PARC) установку по умолчанию процесс.

Этот пакет вырос, включая множество предложений от его пользователей (в основном люди Xerox) и новые функции или настройки, собранные из различных источники.

В это время он предоставил возможность укрепить свежий Solaris установка будет использоваться в основном на открытом сервере (большая часть сервисы будут отключены), при необходимости не удалось установить.А общедоступная версия была доступна на нашем внешнем ftp-сайте и использовалась разные люди. Базовая документация существовала на том же сервере ftp.

SANS

В рамках института SANS мы создали команду для работы над инструментами для обеспечение безопасности Solaris. Эта команда (10 человек в начале, около 160 сейчас) был открыт для всех, кто решил потратить время на тестирование или обзор существующих инструментов и предоставление отзывов.

Это привело к серьезным изменениям в существующих инструментах.

Во-первых, область применения была расширена: она по-прежнему должна фокусироваться на экспонированных серверов, но также должны подходить для рабочих станций конечных пользователей.

Кроме того, он был изменен, чтобы разрешить ожидаемое состояние операционная система и возможность установки на существующую установку вместо того, чтобы требовать новой установки Solaris.

К нему были добавлены некоторые рекомендуемые инструменты безопасности, реализующие дополнительные функции, недоступные в Solaris.

Наконец, в дополнение ко всем исправлениям ошибок и улучшениям предложенный этой командой, инструмент был изменен, чтобы быть более подробным, иметь лучшую документацию и облегчить системному администратору способ настроить желаемый уровень безопасности.

Конечно, были подняты некоторые проблемы и некоторые хорошие словесные споры случались, но без этого жизнь была бы слишком тихой.

Почему он все еще существует?

На момент запуска было не так много инструментов, доступных для безопасный Solaris, но теперь существуют различные другие инструменты (Titan, Bastille-Solaris), и люди могут задаться вопросом, зачем мы тратим нашу энергию на создание и поддерживать отдельный инструмент, а не объединять наши усилия с существующие инструменты.

Первой причиной сохранения YASSP было то, что он существовал, был работал, использовался людьми и был им полезен, если мы верим, что отзывы, которые мы получили в то время.

Также YASSP правильно работает с пакетами Solaris и сохранит база данных чистая. Эта часть была уникальной для YASSP, как и уникальный файл конфигурации, который он предлагает.

Наконец, мы обнаружили, что для некоторых системных администраторов это было меньше сбивает с толку минимальное взаимодействие со сценарием, особенно с менее опытными системными администраторами Unix. Эти системы администраторы, практически не имеющие опыта работы с Unix / Solaris, могут требуется для установки сервера Solaris во враждебной среде.ЯССП сделает это по умолчанию.

Безопасность — это область, в которой выбор инструментов является плюсом. Более варианты выбора обеспечивают гибкость и более подходящие решения.

Перезагрузка командой: boot
Загрузочное устройство: диск Файл и аргументы:
SunOS Release 5.8 Версия Generic 64-бит
Авторские права 1983-2000 Sun Microsystems, Inc. Все права защищены.
настройка интерфейсов IPv4: hme0.
Имя хоста: zeta
Тонкая настройка Solaris TCP / IP: Solaris 7 или выше (отлично)
   настройка отдельных очередей подключений
   настройка против симптомов SYN-флуда
   настройка таймаутов
   настройка интервала обнаружения pMTU и общих таймеров
   настройка разное.параметры
   применение настроек безопасности ...
   настройка окон, буферов и водяных знаков
Выполнено.
Система приближается. Пожалуйста, подождите.
проверка файловых систем ufs
/ dev / rdsk / c0t0d0s5: чистый.
Установка сетевой маски hme0 на 255.255.255.0
запуск службы системного журнала.
sshd запускается.
Система готова.
ВНИМАНИЕ: Для защиты системы от несанкционированного использования и обеспечения того, чтобы
система работает правильно, действия в этой системе
контролируются, регистрируются и подлежат аудиту. Использование этой системы
выразили согласие на такой мониторинг и запись.Любые несанкционированные
доступ или использование этой Автоматизированной информационной системы запрещено и
могут быть привлечены к уголовной и гражданской ответственности.
логин консоли zeta: root
Пароль:
Последний вход: среда, 19 июля, 19:07:06 на консоли
Эта компьютерная система предназначена только для авторизованного использования.
# ps -eaf
     UID PID PPID C STIME TTY TIME CMD
    корень 0 0 0 22:49:18? 0:15 по расписанию
    корень 1 0 0 22:49:19? 0:00 / etc / init -
    корень 2 0 0 22:49:19? 0:00 разгрузка
    корень 3 0 0 22:49:19? 0:00 fsflush
    root 212 1 0 22:49:45 консоль 0:00 -sh
    корень 173 1 0 22:49:43? 0:00 / usr / sbin / syslogd
    корень 185 1 0 22:49:44? 0:04 / opt / local / sbin / sshd
    корень 227212 0 22:53:42 консоль 0:00 ps -eaf
    корень 168 1 0 22:49:42? 0:00 / usr / sbin / cron
# netstat -an
UDP: IPv4
   Локальный адрес Состояние удаленного адреса
-------------------- -------------------- -------
      *.514 Холостой ход
      *. * Несвязанный
TCP: IPv4
   Локальный адрес Удаленный адрес Swind Send-Q Rwind Recv-Q State
-------------------- -------------------- ----- ----- - ----- ------ -------
      *. * *. * 0 0 24576 0 ПРОСТОЙ
      * .22 *. * 0 0 32768 0 СЛУШАТЬ
      *. * *. * 0 0 32768 0 ПРОСТОЙ
TCP: IPv6
 Локальный адрес Удаленный адрес Swind Send-Q Rwind Recv-Q State If
---------------- ----------------- ----- ------ ----- - ----- ----------- -----
    *.* *. * 0 0 24576 0 ПРОСТОЙ
# pkgchk -n
 

Команды, вводимые системными администраторами, имеют фиксированную ширину . смелый; комментарии набираются курсивом римским шрифтом .

логин консоли zeta:  root
# ./install.sh
          Запуск сценария установки YASSP. 
<...>
Введите список пакетов, который вы хотите установить, или нажмите Return, чтобы принять
По умолчанию:
 SECclean GNUrcs GNUgzip PARCdaily WVtcpd PRFtripw
  <возврат>
          Мы решили установить все предложенные пакеты.
Вы хотите установить SSH (см. Файл SSH-COPYING для SSH
лицензия) ?: [y | n] (n)  г
          Нам нужен SSH. 
YASSP установит: SECclean GNUrcs GNUgzip PARCdaily WVtcpd PRFtripw SSHsdi
Установка различных пакетов:
==========
SECclean
==========
          Начало установки SECclean.
        Предварительная установка запускается, инициализирует некоторые переменные и файлы резервных копий.
        он изменится. 
Использование / opt / local в качестве корневого каталога.
Резервное копирование всех файлов в /yassp.bk/Before_2000.19.07-22.35.53:
<... Длинный список файлов ...>
         Предварительная установка завершена.
       Запускается установка: файлы, заявленные в прототипе, устанавливаются
       молча. Файлы, являющиеся частью класса sed в прототипе, являются
       изменить с помощью связанного сценария sed. 
Изменение <...>
...
         Запуск после установки. Сначала он читает переменные, хранящиеся в
       предустановка. 
Сценарий постинсталляции работает в автоматическом режиме. Это может занять некоторое время
на медленной машине. Просто будьте терпеливы
          Отключение файлов инициализации, которые мы заменим позже.
Отключение файлов автозагрузки: inetsvc inetinit network
          Изменение файлов запуска для управления yassp.conf. 
Изменение файлов запуска для использования /etc/yassp.conf: <... список всех запусков
файлы изменены ...>
          Создание /etc/yassp.conf, поскольку теперь мы знаем, какой файл запуска был изменен. 
Создание вашего /etc/yassp.conf по умолчанию
          Сохранение (в директории сохранения пакета) и удаление файлов.
        Некоторые из них позже будут заменены собственной версией SECclean.
Сохранение файлов: <... список файлов, резервные копии которых сделаны ...>
       Мы отменили регистрацию (удалили) все файлы, которые мы удалили из
     база данных пакетов.
        Теперь мы должны закрыть (removef -f) эти открытые пакеты. 
Закрывая пакет, который мы коснулись <... список имен пакетов ...>
       Это файлы, которые будут заменены SECclean
     версия. Они были установлены (как часть SECclean's
     файл-прототип) как / path / name / SECclean_ {name_of_the_file}, и
     зарегистрированы под этим именем как часть пакета SECclean.Мы
     сначала необходимо отменить регистрацию (удалить на SECclean) их. 
Обновление базы данных пакета SECclean: <... список файлов ...>
          и закройте SECclean (removef -f SECclean) 
Закрытие SECclean DB
         Переместите файлы из их SECclean_ {name} в {name} и
       зарегистрируйте их как часть SECclean (installf) 
Замена: <... список файлов ...>
          Файлы запуска для ОС: выберите правильную версию. 
Выбор правильных файлов запуска: /etc/init.d/inetsvc
/ etc / init.d / inetinit /etc/init.d/network для вашей ОС: Solaris 5.8
       Замена их, регистрация (installf) в составе SECclean
     пакет и создание символьной ссылки. 
Замена специальных файлов запуска: /etc/init.d/inetsvc
/etc/init.d/inetinit /etc/init.d/network и создание символической ссылки
          Закрытие (installf -f SECclean) SECclean. 
Повторное закрытие SECclean DB
          Специальная настройка ОС: для Solaris 8, без priority_paging 
Настройка / etc / system, чтобы закомментировать priority_paging
          Выполняется clean_passwd 
Очистка файла passwd...
 Отключение учетных записей UID 0:
Отключение системной учетной записи (ов):
        daemon bin sys adm lp uucp nuucp никого не слушай noaccess nobody4
 Удаление учетной записи (ов):
идентификатор root будет изменен на "Root at zeta"
файлы паролей и теней, сохраненные в /etc/passwd.Old и /etc/shadow.Old
          Выполняется очистка ОС: сначала запускаются fix-mode ... 
Выполнение очистки ОС
Запуск fix-mode 2.6 2000.01.13 14:13:35 casper
режимы исправления выполнены, файл журнала в: /var/sadm/clean-up/clean_up.log
          Затем исправляем известную несогласованность в установке Sun 
очистить базу данных содержимого
очистка завершена, файл журнала в папке: / var / sadm / clean-up / clean_up.бревно
Запуск / usr / lib / makewhatis / opt / local / man
          Мы закончили с SECclean, повторите сводку. 
   ================================================== ====
   Установка SECclean завершена.
   Изменения в файловой системе и базе данных пакетов задокументированы в:
      /var/sadm/clean-up/clean_up.log
   Все измененные или замененные файлы архивируются в
      /yassp.bk
   Если существует, crontab для пользователей:
      lp adm uucp root
   был удален. Пожалуйста, повторно включите вручную необходимые записи
   Резервные копии файлов crontab находятся в:
      / yassp.bk / var / spool / cron / crontabs /
   Для завершения закалки этот хост необходимо перезагрузить.
   Однако сначала вы должны убедиться, что /etc/yassp.conf настроен
   к вашим требованиям. См. Также yassp (1) и yassp.conf (4).
   ================================================== ====
Установка  прошла успешно.
==========
GNUrcs
==========
Установка  прошла успешно.
==========
GNUgzip
==========
Установка  прошла успешно.
==========
PARCdaily
==========
Изменение / usr / lib / newsyslog
Установка  прошла успешно.==========
WVtcpd
==========
          tcp_wrappers добавить пример того, как его использовать, в комментарии в /etc/inetd.conf 
Изменение /etc/inet/inetd.conf
          и установите какой-нибудь файл конфигурации по умолчанию, если его нет. 
Создание /etc/hosts.deny из файла раздачи
 *** Пожалуйста, настройте его!
Создание /etc/hosts.allow из файла раздачи
 *** Пожалуйста, настройте его!
Установка  прошла успешно.
==========
PRFtripw
==========
          Файл конфигурации по умолчанию создается, если его не было.
Создание /secure/tripwire/tw.config из дистрибутива:
/secure/tripwire/tw.config.Dist
 *** Пожалуйста, настройте его!
теперь вы можете использовать tripwire.
Введите: "cd / secure / tripwire /; ./tripwire -i 2 -initialise -c tw.config"
    для создания новой базы данных,
Используйте "cd / secure / tripwire /; ./tripwire -q -i 2 -c tw.config"
    проверить,
 ***** СОХРАНИТЕ БАЗУ ДАННЫХ В НАДЕЖНОМ МЕСТЕ *****
Установка  прошла успешно.
==========
SSHsdi
==========
Изменение /etc/syslog.conf
         Файлы конфигурации по умолчанию  создаются, если их нет.
Создание / etc / ssh_config из файла раздачи
 *** Пожалуйста, настройте его!
Создание / etc / sshd_config из файла раздачи
 *** Пожалуйста, настройте его!
          Генерируем ключи, если их не было. 
Инициализация генератора случайных чисел ...
<...>
Ваш открытый ключ был сохранен в /etc/ssh_host_key.pub
ssh установлен.
запустите '/etc/init.d/sshd stop; /etc/init.d/sshd start' и перезапустите syslogd
использовать новые двоичные файлы / конфигурацию
Установка  прошла успешно. Установка YASSP завершена, теперь заново создайте базу данных whatis, если она была. 
Восстановление базы данных whatis
ЯССП установлен.
Большинство этих изменений вступят в силу при следующей перезагрузке.
**** ВАША РАБОТА ЕЩЕ НЕ ВЫПОЛНЕНА ****
     *) Отредактируйте и настройте /etc/yassp.conf
     *) Отредактируйте и настройте /etc/hosts.deny /etc/hosts.allow
     *) Отредактируйте и настройте / etc / sshd_config / etc / ssh_config
     *) Прочтите https://yassp.parc.xerox.com/after.html
        и документы по ссылке https: // yassp.parc.xerox.com/ref.html
     *) внесение дополнительных изменений / установка ПО
     *) СОЗДАЙТЕ БАЗУ ДАННЫХ tripwire И СОХРАНИТЕ ЕЕ !!!
 Тип:
vi /etc/yassp.conf /etc/hosts.deny /etc/hosts.allow / etc / sshd_config
  / etc / ssh_config; cd / secure / tripwire; ./tripwire -i 2 -initialise -c
  tw.config; cp /secure/tripwire/databases/tw.db_zeta TO_A_SECURE_PLACE
   *** ВАШ отзыв *** важен: пожалуйста, отправляйте комментарии или пламя по адресу:
            [email protected], [email protected]
            с "ЯССП" в теме
#  перезагрузка
     

Как работает защита агента для зон Solaris?

Deep Security Agent можно развернуть либо в глобальной зоне Solaris, либо в зоне ядра. Если в вашей среде Solaris используются какие-либо неглобальные зоны, защита, которую агент может обеспечить для глобальной зоны и неглобальных зон, будет отличаться для каждого модуля защиты:

См. Установка агента Solaris. Подробнее об установке Deep Security Agent в Solaris.

Для получения информации о защите доменов Solaris см. Как работает защита агента для управляющих и логических доменов Solaris ?.

Предотвращение вторжений (IPS), брандмауэр и веб-репутация

Если в вашей среде Solaris используются неглобальные зоны, модули предотвращения вторжений, брандмауэра и Web Reputation могут обеспечивать защиту только определенных потоков трафика между глобальной зоной, неглобальными зонами и любыми внешними IP-адресами.Какие потоки трафика может защитить агент, зависит от того, используют ли неглобальные зоны сетевой интерфейс с общим IP или сетевой интерфейс с эксклюзивным IP.

используют сетевой интерфейс с эксклюзивным IP, а защита потоков трафика агентом ограничена этой сетевой конфигурацией.

Неглобальные зоны используют сетевой интерфейс с общим IP

Защита агентом потоков трафика в конфигурации с общим IP выглядит следующим образом:

Неглобальные зоны используют сетевой интерфейс с эксклюзивным IP

Защита агентом потоков трафика в конфигурации с эксклюзивным IP выглядит следующим образом:

Защита от вредоносного ПО, мониторинг целостности и проверка журналов

Модули Anti-Malware, Integrity Monitoring и Log Inspection обеспечивают защиту глобальной зоны и любых зон ядра, в которых установлен агент.Для неглобальных зон все файлы или каталоги, которые также видны в глобальной зоне, защищены. Файлы, относящиеся к неглобальной зоне, не защищены.

Solaris Security — для системных администраторов — Peter H Gregory

Системные администраторы: узнайте особенности создания вашего безопасность системы, будь то сеть в масштабе всей организации или автономная рабочая станция.Автор-эксперт Питер Грегори управляемая безопасность для всего, от сверхсекретных корпоративных исследовательские центры в казино. Воспользуйтесь его опыт для создания безопасной и надежной системы вашего собственный.

Solaris Security рассматривает физические, логические и человеческие факторы, влияющие на безопасность, в том числе:

• PROMS, физическая безопасность, пути загрузки, разрешения, инструменты аудита, системные журналы, пароли и многое другое
• Безопасные сетевые интерфейсы и сервисы для удаленных и Доступ в Интернет, обнаружение вторжений, контроль доступа, электронная почта и печать.
• Повышенная безопасность для NIS, NIS +, DNS и NFS
• Краткое руководство по поддержке безопасных систем в Среда Solaris
• Автономные и сетевые системы под управлением Solaris
• Специальный раздел по подготовке к бедствиям и восстановлению операции

Каждая глава открывается контрольным списком ключевых тем и их значение, поэтому вы можете быстро найти информацию тебе нужно. Независимо от того, являетесь ли вы менеджером по безопасности, информация технический / системный менеджер или сетевая безопасность администратор, Solaris Security — единственный ресурс, чтобы ответить на все ваши вопросы и получить ваши системы в форме сейчас и на будущее.

Содержание

Список рисунков

Список таблиц

Предисловие

Предисловие

Часть первая: Введение

Глава 1: Проблема безопасности

Причины слабых мест в системе безопасности

Рост сетевых подключений

Уязвимости в программном обеспечении

Сотрудники и подрядчики

Мотивированные и находчивые хакеры

Политика сайта

Глава 2: Парадигма безопасности

Принцип 1: Хакер, взламывающий вашу систему Вероятно, это будет кто-то, кого вы знаете

Принцип 2: никому не доверяй или будь осторожен с кем ты Требуется доверие

Принцип 2а: Не доверяйте себе и не проверяйте Все, что вы делаете

Принцип 3: Заставить потенциальных злоумышленников поверить в то, что они будут Быть пойманным

Принцип 4: Многослойная защита

Принцип 5: Планируя свою стратегию безопасности, Предположить полный отказ какой-либо отдельной ценной бумаги Слой

Принцип 6: Сделайте безопасность частью начального Типовой проект дома

Принцип 7: Отключите ненужные службы, пакеты и Возможности

Принцип 8: Перед подключением, поймите и Безопасность

Принцип 9: Готовьтесь к худшему

Девять принципов: образ жизни

Часть вторая: автономный Система

Глава 3: PROM, OpenBoot и физическая безопасность

Что такое PROM?

Что такое OpenBoot?

Почему пользователи не должны использовать OpenBoot

Защита OpenBoot путем установки параметров безопасности

Процедуры изменения уровней безопасности OpenBoot

Все пароли утеряны — процедура частичного восстановления

Рекомендации по загрузочному устройству

Изменить баннер OpenBoot

Восстановить утерянный пароль root

Соображения физической безопасности

Защита от краж и доступа

Аудиторские ППЗУ

Пароли OpenBoot

Приводы компакт-дисков

Резервный носитель

Носитель с выпуском ОС

Куда обратиться за дополнительной информацией

Глава 4: Файловая система

Что такое файловая система?

Некоторым приложениям требуются открытые разрешения

Общие сведения о разрешениях для файлов и каталогов

Кто: пользователь, группа и другие

Сводка разрешений: чтение, запись, выполнение, SetUID, SetGID, липкий бит

Собираем все вместе: кто и что

Как просматривать разрешения для файлов и каталогов

Разрешения: числовая форма

Установка разрешений для файлов и каталогов — числовые

Установка разрешений для файлов и каталогов — символический

umask и как это работает

Права доступа к файлам по умолчанию и маска

umask корневого пользователя

Разрешения каталога по умолчанию и маска

Как найти файлы с определенным разрешением Настройки

Разрешения на доступ к системным устройствам

Инструменты аудита файловой системы

ASET

КОПЫ

Тигр

Tripwire

lsof (список открытых файлов)

Другие средства и методы обеспечения безопасности

Проверка / и т.д. Разрешения

Обеспечьте правильные разрешения utmp и utmpx

Используйте инструмент Fix-Mode для повышения безопасности

Используйте команду термоэлемента

Используйте команду ls для отображения скрытых файлов и скрытых файлов. Символы в именах файлов

Псевдоним команды rm

Произвести случайное изменение номеров Inode файловой системы с помощью fsirand

Квоты для файловой системы

Списки контроля доступа к файловой системе

Куда обратиться за дополнительной информацией

Глава 5: Учетные записи пользователей и среды

Введение

Безопасность учетной записи пользователя

Корневой аккаунт

Другие административные учетные записи и группы

Учетные записи пользователей

Когда пользователям нужны привилегии root

ПУТЬ и LD_LIBRARY_PATH

Файлы пароля, теней и групп

Файл паролей

Файл теней

Защита паролем

Группы UNIX

Файл / etc / default / passwd

Корневой доступ

Прямой вход в систему с root-доступом

Команда su

Безопасность оболочки и приложений

Принудительный запуск приложения

Включить имя системы в приглашение корневой оболочки

Ограниченная оболочка

Среда входа по умолчанию

Запись непосредственно в консоль

Переполнение буфера программы

Дополнительная информация о процессе

Безопасность X-Windows

Блокировка экрана X-Windows, Руководство

Блокировка экрана X-Windows, Авто

Разрешения на отображение в X-Windows

Инструменты аудита

КОПЫ

Трещина

Куда обратиться за дополнительной информацией

Глава 6: Запуск и завершение работы системы

Уровни работы системы

Определение текущего рабочего уровня

Запуск системы

ПРОМ

инициализация

Многопользовательский режим

Радиоуправляемый механизм

Отключение системы

инициализация

uadmin

Дополнительная информация о RC-файлах

Изучен пример RC-файла

Аудит механизмов запуска и выключения

КОПЫ

Tripwire

Изменение механизмов запуска и выключения

Добавление сценариев запуска и завершения работы

Изменение сценариев запуска и завершения работы

Отключение сценариев запуска и завершения работы

Подробнее о связанных файлах автозагрузки

Куда обратиться за дополнительной информацией

Глава 7: cron и at

хрон

Что такое cron?

Как работает cron

Как настраивается cron

Конфигурация пользователя cron

Доступ пользователей к системе cron

в

Что есть?

Как работает

Доступ пользователей к системе

Распространенные ошибки, которых следует избегать

Неспособность надлежащим образом скрыть программы, запущенные cron

Оставление файлов crontab для всеобщего обозрения

Небезопасные элементы PATH в сценариях, запущенных cron

Неопределенные элементы PATH в скриптах, запущенных cron

Использование stdin и stdout в cron и в заданиях

Инструменты аудита

Tripwire

КОПЫ

Куда обратиться за дополнительной информацией

Глава 8: Системные журналы

Что такое системный журнал

системный журнал

Объекты системного журнала и уровни серьезности

Обозначение классификации сообщений системного журнала

Конфигурация системного журнала

Отладка системного журнала

логин

сулонг

Последняя запись

Журнал диспетчера томов

Журнал установки

Журнал sysidtool

Инструменты для ведения журнала

Logcheck

Куда обратиться за дополнительной информацией

Часть третья: Система, подключенная к сети

Глава 9: Сетевые интерфейсы и службы

Сети

Сетевые интерфейсы

Характеристики сетевого интерфейса

Конфигурация сетевого интерфейса

ifconfig

ndd

Отключить переадресацию IP с помощью / etc / notrouter

netstat

/ и т.д. / inet / хосты

/ и т. Д. / Inet / netmasks

/ etc / defaultrouter

/ etc / nodename

/ etc / hostname.интерфейс

Как настраиваются адаптеры

Беспорядочный брак

Сетевые службы

Ненужные услуги

Номера сетевых служб

Конфигурация сетевых служб

Как запускаются сетевые службы

Сетевые службы демона не запускаются с inetd

Маршрут

Добавление статических маршрутов

Добавление динамических маршрутов

Использование Snoop

Куда обратиться за дополнительной информацией

Глава 10: Сетевая / системная архитектура

Что такое архитектура?

Simple vs.Комплексная архитектура

Принципы архитектуры

Принцип 1: Минимизируйте количество точек отказа (или Сократите критический путь)

Принцип 2: Держите услуги ближе к тем, кто есть Обслужено

Принцип 3: Вертикальное выравнивание служб с их Приложения

Принцип 4: Подготовьтесь к расширению сети Разметка

Глава 11: Электронная почта

Обзор электронной почты

Транспортный агент

Агент доставки

Пользовательский агент

Типы слабых мест в защите электронной почты

Протокол аутентификации (или Identd)

Посредник сообщений

Маршрутизация от источника сообщений

Конфиденциальность

Подлинность

Устранение слабых мест в защите электронной почты

Запускать Sendmail только на почтовых серверах

Отключить внутренние почтовые серверы от Интернета

Запретить маршрутизацию источника сообщений

Внедрение шифрования почты и цифровых подписей

Заменить Sendmail

Удаление ненужных псевдонимов электронной почты

Орудие Smrsh

Агрегат ForwardPath

Куда обратиться за дополнительной информацией

Глава 12: Печать

Архитектура печати

Каталоги подсистемы печати

Аудит каталогов подсистемы печати

Локальная печать

Локальные устройства печати

Как определить, какое устройство является конкретным принтером Использует

Разрешения для устройства печати

Аудит разрешений устройства печати

Ограничение доступа к принтерам и серверам печати

Прямой доступ к сетевым принтерам

Куда обратиться за дополнительной информацией

Глава 13: Контроль доступа к сети

Принципы управления доступом к сети

Ненужные точки доступа к сети — безопасность Риски

Неохраняемые точки доступа к сети представляют угрозу безопасности

Необходимые и ненужные услуги

Как отключить ненужные службы

Усиление контроля доступа к сети

Трассировка подключений inetd

Оболочки TCP

Общественное достояние rpcbind

.Файл rhosts — шлюз к r-командам

/etc/hosts.equiv Файл

Аудит файлов .rhosts и hosts.equiv

Безопасная замена для telnet, rsh и rlogin

ftp

тфтп

X-Windows небезопасна

Межсетевые экраны

Доступность системы тестирования

Сатана

МКС

Обнаружение вторжений

Syn

Клаксон

Кортни

Токсин

Габриэль

Обнаружение вторжений: постоянная информация

Аутентификация

Аутентификация системы

DES (Diffie-Hellman) Аутентификация

Проверка подлинности Kerberos

Виртуальные частные сети

ПРОПУСТИТЬ

IPsec

Куда обратиться за дополнительной информацией

Глава 14: Службы имен

Служба доменных имен (DNS)

/ etc / nsswitch.conf

/etc/resolv.conf

Недостатки безопасности DNS и решения

Слишком много информации в Интернете

Незаконная передача зоны с DNS-серверов

Различия между nslookup и фактическим DNS Запросы

общедоступный DNS (BIND)

Инструмент общественного достояния DIG

Отключить кеширование nscd

Знайте свою версию BIND

шек.

Получение и установка NISKIT

Недостатки безопасности NIS и их решения

Переместить карты NIS из каталога / etc

Защитить каталог карт NIS

Используйте трудно угадываемое доменное имя NIS

Реализация / var / yp / securenets

Hide Shadow Fields

Избегайте незаконных серверов NIS

Не допускайте доступа к корневым и другим административным учетным записям

шек.

Отключить кеширование nscd

Другие слабые стороны шекелей

шек. +

шекелей + права доступа по умолчанию

Права доступа для принципала никто

шекелей + уровень безопасности

Администрация шекелей +

Резервное копирование столов NIS +

Сброс шекелей + транзакции

Хранить корневые и другие административные учетные записи Шекелей +

Отключить кеширование nscd

Переключатель службы имен

NSCD

Куда обратиться за дополнительной информацией

Глава 15: NFS и Automounter

NFS

Операции NFS

Повышение безопасности с помощью общего ресурса NFS

Повышение безопасности с помощью монтирования NFS

Повышение безопасности путем настройки NFS Portman

Аутентификация NFS

Серверы как клиенты NFS

Списки NFS и контроля доступа

NFS в сети

Отключение NFS

Автомат счетчика

Карты косвенного счетчика

Карты прямого автомонтирования

Просмотр автомонтера

Автомонитор и коммутатор службы имен

Отключение автомонтера

Куда обратиться за дополнительной информацией

Часть четвертая: Катастрофа и Восстановление

Глава 16: Подготовка к восстановлению системы

Что может и пойдет не так

Стихийное бедствие

Техногенная катастрофа

Внутренний сбой энергосистемы

Аппаратный сбой

Ошибка администратора UNIX

Ошибка документации

Ошибка программиста

Ошибка пользователя

Диверсия

Подготовка к восстановлению

Создание группы реагирования на инциденты

Проектирование файловой системы

Геометрия файловой системы

Резервное копирование на ленту

Тестирование восстановления системы

Релиз СМИ

Журналы системных событий

Solaris и исправления для инструментов

Приводы компакт-дисков

Соглашения об обслуживании оборудования и программного обеспечения

Храните запасные части оборудования

Копии критических серверных PROM

Свободное дисковое пространство

Документация по восстановлению

Контакты и перекрестное обучение

Партнер с внутренними поставщиками

Партнер с внешними поставщиками

Куда обратиться за дополнительной информацией

Часть пятая: Приложения

Приложение A: Интернет-источники информации о безопасности

Веб-сайты безопасности

Веб-сайты хакеров

Списки рассылки по безопасности

Патчи

Приложение B: Интернет-источники для общественной безопасности Инструменты

Средства безопасности TCP / IP

ISS (сканирование интернет-безопасности)

Сатана (Инструмент администратора безопасности для анализа Сети)

копий в минуту (проверьте неразборчивый режим)

tcpdump (мониторинг сети и сбор данных)

Средства безопасности контроля доступа

Оболочки TCP

rpcbind

Ssh (защищенная оболочка)

Kerberos

русификатор (взломщик паролей)

fwtk (набор средств межсетевого экрана)

S / ключ

Средства обнаружения вторжений

Клаксон

Кортни

Токсин

Габриэль

син.

Средства безопасности файловой системы

Тигр

Tripwire

КОПЫ

Средства шифрования

PGP

MD5

Средства защиты электронной почты

SMAP (оболочка sendmail)

sendmail V8 (общественное достояние sendmail)

Postfix (ранее Vmailer)

смрш

Инструменты DNS

Общественное достояние BIND

Копание

Другие инструменты DNS

Другие инструменты и источники

logcheck

lsof (список открытых файлов)

Patchdiag

фиксированные режимы

перл

Вашингтонский университет ftpd

Сайт средств безопасности

Инструменты CERT

Инструменты CIAC

COAST Tools

Инструменты Дуга

СПИСОК (Лаборатория информационной безопасности Технологии)

Средства безопасности

Сайт бесплатного программного обеспечения Sun

Коллекция средств безопасности UNIX Wietse Venema

Сайты хакерских инструментов

Приложение C: Получение и применение исправлений Solaris

Источники информации об обновлении

Общие сведения об исправлениях Solaris

Общие сведения о кластерах исправлений Solaris

Источники патчей

Стратегии установки исправлений

Перед установкой исправлений

Какие патчи устанавливать

Тестовые патчи

Для исправлений, требующих перезагрузки системы

Программа patchdiag

Процедура установки патча, Solaris 2.х — 2.5.1

Процедуры установки исправлений для Solaris 2.6 и Solaris 7

Обновления ОС Solaris

Куда обратиться за дополнительной информацией

Приложение D: Рекомендуемая литература

Книги

Публикации и статьи в Интернете

Публикации SunSolve

Периодические издания в Интернете

Интернет-RFC

Приложение E: Продукты безопасности Solaris

Солнцезащитный экран EFS

Солнцезащитный крем SPF

Солнцезащитный экран SKIP

Sun Security Manager

SunScreen SecureNet

Надежный Solaris

Куда обратиться за дополнительной информацией

Приложение F: Реализация безопасности C2

Что такое C2 Security?

Значение C2 Security

Включение безопасности C2

Отключение безопасности C2

Управление безопасностью C2

Конфигурация C2 Audit Capture

Управление журналами C2

Управление производительностью

Аудиторские события

Анализ журнала аудита

Управление съемными носителями

Распределение устройств

Рекомендации

Куда обратиться за дополнительной информацией

Приложение G: Проверка целостности общественного достояния Программное обеспечение

Проверка с использованием PGP

Проверка с использованием MD5

Куда обратиться за дополнительной информацией

Приложение H: Глоссарий атак

Приложение I: Контрольный список безопасности системы

Индекс