三、Solsris系统补丁安装
跟所有的操作系统一样,Solaris系统也不可避免地有它的漏洞,其中一些从可能产生的攻击后果来说几乎是灾难性的。SUN
公司有向它的客户提供补丁的优良传统,这些补丁以集合包或者单个补丁的形式存在。不幸的是,要完全修补我们的系统,既需要大的补丁集合包,又需要单个的补丁,我们这里介绍一种把补丁包和单个补丁结合起来使用的方法。
(1)以root身份登录系统。
(2)键入umask 022来设置您的许可模式(给系统打补丁不仅要求所有的补丁被“nobody”用户可读,而且包括补丁之前的所有目录)。
(3)创建一个叫patch的目录,并进入它。
# mkdir export/home/patch
# cd /export/home/patch
(4)用ftp连接sunsolve站,得到所有Solaris操作系统版本的PatchReport文件,下载对应于服务器操作系统版本的补丁报告文件(如get Solaris7.PatchReport),进而下载报告中所标记的补丁包和单个补丁。
(5)解压补丁包后,把所有单个的补丁加到patch_order文件中,在这个文件中列出了所有将被install_cluster脚本安装的补丁。
(6)解压所有单个的补丁包:ls *.zip | xargs-n1 unzip。
(7)现在所有的补丁都准备好了,重新启动计算机到单用户模式:
# boot -s
# mountall (mount所有的文件系统)
# cd /export/home/patch(进入保存所有补丁的目录)
# ./nstall_cluster
安装完后重启服务器即可。
四、防止Solaris系统遭受攻击的安全设置
(1) 阻止ping
鉴于攻击者一般先进行远程ping测试以寻找目标,进行阻止系统被ping时的回应,安全性自然增加了。
在/etc/rc.d/rc.local文件中增加如下内容:
echo 1 >/proc/sys/net/ipv4/
icmp_echo_ignore_all
(2) 防止IP欺骗
IP欺骗运用过程如下:首先,目标主机已经选定;其次,信任模式已被发现,并找到了一个被目标主机信任的主机。
黑客为了进行IP欺骗,会进行以下工作:使被信任的主机丧失工作能力,同时采样目标主机发出的TCP序列号,猜测出它的数据序列号,然后伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。成功后黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。
可编辑host.conf文件并增加如下几行内容来防止IP欺骗攻击:
order bind,hosts
multi off
nospoof on
(3) 防止DoS攻击
DoS(Denial of Service)攻击是一种很简单但又很有效的攻击方式,首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终将被耗尽,从而对合理请求也拒绝服务。
对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。
例如,可以在/etc/security/limits.conf中添加如下几行:
* hard core 0
* hard rss 50000 (限制使用内存为50M)
* hard nproc 50 (限制进程数为50个)
然后编辑/etc/pam.d/Login文件检查下面一行是否存在。
session required /lib/security/pam_limits.so
以上的系统安全措施能够很大程度上减少系统漏洞,增强Solaris系统的安全性。建议系统管理员同时在网络边界路由上对服务器做先允许后全部拒绝的ACL访问列表进行包过滤,管理员在日常的管理工作中还可以利用报文监听工具对所管理网络中的数据报文进行捕获、分析,进而发现服务器中存在的安全漏洞。这类工具中较专业的有Sniffer、Snoop、Tcpdump、Netman等。
