使用Yassp工具包安裝安全的Solaris系統 (四)
2024-07-26 00:29:36
供稿:網友
11、安裝完整性檢測工具:如Tripwire
應該經常對系統中文件的完整性進行檢查�,以確保他們沒有被惡意的改變�。Solaris提供了
"pkgchk -n"命令將安裝的文件大小、權限及校驗與package數據庫進行比較�。但是檢驗是可以會
欺騙的,數據庫也可能會被更改�。因此,真正需要的是采用安全的hashing算法的文件完整性檢查
工具�。
Yassp將在/secure/tripwire中安裝tripwire�。它采用多種hashing算法�。
系統安裝到這個階段,我們建議對新配置的系統及文件創建快照(snapshot)�,初始化tripwire的
數據庫,定期進行檢查變動情況�。如果有可能的話,將主數據庫單獨保存�。
文件完整性檢查的可選功能
* Tripwire:有免費和商業兩種版本
* 建議在中心服務器上使用商業版本,更加穩定�,在其它主機上使用免費的版本。
* PGP可用�,PGP can also be used,by signing files to be PRotected(creating lots of
signature files),then writing a script to check the validity of signatures.This will
not catch permission,link,inode or modify date changes though.
* md5 signatures(單向hash算法)可能同樣使用,但是MD5簽名列表不要保存在被監視的主機上�,
除非已經加密或者PGP signed。
使用免費Tripwirer例子:
* Yassp安裝/secure/tripwire/tripwire及缺少的配置tw.config�,也可以獲得源代碼后自行編譯
。
* 如果需要�,編輯/secure/tripwire/tw.config,符合自己要求�。
* 接下來,做系統的初始狀態�。
cd /secure/tripwire; ./tripwire -i 2 -initialise -c tw.config建立一個新的文件數據庫
??赡軙幸恍┪募o法找到的報錯信息,忽略它們�。把新產生的數據庫(在
/secure/tripwire/database)復制到軟盤上。在將來如果懷疑系統遭受攻擊或者改動時�,可以使
用此文件。
* 可以在cron中設置每天進行檢查�,也可以手工進行
./tripwire -i 2 -c tw.config
* 告訴tripwire�,文件及目錄的改變正常
tripwire -update [/file1 /file2 /patch3.....]
* improvements:
* tripwire數據庫如果保存在同一主機上,應壓縮并加密�,或者用強加密工具(如PGP)對其進行
sign。
* 從一臺信任主機上檢查其它系統�,復制tripwire及其數據庫,通過SSH遠程運行它�,檢查完后,
刪除數據庫文件�。
* 這樣使得攻擊者難于覺察系統采用了tripwire進行監控。
* 閱讀腳本trip_host.sh�,過濾掉“無文件及目錄”報錯。它必須從‘master'主機上運行�,對目
標機有SSH信任關系。
第一次運行
/secure/tripwire/trip_host.sh -init HOST
以后每次運行
/sevure/tripwire/trip_host.sh -check HOST
將database文件妥善保存�。
12、安裝�、測試、加固應用程序
特定的應用�,如FTP、DNS�、Email等將在其它文章中論述�。
13、開始使用
準備使用
1.如果不再需要使用CD-ROM�,在/etc/yassp.conf中關閉volume manager。如果在今后需要安裝
CD�,手工啟動vold進行新設備的檢測:
drvconfig;disks;vold &; df -k
2.如果在安裝調試的過程當中,必須將/opt及/usr分區安裝成為read-write�,那么此時,將它們
mount成為read-only�。
3.重新做tripwire的初始化�。
4.將系統備份到兩盤磁帶上�,one offsite。
5.使用掃描器掃描系統�,確保只有需要的服務開啟。
6. 請其他人做測試�,避免遺漏。
7. 詳細檢查-什么在工作?什么被禁止�?檢查控制臺/log的內容,系統是否如希望那樣工作�?經
常檢查日志記錄。
日常維護
* 使用Sun的Patchdiag進行補丁的檢查�,需要就進行升級。對于內核的補丁�,要在別的機器上先
進行測試。
* 檢查所有的錯誤日志及異常行為:syslog(/var/adm/messages或
/var/log/*log),/var/cron/log,last,/var/adm/sulog,/var/adm/loginlog,application/server
日志記錄�。
* 編寫腳本,報告關鍵進程是否正常�,關鍵的系統是否可以ping通。
* 運行tripwire�。
* 定期查看最新的漏洞及風險報告。
===================================================================================
此文的原文在這里
http://www.boran.com/security/sp/Solaris_hardening3.html
我水平有限�,翻譯中一定有很多錯誤,而且也有不少不明白的地方�,希望大家一起討論�,指出
其中理解錯誤的地方,共同提高�。
東方
2001.3.16
