使用Yassp工具包安裝安全的Solaris系統 (四)
2024-07-26 00:29:36
供稿:網友
11、安裝完整性檢測工具:如Tripwire
應該經常對系統中文件的完整性進行檢查,以確保他們沒有被惡意的改變。Solaris提供了
"pkgchk -n"命令將安裝的文件大小、權限及校驗與package數據庫進行比較。但是檢驗是可以會
欺騙的,數據庫也可能會被更改。因此,真正需要的是采用安全的hashing算法的文件完整性檢查
工具。
Yassp將在/secure/tripwire中安裝tripwire。它采用多種hashing算法。
系統安裝到這個階段,我們建議對新配置的系統及文件創建快照(snapshot),初始化tripwire的
數據庫,定期進行檢查變動情況。如果有可能的話,將主數據庫單獨保存。
文件完整性檢查的可選功能
* Tripwire:有免費和商業兩種版本
* 建議在中心服務器上使用商業版本,更加穩定,在其它主機上使用免費的版本。
* PGP可用,PGP can also be used,by signing files to be PRotected(creating lots of
signature files),then writing a script to check the validity of signatures.This will
not catch permission,link,inode or modify date changes though.
* md5 signatures(單向hash算法)可能同樣使用,但是MD5簽名列表不要保存在被監視的主機上,
除非已經加密或者PGP signed。
使用免費Tripwirer例子:
* Yassp安裝/secure/tripwire/tripwire及缺少的配置tw.config,也可以獲得源代碼后自行編譯
。
* 如果需要,編輯/secure/tripwire/tw.config,符合自己要求。
* 接下來,做系統的初始狀態。
cd /secure/tripwire; ./tripwire -i 2 -initialise -c tw.config建立一個新的文件數據庫
。可能會有一些文件無法找到的報錯信息,忽略它們。把新產生的數據庫(在
/secure/tripwire/database)復制到軟盤上。在將來如果懷疑系統遭受攻擊或者改動時,可以使
用此文件。
* 可以在cron中設置每天進行檢查,也可以手工進行
./tripwire -i 2 -c tw.config
* 告訴tripwire,文件及目錄的改變正常
tripwire -update [/file1 /file2 /patch3.....]
* improvements:
* tripwire數據庫如果保存在同一主機上,應壓縮并加密,或者用強加密工具(如PGP)對其進行
sign。
* 從一臺信任主機上檢查其它系統,復制tripwire及其數據庫,通過SSH遠程運行它,檢查完后,
刪除數據庫文件。
* 這樣使得攻擊者難于覺察系統采用了tripwire進行監控。
* 閱讀腳本trip_host.sh,過濾掉“無文件及目錄”報錯。它必須從‘master'主機上運行,對目
標機有SSH信任關系。
第一次運行
/secure/tripwire/trip_host.sh -init HOST
以后每次運行
/sevure/tripwire/trip_host.sh -check HOST
將database文件妥善保存。
12、安裝、測試、加固應用程序
特定的應用,如FTP、DNS、Email等將在其它文章中論述。
13、開始使用
準備使用
1.如果不再需要使用CD-ROM,在/etc/yassp.conf中關閉volume manager。如果在今后需要安裝
CD,手工啟動vold進行新設備的檢測:
drvconfig;disks;vold &; df -k
2.如果在安裝調試的過程當中,必須將/opt及/usr分區安裝成為read-write,那么此時,將它們
mount成為read-only。
3.重新做tripwire的初始化。
4.將系統備份到兩盤磁帶上,one offsite。
5.使用掃描器掃描系統,確保只有需要的服務開啟。
6. 請其他人做測試,避免遺漏。
7. 詳細檢查-什么在工作?什么被禁止?檢查控制臺/log的內容,系統是否如希望那樣工作?經
常檢查日志記錄。
日常維護
* 使用Sun的Patchdiag進行補丁的檢查,需要就進行升級。對于內核的補丁,要在別的機器上先
進行測試。
* 檢查所有的錯誤日志及異常行為:syslog(/var/adm/messages或
/var/log/*log),/var/cron/log,last,/var/adm/sulog,/var/adm/loginlog,application/server
日志記錄。
* 編寫腳本,報告關鍵進程是否正常,關鍵的系統是否可以ping通。
* 運行tripwire。
* 定期查看最新的漏洞及風險報告。
===================================================================================
此文的原文在這里
http://www.boran.com/security/sp/Solaris_hardening3.html
我水平有限,翻譯中一定有很多錯誤,而且也有不少不明白的地方,希望大家一起討論,指出
其中理解錯誤的地方,共同提高。
東方
2001.3.16
