陳栓

摘 要Solaris為Sun Microsystems研發(fā)的一種計(jì)算機(jī)操作系統(tǒng)，主要用于民航、廣電、電力企業(yè)自動(dòng)化管理，并且體現(xiàn)了非常高的實(shí)用性、可靠性與可擴(kuò)展性，除了能夠?qū)ο到y(tǒng)持續(xù)性以及穩(wěn)定性進(jìn)行保證，也可以滿足今后企業(yè)業(yè)務(wù)增長的需求。但SUN SOLARIS系統(tǒng)本身存在安全性方面的問題，所以，構(gòu)建一個(gè)安全的SUN SOLARIS系統(tǒng)非常必要。本文以此為前提，重點(diǎn)分析了構(gòu)建安全的SUN SOLARIS系統(tǒng)的幾點(diǎn)建議，目的在于實(shí)現(xiàn)空管的蓬勃發(fā)展。

【關(guān)鍵詞】安全 SUN SOLARIS系統(tǒng) 構(gòu)建 可擴(kuò)展性

Solaris系統(tǒng)本身具有一定的安全性，并且能夠滿足空管系統(tǒng)在安全性方面的要求，然而無論任何一個(gè)系統(tǒng)都會(huì)面臨安全隱患，加之Solaris系統(tǒng)在中南空管局各地區(qū)分局的運(yùn)用比較普遍，安全問題自然無可避免。在系統(tǒng)發(fā)展的過程中，與之相對應(yīng)的Patch系統(tǒng)也在不斷更新，這也就證明了安全性的問題。為了使安全保障得到提升，文章以Solaris系統(tǒng)入手，分析了Solaris系統(tǒng)安全問題，并探討了SUN SOLARIS系統(tǒng)中存在的安全漏洞，提出了一系列解決對策。

1 Solaris系統(tǒng)的安全配置

1.1 加強(qiáng)本地安全

這其中包含一些限制命令訪問、正確文件權(quán)限的設(shè)置、應(yīng)用組與用戶概念、suidPsgid文件、rw-rw-rw文件等。

1.2 加強(qiáng)網(wǎng)絡(luò)安全

通過安全協(xié)議實(shí)施管理、將一些不需要服務(wù)與帳號、系統(tǒng)之間的信任關(guān)系、增強(qiáng)認(rèn)證的密碼、危險(xiǎn)性高的網(wǎng)絡(luò)服務(wù)以及限制訪問等，都要加強(qiáng)網(wǎng)絡(luò)安全。

1.3 加強(qiáng)應(yīng)用安全

對用戶的權(quán)限、進(jìn)程所有者權(quán)限、檢查應(yīng)用文件的權(quán)限、其它系統(tǒng)資源訪問的權(quán)限進(jìn)行禁止，并刪除samples以及一些其它不需要的組件等。一般Telephonics自動(dòng)化系統(tǒng)中設(shè)置一個(gè)root口令，確?？诹畹膹?fù)雜性，也就是口令長度至少為8位，其中涵蓋數(shù)字、字母、標(biāo)點(diǎn)，最好不要是一個(gè)完整的英文語句。此外，也可以對磁盤進(jìn)行分區(qū)，為其備份管理提供便利。

1.4 監(jiān)控警報(bào)

其中主要涵蓋日志、完整性以及入侵檢測等工具的監(jiān)控。

2 主機(jī)安全配置

主機(jī)安全配置需要做到以下幾點(diǎn)：

（1）及時(shí)更新系統(tǒng)補(bǔ)丁；

（2）保證控制臺(tái)和文件系統(tǒng)的安全；

（3）進(jìn)行用戶管理；

（4）保證系統(tǒng)開啟和關(guān)閉的安全性；

（5）調(diào)整內(nèi)核；

（6）日志及審核以及一些其他的內(nèi)容等。

2.1 更新系統(tǒng)補(bǔ)丁

系統(tǒng)補(bǔ)丁的更新對于系統(tǒng)管理人員而言，是一項(xiàng)基本的維護(hù)工作，其實(shí)系統(tǒng)補(bǔ)丁主要包含操作系統(tǒng)補(bǔ)丁、應(yīng)用服務(wù)軟件補(bǔ)丁等，例如Web服務(wù)、DNS服務(wù)以及數(shù)據(jù)庫等。SUN操作系統(tǒng)補(bǔ)丁列表的獲取，網(wǎng)站如下：ftp：//sunsolve1.sun.comPpubPpatches/；

http：//sunsolve1.sun.com/。

進(jìn)行完整性檢查，通過校驗(yàn)工具對所下載的補(bǔ)丁軟件進(jìn)行查看，避免補(bǔ)丁軟件被植入木馬程序。有條件的話也可以先進(jìn)行補(bǔ)丁修補(bǔ)的實(shí)驗(yàn)，由于一些補(bǔ)丁可能會(huì)對服務(wù)運(yùn)行造成限制，系統(tǒng)管理人員運(yùn)用showrev-p命令對系統(tǒng)補(bǔ)丁的修補(bǔ)狀況進(jìn)行檢查。

2.2 確?？刂婆_(tái)安全

首先要設(shè)置一個(gè)OpenBoot安全級別，其目的在于避免可物理接觸系統(tǒng)的行為主體對系統(tǒng)OpenBoot參數(shù)進(jìn)行篡改，最終控制系統(tǒng)。其一可以對允許訪問OpenBoot用戶通過外部硬盤開啟系統(tǒng)，以此達(dá)到控制系統(tǒng)的目的，其二，通過Stop-A關(guān)閉系統(tǒng)的用戶，可以對全部OpenBoot環(huán)境變量進(jìn)行修改。Openboot安全級別主要包括none、command、full這3種，具體含義可從SOLARIS系統(tǒng)內(nèi)自行查找。

2.3 保證文件系統(tǒng)的安全性

對于計(jì)算機(jī)系統(tǒng)而言，文件系統(tǒng)是其中對于關(guān)鍵的部分，主要作用是對計(jì)算機(jī)信息進(jìn)行管理和儲(chǔ)存，其中有數(shù)據(jù)和操作系統(tǒng)等。此外，管理系統(tǒng)文件的運(yùn)行，主要是對訪問權(quán)限進(jìn)行設(shè)置，并控制用戶訪問文件的具體形式，例如讀、寫以及具體的執(zhí)行。

2.3.1 文件權(quán)限

因?yàn)榘瑂uidPsgid位可執(zhí)行文件極有可能被入侵者所利用，使其能夠獲得系統(tǒng)最高root權(quán)限。所以，若這一文件或者目錄無需suidPsgid權(quán)限，要將與之相對應(yīng)的suidPsgid位刪除。

2.3.2 將一些使用率不高的suid文件闡述

過多的setuid程序一般只是通過root實(shí)現(xiàn)運(yùn)行，或是通過某一特定用戶實(shí)現(xiàn)運(yùn)行，其實(shí)可以移除setuid位，系統(tǒng)管理員按照實(shí)際適當(dāng)調(diào)整。參考SUN網(wǎng)站、CERT發(fā)表的安全公告，若已經(jīng)存在漏洞程序依然有setuid位，需要下載補(bǔ)丁并對補(bǔ)丁進(jìn)行更新。如果當(dāng)前不能獲取需要的補(bǔ)丁程序，可以先將這一程序setuid位移除，并新建setuidPsetgid程序列表，將其當(dāng)作系統(tǒng)審核重要根據(jù)。如此便可以觀察是否有新setuid程序。針對一些無法確定來源的setuid位程序，要及時(shí)將其刪掉。

2.3.3 對不需要的sgid文件權(quán)限進(jìn)行變更

針對使用率較高并且十分必要的文件，需要建立sgid位。系統(tǒng)管理員按照應(yīng)用需求進(jìn)行設(shè)置，一般是不需要設(shè)置的。

2.4 用戶管理

2.4.1 對不需要的系統(tǒng)帳戶進(jìn)行封鎖

帶有管理性質(zhì)的帳號要及時(shí)進(jìn)行封鎖，以免遭到入侵者的利用。這一類帳號主要以bin、adm、nuucp、nobody、noaccess為主。

2.4.2 口令與口令策略

口令的長度必須要長于8位，且要同時(shí)包含字母、數(shù)字、標(biāo)點(diǎn)。在設(shè)置密碼參數(shù)時(shí)，要對/etc/default/passwd進(jìn)行編輯、設(shè)置。確保所有用戶都已經(jīng)進(jìn)行了密碼的設(shè)置，隨后對/etc/passwd和/etc/shadow進(jìn)行檢查，所有用戶密碼欄都要處于空白狀態(tài)。endprint

2.4.3 對登錄配置文件進(jìn)行修改

避免root遠(yuǎn)程登錄，超級用戶最好不要采用直接登錄的方式，并在/etc/default/login文件內(nèi)進(jìn)行CONSOLE=/dev/null的設(shè)置。如此一來，所有想要成為超級用戶系統(tǒng)管理員，都要先登陸自己的普通帳號，并使用su命令將賬戶切換成為超級用戶。這主要是因?yàn)橄到y(tǒng)會(huì)自動(dòng)記錄用戶對于su命令的使用情況，從而對用戶行為進(jìn)行審查。

編輯etc/default/login，并加上以下代碼，如圖1所示。

對所有的root登錄嘗試進(jìn)行記錄，如圖2所示。

2.4.4 進(jìn)行root權(quán)限的umask設(shè)置

對root權(quán)限的.profile進(jìn)行檢查，保證umask是027或者077。

2.4.5 對于所有的path

要將全部的/.0路徑去除，并對缺省啟動(dòng)腳本、root啟動(dòng)腳本進(jìn)行檢查，闡述路徑變量內(nèi)的/.0路徑，例如：/. login，/etc/.login，/etc/default/login，/. cshrc，/etcPskel/local文件。

2.5 系統(tǒng)開啟和關(guān)閉

該程序及/etc/init.d、/etc/rc.X目錄以及/etc/inittab文件，系統(tǒng)管理員可以將以上文件與目錄權(quán)限進(jìn)行更改，設(shè)置為僅超級用戶可寫。并在rc.x目錄內(nèi)將一些作用不大的服務(wù)關(guān)閉， 更換格式，在需要的時(shí)候可以順利開啟。例如：mv/etc/rc3.d/S92volmgt/etc/rc3.d/no—use—S92volmgt。

snmpdxautofs （Automounter） volmgt （Volume Deamon）lpsched （LP print service） nscd （Name Service Cache Daemon）Sendmail，這一服務(wù)在理論上其實(shí)應(yīng)該被禁用，然而系統(tǒng)管理員可按照系統(tǒng)的應(yīng)用要求，以系統(tǒng)最小化原則決定是否被禁用。

此外，rpcbind主要功能是遠(yuǎn)程呼叫，按照遠(yuǎn)程系統(tǒng)所提供的IP地址以及遠(yuǎn)程用戶提供的ID，對其實(shí)施驗(yàn)證，如此一來便提高了偽造、更改的便捷性。關(guān)于這一問題，可以先將rpcbind服務(wù)關(guān)閉。

2.6 調(diào)整內(nèi)核

將堆棧錯(cuò)誤進(jìn)行修正，避免溢出?？梢詫⒍褩ＴO(shè)置成為不可執(zhí)行，具體流程如下：將以下幾行歸納到/etc/system內(nèi)：set noexec—user—stack=1 set noexec—user—stack—log=1。隨后將文件權(quán)限進(jìn)行更改，最終改為#chmod 644PetcPsystem。

2.7 日志與審核

設(shè)置一個(gè)合理的cronlogfiles。編輯配置文件/etc/cron.d/logchecker內(nèi)LIMIT項(xiàng)。系統(tǒng)管理人員按照以往總結(jié)經(jīng)驗(yàn)進(jìn)行設(shè)置，通常需要觀察日志查看周期與日志生成的信息量。關(guān)于cron日志審核周期，最好以7天為一周期。此外，對inetd服務(wù)進(jìn)行記錄。編輯/etc/init.d/inetsvc，在該文件中找到inetd啟動(dòng)項(xiàng)，如/usr/sbin/inetd -s -t&。

3 結(jié)束語

綜上所述，要構(gòu)建一個(gè)安全性高的SUN SOLARIS系統(tǒng)，需要從Solaris系統(tǒng)的安全配置、主機(jī)安全配置這兩個(gè)方面著手，考慮容易出現(xiàn)問題的因素，尤其是系統(tǒng)管理人員，更要做好系統(tǒng)的設(shè)置工作，并做好數(shù)據(jù)備份。文章中主要從加強(qiáng)本地安全、加強(qiáng)網(wǎng)絡(luò)安全、加強(qiáng)應(yīng)用安全、監(jiān)控警報(bào)這四點(diǎn)分析了Solaris系統(tǒng)的安全配置，并在確保控制臺(tái)安全、保證文件系統(tǒng)的安全性、用戶管理等六個(gè)方面，分析了主機(jī)的安全配置，希望能夠?yàn)楦鞯貐^(qū)分局的Telephonics自動(dòng)化SUN SOLARIS系統(tǒng)構(gòu)建提供合理的參考。

參考文獻(xiàn)

[1]王雅芬，胡世安，劉杉堅(jiān)，袁子立.GTK+在Sun Solaris系統(tǒng)中的開發(fā)與應(yīng)用[J].計(jì)算機(jī)科學(xué)，2012，39（S3）：349-351.

[2]白興瑞.基于SUN Solaris 10的DNS域名服務(wù)器配置[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2014（05）：98-99.

[3]鐘吉太，岳淑華，楊志仁.Solaris10操作系統(tǒng)在SUN V890服務(wù)器中的安裝方法[J].物探裝備，2016（04）：298-300.

[4]陳衛(wèi)榮，黃進(jìn)華.Sun solaris環(huán)境中用sendmail建立郵件服務(wù)器的研究[J].寧德師專學(xué)報(bào)（自然科學(xué)版），2014（04）：403-406.

作者單位

民航湖北空管分局 湖北省武漢市 430302endprint