第20章系统安全管理

第20章系统安全管理系统安全问题是每一个网络操作系统管理员都十分关注的问题。因为任何系统服务都可能存在固有的缺陷和弱点，并对系统安全构成威胁。虽然Solaris对比Linux或Windows，安全漏洞可能相对较少，但我们也不能忽视安全问题。20.1系统安全概述Solaris系统安全的第一道防线是对系统访问的控制。控制对系统访问的方法有以下几种。1．维护系统的物理安全为了控制对系统的访问，必须保证计算机所处环境的物理安全。比如，一个用户登录计算机后就离开了，这时任何其他人可以利用这个系统访问操作系统和网络。因此要提醒用户注意维护系统的物理安全，避免出现上述的情况。2．维护登录的控制使用密码和登录控制来避免对系统或网络的未被授权的登录。系统中的所有账户都应该有密码。因为即使系统中只有一个账户没有密码，对那些知道这个账户或可以猜到这个账户名的人来说整个网络也都是可用的。3．维护网络控制计算机往往是网络的一部分。网络就是使得连接在一起的系统之间可以交换信息，并能访问连接到网络中的系统所提供的数据和其他资源。网络提供了一种强大且精密的计算方式。同时，网络也使得破坏系统安全成为可能。比如，在一个网络中，每个系统都提供了信息的共享。因为很多用户要访问网络，所以不受欢迎的访问出现的机会就会增加。特别是因为用户的错误，比如用户使用了一个很容易被猜到的密码，很容易使这样的情况发生。具体防范措施就是：首先安装防火墙是控制网络访问，是保障系统安全的有效措施。其次，即使可以访问系统的用户也要有严格的权限才能访问系统文件和设备，这对保障系统资源使用及系统服务的正常运行非常重要。4．限制对文件中数据的访问使用UNIX中对目录和文件的权限设置来对文件中数据访问进行控制。在一个用户对某个文件有读权限的同时，使其他用户改变或删除该文件，也可以把一个文件设置为其他用户都不可读。5．监控文件或目录的完整性基本审计和报告工具（BART）是在文件系统级的文件跟踪工具。使用BART工具使你能快速、容易和可靠地得到系统中的软件构成信息。通过对某个目录的不同时间点的比较，可以确认目录中的内容是否被改动。6．限制对设备的访问限制对设备的访问，对资源分配系统设备的安全均有重要的意义。Solaris设备策略是限制或防止访问完整的系统设备，它是在内核中强制执行的。设备分配是限制和防止访问外围设备的，它在用户得到分配的时间中是强制配给的。使用身份验证服务可防止非法用户登录系统。身份验证也是Solaris系统安全保障措施之一。SecureRPC服务负责在客户主机和用户对服务器进行任务申请时做安全身份验证。它使用Diffie-Hellman或Kerberos来进行身份验证。这两种身份验证方法都使用了DES（数据加密标准）来进行加密。除了DES数据加密外，Solaris加密体系还提供了其他的加密方法。这些加密方法可以为我们带来文件和系统访问等方面的安全保障。只有了解整个加密体系，才能使我们对Solaris系统的安全有全面的认识。20.2系统、文件及设备的安全系统、文件和设备的安全是Solaris系统安全的基本组成部分，下面我们进行分别介绍之。20.2.1系统访问控制1．登录和密码的安全我们可以要求远程的用户在登录系统的时候输入用户名和密码，也可以来监控未能成功登录系统的信息。（1）如何显示用户的登录状态。使用logins命令可以显示用户的登录状态。它从用户密码数据库中获得用户的登录状态，这个密码数据库可能是/etc/passwd文件，也可能是其他命名服务的数据库。例20-1显示用户的登录状态。#logins-x-lrimmerrimmer500staff10AnnaleeJ.Rimmer/export/home/rimmer/bin/shPS010103107-1选项解释如下：-x显示扩展的登录状态信息-lusername显示专门用户的登录信息。username就是用户的登录名。显示信息解释如下：rimmer登录的用户名。500登录用户ID。Staff登录用户主要组名。10登录用户组的ID。AnnaleeJ.Rimmer注释信息。/export/home/rimmer用户的主目录。/bin/sh用户登录的Shell。PS010170107-1用户密码信息，顺次为下列：最后改变密码的信息；需要多少天就要改变一次密码；还要多少天就可改变密码；警告期限。（2）如何显示出没有密码的用户。使用-p选项可以显示没有密码的用户列表。例20-2显示没有密码的用户。#logins-ppmorph501other1PollyMorph#（3）如何临时关闭用户的登录。如果系统在一段时间内正在维护，不允许用户登录，则可以在/etc目录下建立一个nologin文件，文件的内容可以是一些关于本次禁止登录的声明。例20-3禁止用户登录。#vi/etc/nologin(Addsystemmessagehere)#cat/etc/nologin***Nologinspermitted.******Thesystemwillbeunavailableuntil12noon.***（4）如何监控失败的登录信息。为了记录试图登录的终端用户的登录信息。我们可以专门建立一个日志文件。例20-4使用日志记录终端用户登录信息。（1）建立一个日志文件：#touch/var/adm/loginlog（2）改变日志文件的读写权限和拥有者：#chmod600/var/adm/loginlog#chgrpsys/var/adm/loginlog（3）以后，再使用错误密码的终端登录者试图登录的信息就会被写在文件中：#more/var/adm/loginlogjdoe:/dev/pts/2:TueNov410:21:102003jdoe:/dev/pts/2:TueNov410:21:212003jdoe:/dev/pts/2:TueNov410:21:302003jdoe:/dev/pts/2:TueNov410:21:402003jdoe:/dev/pts/2:TueNov410:21:492003#例20-4只能监控终端登录信息，下面介绍可以监控所有登录失败信息的方法。（1）编辑/etc/default/login文件，确保“SYSLOG=YES”。/etc/default/login文件内容如下：#grepSYSLOG/etc/default/login#SYSLOGdetermineswhetherthesyslog(3)LOG_AUTHfacility#shouldbeusedSYSLOG=YES...SYSLOG_FAILED_LOGINS=0#（2）建立一个日志文件：#touch/var/adm/authlog#chmod600/var/adm/authlog#chgrpsys/var/adm/authlog（3）打开syslog.conf文件，添加日志记录功能，添加内容如下：auth.noticePressTab/var/adm/authlog（4）重新启动syslog程序：#svcadmrefreshsystem/system-log这时候，如果我们登录一下，故意输错密码，就会在日志中找到登录错误的信息：#more/var/adm/authlogNov414:46:11example1login:[ID143248auth.notice]Loginfailureon/dev/pts/8fromexample2,stacey#如果只想将三次错误登录的用户记录下来，可以编辑/etc/default/login文件，将SYSLOG_FAILED_LOGINS的值改为3即可。2．如何改变系统密码的加密算法强悍的密码加密算法可以给系统提供更多的安全保障。Solaris提供的加密算法如表20-1所示。表20-1密码的加密算法标志符描述帮助1是md5算法，它兼容BSD和Linux的MD5算法crypt_bsdmd5(5)2aBlowfish算法，兼容BSD系统的Blowfish算法crypt_bsdbf(5)Md5Sun公司的md5算法crypt_sunmd5(5)_unix_传统UNIX的加密算法crypt_unix(5)（1）如何为密码指定专门的算法。改变默认加密算法的配置文件是/etc/security/policy.conf文件。在此文件中有一个CRYPT_DEFAULT字段，将其值赋予不同的加密算法的标识符，就可以改变系统默认加密算法。例20-5将系统默认加密算法改为Blowfish算法。修改/etc/security/policy.conf，使其具有下面内容：CRYPT_ALGORITHMS_ALLOW=1,2a,md5#CRYPT_ALGORITHMS_DEPRECATE=__unix__CRYPT_DEFAULT=2a（2）如何安装新的第三方的加密模块。新的第三方加密算法是以软件模块的方式添加到系统的。当你运行pkgadd命令时，软件包将修改/etc/security/crypt.conf文件。然后，你可以修改/etc/security/policy.conf文件来增加新加密算法。例20-6增加crypt_rot13算法。首先，使用pkgadd命令添加软件包。其次，确认新的模块和模块标识符被添加到/etc/security/crypt.conf文件中：#crypt.conf#md5/usr/lib/security/$ISA/crypt_md5.sorot13/usr/lib/security/$ISA/crypt_rot13.so#For*BSD-Linuxcompatibility#1isMD5,2aisBlowfish1/usr/lib/security/$ISA/crypt_bsdmd5.so2a/usr/lib/security/$ISA/crypt_bsdbf.so最后，将新的模块标识符写到/etc/security/policy.conf文件中：#Copyright1999-2002SunMicrosystems,Inc.Allrightsreserved.#...#ident@(#)policy.conf1.602/06/07SMI#...#crypt(3c)AlgorithmsConfigurationCRYPT_ALGORITHMS_ALLOW=1,2a,md5,rot13#CRYPT_ALGORITHMS_DEPRECATE=__unix__CRYPT_DEFAULT=rot13现在，当前新增用户密码的加密算法就是crypt_rot13算法。3．监控和限制超级用户（1）如何监控哪些用户使用了su命令。sulog文件列出了哪些用户使用了su命令，不仅仅指那些使用su命令转为超级用户的用户。查看/var/adm/sulog文件：#more/var/adm/sulogSU12/2016:26+pts/0stacey-rootSU12/2110:59+pts/0stacey-rootSU01/1211:11+pts/0root-rimmerSU01/1214:56+pts/0pmorph-rootSU01/1214:57+pts/0pmorph-root信息内容解释如下：使用命令的日期和时间都被记录下来。命令使用成功以“+”标识；不成功以“-”标识。显示了命令运行的端口。最后是用户被转换了其他用户的身份的记录。su的日志默认就是开启的，它的配置文件是/etc/default/su，其内容如下：SULOG=/var/adm/sulog（2）如何显示超级用户登录控制台。有了上面的知识，在控制台上显示超级用户的登录就非常简单了。只需要在/etc/default/su中加入下面一行：CONSOLE=/dev/console（3）如何防止用户通过超级用户远程登录。用户在远程使用超级用户权限登录，对系统的安全会造成较大威胁。大多数系统都禁止超级用户直接在