使用Yassp工具包安裝安全的Solaris系統(tǒng) (四)
2024-07-26 00:29:36
供稿:網(wǎng)友
11、安裝完整性檢測(cè)工具:如Tripwire
應(yīng)該經(jīng)常對(duì)系統(tǒng)中文件的完整性進(jìn)行檢查�,以確保他們沒有被惡意的改變�����。Solaris提供了
"pkgchk -n"命令將安裝的文件大小��、權(quán)限及校驗(yàn)與package數(shù)據(jù)庫進(jìn)行比較。但是檢驗(yàn)是可以會(huì)
欺騙的,數(shù)據(jù)庫也可能會(huì)被更改��。因此��,真正需要的是采用安全的hashing算法的文件完整性檢查
工具�����。
Yassp將在/secure/tripwire中安裝tripwire����。它采用多種hashing算法。
系統(tǒng)安裝到這個(gè)階段����,我們建議對(duì)新配置的系統(tǒng)及文件創(chuàng)建快照(snapshot)���,初始化tripwire的
數(shù)據(jù)庫���,定期進(jìn)行檢查變動(dòng)情況�。如果有可能的話���,將主數(shù)據(jù)庫單獨(dú)保存����。
文件完整性檢查的可選功能
* Tripwire:有免費(fèi)和商業(yè)兩種版本
* 建議在中心服務(wù)器上使用商業(yè)版本����,更加穩(wěn)定�,在其它主機(jī)上使用免費(fèi)的版本。
* PGP可用�,PGP can also be used,by signing files to be PRotected(creating lots of
signature files),then writing a script to check the validity of signatures.This will
not catch permission,link,inode or modify date changes though.
* md5 signatures(單向hash算法)可能同樣使用����,但是MD5簽名列表不要保存在被監(jiān)視的主機(jī)上��,
除非已經(jīng)加密或者PGP signed。
使用免費(fèi)Tripwirer例子:
* Yassp安裝/secure/tripwire/tripwire及缺少的配置tw.config�,也可以獲得源代碼后自行編譯
���。
* 如果需要�����,編輯/secure/tripwire/tw.config��,符合自己要求。
* 接下來�,做系統(tǒng)的初始狀態(tài)�。
cd /secure/tripwire; ./tripwire -i 2 -initialise -c tw.config建立一個(gè)新的文件數(shù)據(jù)庫
���?��?赡軙?huì)有一些文件無法找到的報(bào)錯(cuò)信息�,忽略它們。把新產(chǎn)生的數(shù)據(jù)庫(在
/secure/tripwire/database)復(fù)制到軟盤上�����。在將來如果懷疑系統(tǒng)遭受攻擊或者改動(dòng)時(shí),可以使
用此文件���。
* 可以在cron中設(shè)置每天進(jìn)行檢查,也可以手工進(jìn)行
./tripwire -i 2 -c tw.config
* 告訴tripwire����,文件及目錄的改變正常
tripwire -update [/file1 /file2 /patch3.....]
* improvements:
* tripwire數(shù)據(jù)庫如果保存在同一主機(jī)上��,應(yīng)壓縮并加密,或者用強(qiáng)加密工具(如PGP)對(duì)其進(jìn)行
sign�。
* 從一臺(tái)信任主機(jī)上檢查其它系統(tǒng)���,復(fù)制tripwire及其數(shù)據(jù)庫,通過SSH遠(yuǎn)程運(yùn)行它���,檢查完后,
刪除數(shù)據(jù)庫文件�����。
* 這樣使得攻擊者難于覺察系統(tǒng)采用了tripwire進(jìn)行監(jiān)控�。
* 閱讀腳本trip_host.sh,過濾掉“無文件及目錄”報(bào)錯(cuò)���。它必須從‘master'主機(jī)上運(yùn)行��,對(duì)目
標(biāo)機(jī)有SSH信任關(guān)系。
第一次運(yùn)行
/secure/tripwire/trip_host.sh -init HOST
以后每次運(yùn)行
/sevure/tripwire/trip_host.sh -check HOST
將database文件妥善保存。
12��、安裝�、測(cè)試、加固應(yīng)用程序
特定的應(yīng)用,如FTP��、DNS��、Email等將在其它文章中論述���。
13����、開始使用
準(zhǔn)備使用
1.如果不再需要使用CD-ROM,在/etc/yassp.conf中關(guān)閉volume manager���。如果在今后需要安裝
CD,手工啟動(dòng)vold進(jìn)行新設(shè)備的檢測(cè):
drvconfig;disks;vold &; df -k
2.如果在安裝調(diào)試的過程當(dāng)中����,必須將/opt及/usr分區(qū)安裝成為read-write�,那么此時(shí)����,將它們
mount成為read-only。
3.重新做tripwire的初始化����。
4.將系統(tǒng)備份到兩盤磁帶上����,one offsite。
5.使用掃描器掃描系統(tǒng),確保只有需要的服務(wù)開啟。
6. 請(qǐng)其他人做測(cè)試,避免遺漏����。
7. 詳細(xì)檢查-什么在工作��?什么被禁止�?檢查控制臺(tái)/log的內(nèi)容���,系統(tǒng)是否如希望那樣工作�����?經(jīng)
常檢查日志記錄�。
日常維護(hù)
* 使用Sun的Patchdiag進(jìn)行補(bǔ)丁的檢查���,需要就進(jìn)行升級(jí)�����。對(duì)于內(nèi)核的補(bǔ)丁�����,要在別的機(jī)器上先
進(jìn)行測(cè)試���。
* 檢查所有的錯(cuò)誤日志及異常行為:syslog(/var/adm/messages或
/var/log/*log),/var/cron/log,last,/var/adm/sulog,/var/adm/loginlog,application/server
日志記錄���。
* 編寫腳本���,報(bào)告關(guān)鍵進(jìn)程是否正常�����,關(guān)鍵的系統(tǒng)是否可以ping通�����。
* 運(yùn)行tripwire。
* 定期查看最新的漏洞及風(fēng)險(xiǎn)報(bào)告��。
===================================================================================
此文的原文在這里
http://www.boran.com/security/sp/Solaris_hardening3.html
我水平有限,翻譯中一定有很多錯(cuò)誤,而且也有不少不明白的地方��,希望大家一起討論,指出
其中理解錯(cuò)誤的地方,共同提高�����。
東方
2001.3.16
