免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1567 | 回复: 4

补充东方蜘蛛 - 教你如何配置安全的SOLARIS系统 [复制链接]

论坛徽章:
0
发表于 2005-05-29 16:59 |显示全部楼层
六、文件/系统完整性管理BART

Basic Audit Reporting Tool工具帮助快速可靠的检查已部署的系统,创建已配置好的系统上的文件列表manifest,在系统上发现文件一级的改变,所以在配置好系统后应尽快建立系统或关键目录的文件列表manifest,并按系统的变化经常更新。

如,/etc目录往往存放系统的重要配置信息,

2005年05月20日建立/etc的文件列表manifest:

#  bart create  -R /etc >; etc2005-05-20

2005年05月30日建立/etc的文件列表manifest:

#  bart create  -R /etc >; etc2005-05-30


如在2005年05月20日到05月30日,发觉/etc目录不安全,可能有人改过,可进行对比:

# bart compare etc20050520 etc20050530
/inet/hosts:
  size  control:742  test:758
  mtime  control:42883bc8  test:42997c6e
  contents  control:360be0aaa88e730ee1681c4d9afa20e3  test:50d8ab70777f0bd203f660cd9c0d6ad5

随即可发现,有人改变/etc/hosts文件。

那会不会有人改变了/etc的文件列表manifest呢,文件可读:

# grep host etc20050530
。。。
/inet/hosts F 758 100444 user::r--,group::r--,mask:r--,other:r-- 42997c6e 0 3 50d8ab70777f0bd203f660cd9c0d6ad5
。。。

会发现文件列表manifest使用了MD5数字签名算法校验,可不是人人都是山东大学王小云教授。

论坛徽章:
0
发表于 2005-05-29 17:44 |显示全部楼层

补充东方蜘蛛 - 教你如何配置安全的SOLARIS系统

七.  附加

1. 配置更安全的NFS

NFS version 4支持传统的NFS协议RFC 1813,但新用General Security Service (GSS)架构实现更安全的RPC,如启用安全模式共享文件系统:


# share -F nfs -o sec=krb5 /export/oracle

再用snoop对比跟踪网上的RPC调用:


NFS version 3          NFS version 4

->; LOOKUP "export"     ->;OPEN "export/oracle"
<- OK                  READ
->;LOOKUP "oracle"      <- OPEN OK
<- OK                  READ OK
->; ACCESS "oracle"     (sends data)
<- OK
->; READ "oracle"
<- OK
(sends data)


2. 指定加密算法对文件数字签名

如列出Solaris数字签名的加密算法:

# digest -l
sha1
md5

如选用md5对制定文件数字签名:

# digest -a md5 /etc/hosts
50d8ab70777f0bd203f660cd9c0d6ad5

可在文件传递的任何时间比较文件的数字签名:

# digest -v -a md5 /etc/hosts
md5 (/etc/hosts) = 50d8ab70777f0bd203f660cd9c0d6ad5


3. 利用加密算法对备份的数据加密,使系统磁带对盗窃者无用

列出Solaris中可用的加密算法:

# encrypt -l
算法       密钥大小: 最小   最大 (位)
------------------------------------------
aes                       128   128
arcfour                     8   128
des                        64    64
3des                      192   192

鉴于1998年美国有人就已穷举攻破56位密钥DES,所以选用DES加密备份和恢复,试试国人水平:

# ufsdump 0f - /oracle | encrypt -a des -k /etc/mykeys/backup.k | dd of=/dev/rmt/0

# decrypt -a des -k /etc/mykeys/backup -i /dev/rmt/0 | ufsrestore vf -

论坛徽章:
0
发表于 2005-05-29 19:36 |显示全部楼层

补充东方蜘蛛 - 教你如何配置安全的SOLARIS系统

学习,支持

论坛徽章:
2
双鱼座
日期:2014-02-23 12:10:03操作系统版块每日发帖之星
日期:2015-12-17 06:20:00
发表于 2005-05-30 08:56 |显示全部楼层

补充东方蜘蛛 - 教你如何配置安全的SOLARIS系统

谢谢补充~

论坛徽章:
0
发表于 2005-05-30 11:17 |显示全部楼层

补充东方蜘蛛 - 教你如何配置安全的SOLARIS系统

问一下,bart是不是只有在Solaris 10上
才能使用,谢谢
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP