| 站内搜索: |
| 站内搜索: |
一个SUN系统就象和NT系统一样,容易受到来自internet的各种可恶的攻击。幸运
的是,不象NT,你可以用以下三个简单的手段把SUN变的相对安全些,它们是:
1)防止堆栈溢出
2)关闭不用的服务
3)给系统打补丁
#1 防止堆栈溢出
至少90%以上的安全问题都是来自所谓的“堆栈溢出”。攻击者通过给一个以root身份
运行的程序提供比它所预期的输入多得多的东西,使被攻击程序无法处理而改变执行
流程去执行攻击者指定的代码。
Solaris 2.6和Solaris 7都具备把用户堆栈设成不可执行的能力,以使这种攻击不
能得逞。要使能这个特点:
0)变成root
1)对/etc/system文件做个拷贝
cp /etc/system /etc/system.BACKUP
2)用你最钟爱的编辑器编辑/etc/system文件
3)到文件的最后,插入以下几行:
set noexec_user_stack=1
set noexec_user_stack_log=1
4)保存文件,退出编辑器
一旦重启机器,这些改变就会生效。如果这不是一个你可以关闭的系统,那么你用
adb来改变一个运行中的系统的参数也是可能的,但这不是我个人乐意去干的事。
当然会有些合法使用可执行堆栈的程序在你做出如上改变后而不能正常运行。所幸
的是这样的程序的并不多,我所知的就只有GNU ada 编译器。
#2 在inetd.conf中关闭用不着的服务
有许多用不着的服务自动的处于使能状态。它们中可能存在的漏洞将使攻击者甚至
不需要一个账户就能控制你的机器。关闭这些不需要的服务来保护你的系统,你可
以用如下方法来关闭:
0)变成root
1)对inetd的配置文件/etc/inetd.conf做个拷贝
cp /etc/inetd.conf /etc/inetd.conf.BACKUP
2)编辑/etc/inetd.conf文件
未被激活的服务是在前面被“#“符号注释掉的,举个例子,你的部份inetd.conf可能
是这样的:
# Tnamed serves the obsolete IEN-116 name server protocol.
#
name dgram udp wait root /usr/sbin/in.tnamed in.tnamed
不需要这个服务,因为你们中的99.999%不会用到这个“已经被废弃的IEN-116名字服务
协议“,把这个注释掉以后,这行看起来会象是:
# Tnamed serves the obsolete IEN-116 name server protocol.
#
#name dgram udp wait root /usr/sbin/in.tnamed in.tnamed
^
|
看到这个新的“#” 符号了吧
我建议注释掉几乎所有的服务,只留下:
ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
time stream tcp nowait root internal
time dgram udp wait root internal
echo stream tcp nowait root internal
echo dgram udp wait root internal
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
daytime dgram udp wait root internal
rstatd/2-4 tli rpc/datagram_v wait root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd
fs stream tcp wait nobody /usr/openwin/lib/fs.auto fs
100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd
在只需要不多图形操作的服务器或是要保证相当的安全,你也许应该关掉字体服务fs,也可以
关掉系统性能监视器rstatd和tooltalk服务器ttdbserverd。事实上在确实需要安全的机器上
你甚至应该注释掉telnet和ftp。
你可以用grep找出机器能过inetd所提供的服务:
grep -v "^#" /etc/inetd.conf
这将返回/etc/inetd.conf中所有没被注释掉的行。
3)在/etc/inetd.conf中做出改变之后,找到inetd进程的id号,用kill向它发送HUP信号来刷新
它。一定要确保kill了inetd进程后,它还在运行,例如:
root@multics: ps -ef | grep inetd
root 196 1 0
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
热 门 新 闻 丰俭由君,AMD发烧友不 |  爱国者录音笔全国掀促销 |
| · | 丰俭由君,AMD发烧友不可错过 |
| · | 爱国者录音笔全国掀促销攻势 初战告捷 |
| · | 液显排排站“绝色”“赢家”“黑钻”逐个挑 |
| · | 领航者! 微星NX8500GT-TD512E驾到! |
| · | 巅峰对决 6款神舟3999元双核本推荐 |
| · | 视觉计算世界齐聚NVISION 08 |
最 新 本 地 信 息 南充电脑城漫游记3-30[ |  内存中的战斗机 金邦黑 |
| · | 南充电脑城漫游记3-30[第八期] |
| · | 内存中的战斗机 金邦黑龙EVO游戏内存 |
| · | 性价比超群 双敏火旋风HD3650玩家版仅售59 |
| · | 再降100元 双敏火旋风HD3690玩家版降至799 |
| · | 南充电脑城漫游记3-23[第七期] |
| · | 轻薄圆润迅驰4 戴尔Inspiron1525仅售5999元 |
ZOLNC 推 荐 经 销 商 就要非入耳 抛弃入耳式耳塞的4大理由 |  玩爽HTPC 近期公认超值5.1音箱大搜罗 |
 超值数码:行货T61欲破万元 理光DC齐降价 |  个性解放 时尚另类设计电脑哪款更好 |
 海量存储 联想天逸F41顶配本杀破万元 |  双核D刻120GB硬盘本 宏碁4520售4699元 |
| · | 阻止我的IE强行弹出广告 | · | 教你Word操作中一些很少 |
| · | Kmplayer简体中文版+ex | · | 买火车票很简单 四招搞 |
| · | 简单三招——远程共享你 | · | 新手进阶 处理Excel表格 |
| · | 酷6网率先启动了“原创 | · | 谷歌提供离线文档编辑功 |
| · | 百度渗透WiMax领域 打造 | · | 消息称谷歌将裁减15% D |
| · | 传谷歌有意收购美国最大 | · | 百度联盟角色升级 变身 |
| · | Moki小猴登场 三星YP-T | · | 死磕日系!康佳旗舰液晶 |
| · | 绝色外观!海信TLM46V69 | · | [论坛]我和长虹PT50600 |
| · | [论坛]首发!夏普32BK7 | · | 液晶面板过剩 成4月价格 |
| · | 直播RMVB电影 蓝慧真宽 | · | 滑动触摸按键 纽曼MOMO |
| · | 画质取胜入门首选 5倍光 | · | 中频表现突出! 现代HY- |
| · | 主流攀上1066 宏连新款 | · | 1460万像素 三星GX-20单 |
|
