Solaris安全手册PDF|Epub|txt|kindle电子书版本网盘下载

Solaris安全手册PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分　安全性简介3

第1章　安全问题3

目录3

1.1　安全缺陷的起因5

1.1.1 网络连通性的增长5

1.1.2　软件的脆弱性6

1.1.3　雇员和承包商7

1.1.4 目的明确而足智多谋的黑客7

1.1.5　站点策略8

第2章　安全策略9

2.1　原则1：侵入系统的黑客很可能是认识的人9

2.2　原则2：不要轻信任何人，对必须要相信的人也要小心10

2.3　原则2a：不要过分自信，对每件事情都要确认10

2.5　原则4：分层保护11

2.4　原则3：要使潜在的侵入者相信他们会被抓住11

2.6　原则5：设计安全策略时要假设任何一个保护层完全失效的情况12

2.7　原则6：把安全性作为最初设计的一部分13

2.8　原则7：禁用不需要的服务、软件包和功能13

2.9　原则8：连接网络之前要想清楚并进行保护14

2.10　原则9：为最坏的情况做准备14

2.11　9个原则：一种生活方式15

第二部分　独立的系统19

第3章　PROM、OpenBoot和物理安全性19

3.1　什么是PROM19

3.2　什么是OpenBoot19

3.2.1　为什么绝对不能让用户接触OpenBoot20

3.2.2　通过设置安全参数来保护OpenBoot20

3.2.3 改变OpenBoot安全级别的过程21

3.2.4　丢失了所有口令——部分恢复过程22

3.2.5　推荐的启动设备22

3.2.6　改变OpenBoot徽标22

3.2.7　恢复丢失的超级用户口令23

3.3　系统物理安全性考虑因素25

3.3.1　防止偷窃和访问25

3.3.2　审查PROM26

3.3.3　OpenBoot口令26

3.3.4　CD-ROM驱动器26

3.3.5　备份介质26

3.3.6　操作系统版本介质26

4.1.1　有些应用程序需要开放的权限29

4.1　什么是文件系统29

第4章　文件系统29

3.4　补充信息29

4.2　理解文件和目录的权限30

4.2.1　身份：用户、组及其他30

4.2.2　权限总结：读、写、执行、SetUID、SetGID、粘着位31

4.3　小结：身份和权限33

4.4　查看文件和目录权限的方式34

4.4.1　权限：数值形式35

4.4.2　设置文件和目录的权限——数值形式36

4.4.3 设置文件和目录的权限——符号形式36

4.5　umask及其工作方式37

4.5.1　Ksh和umask-S38

4.5.2　默认的文件权限和umask38

4.5.4　默认的目录权限和umask39

4.5.5　如何查找具有指定权限设置的文件39

4.5.3　超级用户的umask39

4.6　系统设备访问权限40

4.7　文件系统审核工具40

4.7.1　ASET41

4.7.2　COPS42

4.7.3　Tiger43

4.7.4　Tripwire43

4.7.5　lsof（列出打开的文件）44

4.8　其他安全工具和技术44

4.8.1 检查/etc/权限44

4.8.2　保证正确的utmp和utmpx权限44

4.8.3　使用固定模式工具增强安全性44

4.8.4　使用fuser命令45

4.8.5 使用ls命令显示隐藏的文件和文件名中隐藏的字符45

4.8.8　用fsirand使文件系统I节点号随机化46

4.8.6　为ls命令取别名46

4.8.7　为rm命令取别名46

4.8.9　文件系统配额47

4.9　文件系统访问控制表48

4.10　补充信息49

第5章　用户帐号和环境51

5.1　简介51

5.2　用户帐号安全51

5.2.1 超级用户帐号52

5.2.2　其他管理性的帐号和组52

5.2.3　用户帐号53

5.2.4　用户何时需要超级用户特权53

5.2.5　PATH和LD_LIBRARY_PATH53

5.3.2　影像文件54

5.3 口令文件、影像文件和组文件54

5.3.1　口令文件54

5.3.3 口令安全55

5.3.4　UNIX组56

5.3.5　/etc/default/passwd文件58

5.4　成为超级用户58

5.4.1 直接以超级用户登录58

5.4.2　su命令59

5.5　外壳和应用程序的安全性61

5.5.1 强制启动应用程序61

5.5.2 在超级用户的外壳提示符中包含系统名称61

5.5.3 受限制的外壳62

5.5.4　默认的登录环境62

5.5.6　程序缓冲区溢出63

5.5.5　直接写控制台63

5.5.7　其他进程信息64

5.6　X-Windows安全性64

5.6.1　X-Windows屏幕手工锁定64

5.6.2　X-Windows屏幕自动锁定65

5.6.3 X-Windows显示器权限65

5.7　审核工具67

5.7.1　COPS67

5.7.2　Crack67

5.8　补充信息67

第6章　系统启动和关闭69

6.1　系统运行级别69

6.1.1 确定当前运行级别70

6.2.3　rc机制71

6.2.2　多用户模式71

6.2.1　PROM71

6.2　系统启动71

6.3　系统关闭72

6.3.1　init72

6.3.2　uadmin73

6.4　关于rc文件的更多信息73

6.4.1　分析rc文件的例子73

6.5　审核启动和关闭机制75

6.5.1　COPS75

6.5.2 Tripwire75

6.6.2　改变启动和关闭脚本76

6.6.3　禁用启动和关闭脚本76

6.6.4　关于链接的启动文件的更多信息76

6.6.1 添加启动和关闭脚本76

6.6　修改启动和关闭机制76

6.7　补充信息的位置77

第7章　cron和at79

7.1 cron79

7.1.1　什么是cron79

7.1.2　cron如何工作80

7.1.3　如何配置cron80

7.1.4　cron用户配置81

7.1.5　用户访问cron系统81

7.2　at82

7.2.1　什么是at82

7.2.2 at如何工作82

7.3.4　cron运行的脚本中存在不确定的PATH83

7.3.3　cron运行的脚本中存在不安全的PATH83

7.3.2　将crontab文件留在所有用户都可以看到的地方83

7.3.1 没有充分屏蔽cron运行的程序83

7.3 应该避免的常见问题83

7.2.3 用户访问at系统83

7.3.5　在cron和at作业中使用标准输入和标准输出84

7.4　审核工具84

7.4.1　Tripwire84

7.4.2 COPS84

7.5　补充信息84

第8章　系统日志87

8.1　什么是系统日志87

8.2　syslog87

8.2.1　syslog的功能和安全级别88

8.2.2　syslog消息分类所用的表示法88

8.2.3　syslog配置89

8.2.4　调试syslog90

8.3　loginlog93

8.4　sulog93

8.5　上一次登录94

8.6　卷管理器日志94

8.7　安装日志95

8.8　sysidtool日志95

8.9　帮助日志记录的工具——Logcheck95

8.10　补充信息96

第三部分 网络连接系统99

第9章　网络接口和网络服务99

9.1 网络99

9.2　网络接口99

9.3.1　ifconfig100

9.2.1　网络接口特性100

9.3　网络接口配置100

9.3.2　ndd101

9.3.3　利用/etc/notrouter关闭IP转发103

9.3.4　配置网络适配器107

9.3.5　混合模式108

9.4　网络服务108

9.4.1　非必须的服务109

9.4.2　网络服务号109

9.4.3　网络服务配置109

9.4.4　网络服务的启动方式111

9.4.5　Daemon网络服务不和inetd一起启动111

9.5　路由112

9.5.1　增加静态路由112

9.5.2　增加动态路由113

9.6　使用snoop114

9.7　补充信息116

第10章　网络／系统体系结构119

10.1　什么是体系结构119

10.2　简单和复杂体系结构的比较119

10.3　体系结构原理121

10.3.1 原理1：最小化故障点数目（或者缩短关键路径）121

10.3.2　原理2：把服务尽量设置在靠近它们所服务对象的位置121

10.3.3 原理3：将服务和对应的应用程序纵向对齐122

10.3.4　原理4：准备为网络增加分区122

第11章　电子邮件125

11.1 电子邮件概述125

11.1.1　传输代理125

11.1.3　用户代理126

11.1.2　递送代理126

11.2.1　Auth （或Identd）协议127

11.2.2　邮件代理程序127

11.2　电子邮件安全性弱点的类型127

11.2.3 消息源路由129

11.2.4　隐私129

11.2.5 可信性129

11.3　减轻电子邮件的安全性问题129

11.3.1　只在电子邮件服务器上运行sendmail129

11.3.2 断开内部邮件服务器与Internet的直接连接131

11.3.3　禁止带有路由信息的邮件133

11.3.4　实现邮件加密和数字签名133

11.3.5　替代Sendmail134

11.3.7　实现Smrsh135

11.3.6　删除不必要的电子邮件别名135

11.3.8　实现ForwardPath136

11.4　补充信息136

第12章　打印139

12.1　打印体系结构139

12.2　打印子系统目录140

12.2.1 审核打印子系统的目录140

12.3　本地打印140

12.3.1　本地打印设备140

12.3.2　确定打印机使用的设备140

12.3.3　打印设备访问权限141

12.3.4 审核打印设备权限141

12.4　限制对打印机和打印服务器的访问141

12.5　补充信息142

12.4.1 直接访问网络打印机142

第13章　网络访问控制143

13.1　网络访问控制原理143

13.1.1 不必要的网络访问点是对安全性的威胁143

13.1.2 没有防备的网络接入点是对安全性的威胁144

13.2　必须的和非必须的服务144

13.2.1 如何停止运行非必须的服务146

13.2.2　禁止在/etc/inet/services和/etc/inet/inetd.conf文件中没有定义的服务147

13.3　加强网络访问控制148

13.3.1　inetd连接跟踪148

13.3.2　TCP Wrapper148

13.3.4　.rhosts文件??r-命令的网关150

13.3.5　/etc/hosts.equiv文件150

13.3.3　公共域rpcbind150

13.3.6　审核.rhosts和hosts.equiv文件151

13.3.7　对telnet、rsh和rlogin的安全替换151

13.3.8　X-Windows是不安全的152

13.3.9　防火墙152

13.4　测试系统的辅助选项153

13.4.1　Satan153

13.4.2　ISS153

13.5　检测非法入侵154

13.5.1　Syn154

13.5.2　Klaxon154

13.5.3　Courtney154

13.6.2　DES（Diffie-Hellman）身份验证155

13.6.1　系统身份验证155

13.6　身份验证155

13.5.6　非法入侵检测：紧跟潮流155

13.5.5　Gabriel155

13.5.4　Tocsin155

13.6.3　Kerberos身份验证156

13.7　虚拟专用网157

13.7.1 SKIP157

13.7.2 IPsec157

13.8　补充信息158

第14章　域名服务161

14.1　域名服务DNS161

14.1.1　/etc/nsswitch.conf162

14.1.2　/etc/resolv.conf163

14.2　DNS的安全性漏洞和解决方案164

14.2.1 在Internte上暴露太多的信息164

14.2.2　DNS服务器的非法区域传输166

14.2.3　Nslookup和真正的DNS请求之间的区别167

14.2.4　公共域DNS （BIND）167

14.2.5 DIG公共域工具167

14.2.6　禁止nscd缓存167

14.2.7　了解BIND的版本167

14.3　NIS168

14.3.1　获取并安装INSKIT169

14.4　NIS安全性漏洞和解决方案170

14.4.1 将NIS映射从/etc目录中转移出去170

14.4.2　保护NIS映射目录170

14.4.3　使用难以猜到的NIS域名170

14.4.4　实现/var/yp/securenets170

14.4.6　避免使用非法NIS服务器171

14.4.5　隐藏影像域171

14.4.7　不要将根帐号和其他管理帐号包含在NIS中172

14.4.8　禁止nscd缓存172

14.4.9　其他NIS安全性漏洞172

14.5 NIS+172

14.5.1　NIS+的默认访问权限173

14.5.2　主类nobody的访问权限173

14.5.3　NIS+安全性级别174

14.5.4　NIS+管理174

14.5.5　备份NIS+表175

14.5.6　刷新NIS+事务处理记录175

14.5.7 不要将根帐号和其他管理帐号包含在NIS+中175

14.5.8　禁止nscd缓存175

14.6　域名服务开关176

14.7　Nscd177

14.8　补充信息179

第15章　NFS和Automounter181

15.1　NFS181

15.1.1　NFS操作181

15.1.2　提高NFS共享的安全性182

15.1.3　提高NFS装入的安全性183

15.1.4　通过设置Portmon提高NFS的安全性184

15.1.5　NFS身份验证184

15.1.6　服务器作为NFS客户机185

15.1.7　NFS和访问控制列表185

15.1.9　禁止NFS186

15.2　Automounter186

15.1.8　网络上的NFS186

15.2.1　间接Automounter映射187

15.2.2　直接Automounter映射187

15.2.3　Automounter浏览188

15.2.4　Automounter和域名服务开关189

15.2.5 禁止Automounter189

15.3　补充信息189

第四部分 事故和恢复193

第16章　系统恢复的准备工作193

16.1　故障因素193

16.1.1 自然灾害193

16.1.2　人为灾害193

16.1.7　程序员失误194

16.1.9　有意破坏194

16.1.8　用户失误194

16.1.4　硬件故障194

16.1.6　文档错误194

16.1.5　UNIX管理员失误194

16.1.3　内部设施故障194

16.2　为系统恢复作准备195

16.2.1　成立事故反应小组195

16.2.2　系统的文件系统设计195

16.2.3　文件系统的几何结构196

16.2.4　磁带备份196

16.2.5　系统恢复测试197

16.2.6　软件版本的存储介质197

16.2.7　系统事件日志197

16.2.11 保留硬件的备用件198

16.2.10　硬件和软件服务协议198

16.2.12　关键服务器PROM的备份198

16.2.8　Solaris和工具软件的补丁程序198

16.2.9　CD-ROM驱动器198

16.2.13　备用的磁盘空间199

16.2.14　恢复文档199

16.2.15　联系和交叉培训（Cross-Training）199

16.3　内部伙伴200

16.4　外部伙伴200

16.5　补充信息200

附录A　安全性信息的在线资源203

A.1　安全性Web站点203

第五部分 附录203

A.2　黑客Web站点204

A.3　安全性邮寄列表205

A.4　补丁程序205

附录B　公共域安全工具的在线资源207

B.1　TCP/IP安全性工具207

B.1.1　ISS（Internet security scan，安全性扫描）207

B.1.2　Satan（Security Administrator's Tool for Analg Zing Networks，分析网络的安全性管理员工具）207

B.1.3　Cpm（check promiscuous mode，检查混杂模式）207

B.1.4　tcpdump（network monitoring and data acquisition，网络监视和数据采集）207

B.2.5 crack（password cracker，口令快客）208

B.2.4　Kerberos208

B.2.6 fwtk（fire wall toolkit，防火墙工具）208

B.2.7　S/Key208

B.2.2　rpcbind208

B.2.1　TCP Wrappers208

B.2　访问控制安全工具208

B.2.3　Ssh（secure shell，安全外壳）208

B.3　侵入检测工具209

B.3.1　Klaxon209

B.3.2　Courtney209

B.3.3 Tocsin209

B.3.4 Gabriel209

B.3.5 syn209

B.4　文件系统安全性工具209

B.4.1 Tiger209

B.5.2 MD5210

B.6.2 sendmail V8（Public-domain Sendmail，公共域发送邮件）210

B.6.1 SMAP（sendmail wrapper，sendmail包装）210

B.6　电子邮件安全性工具210

B.5.1 PGP210

B.5　加密工具210

B.4.3 COPS210

B.4.2 Tripwire210

B.6.3 Postfix （formerly Vmailer，以前的Vmailer）211

B.6.4　smrsh211

B.7　DNS工具211

B.7.1　公共域BIND211

B.7.2　Dig211

B.7.3　其他DNS工具211

B.8　其他工具和资源211

B.8.1　Logcheck211

B.8.2　lsof（list open files,开放文件列表）211

B.9.3 COAST工具212

B.9.2 CIAC工具212

B.9.1 CERT工具212

B.9　安全性工具站点212

B.8.5 perl212

B.8.4 fix-modes212

B.8.3 Patchdiag212

B.8.6 Washington大学ftpd212

B.9.4　Doug工具213

B.9.5　LIST（信息安全技术实验室）安全性工具213

B.9.6　Sun免费软件站点213

B.9.7　Wietse Venema的UNIX安全性工具集213

B.10　黑客工具站点213

附录C　获得和应用Solaris补丁程序215

C.1　补丁信息的来源215

C.2　理解Solaris补丁程序215

C.3　理解Solaris补丁集216

C.5.1　安装补丁程序之前217

C.5.2　要安装的补丁程序217

C.4　补丁程序的来源217

C.5　补丁程序安装策略217

C.5.3　测试补丁程序218

C.5.4　为补丁程序重新引导系统218

C.5.5　patchdiag程序218

C.5.6　补丁程序安装程序，Solaris 2.x-2.5.1218

C.5.7　Solaris 2.6和Solaris 7的补丁程序安装过程219

C.5.8 Solaris OS升级220

C.6　补充信息220

附录D　推荐读物223

D.1　参考书223

D.2　在线出版物和文章224

D.3　SunSolve出版物225

D.5　Internet RFC226

D.4　在线期刊226

附录E　Solaris安全产品229

E.1 SunScreen ETS229

E.2　SunScreen SPF229

E.3　SunScreen SKIP229

E.4　Sun Security Manager230

E.5　SunScreen SecureNet230

E.6　Trusted Solaris230

E.7　补充信息231

附录F　实现C2安全措施233

F.1　什么是C2安全措施233

F.2　C2安全措施的代价233

F.3　启用C2安全措施233

F.4　禁用C2安全措施234

F.5.3　性能的管理235

F.5.4 审核事件235

F.5　管理C2安全措施235

F.5.2　C2日志的管理235

F.5.1 C2审核捕获的配置235

F.5.5　审核跟踪分析236

F.5.6 可移动存储介质管理236

F.5.7　设备安置236

F.5.8　建议236

F.6　补充信息237

附录G　验证公共域软件的完整性239

G.1　使用PGP验证239

G.2　使用MD5的验证242

G.3　获得补充信息243

附录H　攻击词汇表245

附录I　保护系统安全检查表251