【Solaris 基本安全配置】
一個SUN系統(tǒng)就象和NT系統(tǒng)一樣，容易受到來自internet的各種可惡的攻擊 。幸運
的是，不象NT，你可以用以下三個簡單的手段把SUN變的相對安全些，它們是：

1）防止堆棧溢出
2）關(guān)閉不用的服務(wù)
3）給系統(tǒng)打補丁

#1 防止堆棧溢出

至少90%以上的安全問題都是來自所謂的“堆棧溢出” 。攻擊者通過給一個以root身份
運行的程序提供比它所預(yù)期的輸入多得多的東西，使被攻擊程序無法處理而改變執(zhí)行
流程去執(zhí)行攻擊者指定的代碼 。

Solaris 2.6和Solaris 7都具備把用戶堆棧設(shè)成不可執(zhí)行的能力，以使這種攻擊不
能得逞 。要使能這個特點：

0）變成root
1）對/etc/system文件做個拷貝

cp /etc/system /etc/system.BACKUP

2）用你最鐘愛的編輯器編輯/etc/system文件
3）到文件的最后，插入以下幾行：

set noexec_user_stack=1
set noexec_user_stack_log=1

4）保存文件，退出編輯器

一旦重啟機器，這些改變就會生效 。如果這不是一個你可以關(guān)閉的系統(tǒng)，那么你用
adb來改變一個運行中的系統(tǒng)的參數(shù)也是可能的，但這不是我個人樂意去干的事 。

當然會有些合法使用可執(zhí)行堆棧的程序在你做出如上改變后而不能正常運行 。所幸
的是這樣的程序的并不多，我所知的就只有GNU ada 編譯器 。

#2 在inetd.conf中關(guān)閉用不著的服務(wù)

有許多用不著的服務(wù)自動的處于使能狀態(tài) 。它們中可能存在的漏洞將使攻擊者甚至
不需要一個賬戶就能控制你的機器 。關(guān)閉這些不需要的服務(wù)來保護你的系統(tǒng)，你可
以用如下方法來關(guān)閉：

0）變成root
1）對inetd的配置文件/etc/inetd.conf做個拷貝

cp /etc/inetd.conf /etc/inetd.conf.BACKUP

2）編輯/etc/inetd.conf文件
未被激活的服務(wù)是在前面被“#“符號注釋掉的，舉個例子，你的部份inetd.conf可能
是這樣的：

# Tnamed serves the obsolete IEN-116 name server protocol.
#
name dgram udp wait root /usr/sbin/in.tnamed in.tnamed

不需要這個服務(wù)，因為你們中的99.999%不會用到這個“已經(jīng)被廢棄的IEN-116名字服務(wù)
協(xié)議“，把這個注釋掉以后，這行看起來會象是：

# Tnamed serves the obsolete IEN-116 name server protocol.
#
#name dgram udp wait root /usr/sbin/in.tnamed in.tnamed
^
|
看到這個新的“#” 符號了吧

我建議注釋掉幾乎所有的服務(wù)，只留下：

ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
time stream tcp nowait root internal
time dgram udp wait root internal
echo stream tcp nowait root internal
echo dgram udp wait root internal
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
daytime dgram udp wait root internal
rstatd/2-4 tli rpc/datagram_v wait root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd
fs stream tcp wait nobody /usr/openwin/lib/fs.auto fs
100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd

在只需要不多圖形操作的服務(wù)器或是要保證相當?shù)陌踩?，你也許應(yīng)該關(guān)掉字體服務(wù)fs，也可以
關(guān)掉系統(tǒng)性能監(jiān)視器rstatd和tooltalk服務(wù)器ttdbserverd 。事實上在確實需要安全的機器上
你甚至應(yīng)該注釋掉telnet和ftp 。

你可以用grep找出機器能過inetd所提供的服務(wù)：

grep -v "^#" /etc/inetd.conf

這將返回/etc/inetd.conf中所有沒被注釋掉的行 。

3）在/etc/inetd.conf中做出改變之后，找到inetd進程的id號，用kill向它發(fā)送HUP信號來刷新
它 。一定要確保kill了inetd進程后，它還在運行，例如：

推薦閱讀

• 

  夢見繪畫為生 夢見繪畫是什么意思
• 

  房子刮膩子怎么算平方
• 

  求歷史穿越改變歷史的小說
• 

  中山哪些學校要搖號?
• 

  如何用風油精驅(qū)趕隱翅蟲
• 

  損友圈超級英雄如何獲得？ 損友圈超級英雄獲取方法攻略介紹！
• 

  烤蛋撻不預(yù)熱行嗎
• 

  將進酒帶拼音全詩 《將進酒》原文拼音
• 

  春天連衣裙搭配
• 

  c168 購機，試機
• 

  什么蔬菜含鈣高
• 

  電流互感器怎么選擇,什么是電流互感器
• 

  vivoy51a跟小米4哪個好,y55比哪個好
• 

  微信支付分有什么用
• 

  伏特加果凍真的會醉嗎
• 

  黃河發(fā)源于哪個省

• 第十四章：文件系統(tǒng)掛接 Solaris系統(tǒng)管理培訓(xùn)
• A Yassp工具包安裝安全的 Solaris 系統(tǒng)
• 3 Solaris9下安裝vsftpd2.0.1詳解
• Sun Solaris 用戶手冊 -- 十二.圖形窗口配置
• 5 Solaris高級系統(tǒng)管理員指南
• Solaris10探營： 安裝和基本配置
• 在 solaris 上, 建立 Anonymous FTP
• Apache-2.0.45+php-4.3.1+mysql-4.1.0 在 Solaris 9.0 for x86 下的安裝說明
• 2 Solaris9下安裝vsftpd2.0.1詳解
• VMware下Solaris 9/10中顯示設(shè)置的成功方法