Безопасность файловой системы
Убедитесь, что в вашей системе нет неучтенных файлов. ехгс.
Продумайте возможность использования переменной среды EXINIT для отключения функций файлов. ехтс.
Эти файлы могут при загрузке vi(l) или ех(1) из каталога, в котором находится такой файл, случайно запустить команды, сведущие на нет все ваши усилия по защите системы.
Проверьте, что ни в одном из размещающихся в пользовательских главных каталогах файлов не прописаны несанкционированные
Команды или программы.
Mailer может быть введен в заблуждение и разрешить обычному пользователю привилегированный доступ. Применение программ может быть ограничено использованием smrsh.
Запуск и сценарии закрытия системы
Убедитесь, что при запуске и в сценариях закрытия системы не выполняется chmod 666 motd. Эта команда допускает, чтобы пользователи изменяли сообщение системы в течение дня.
Удостоверьтесь, что в сценарии запуска присутствует строка ГШ - /tmp/tl (или ей подобная) для очистки временного файла, используемого для создания /etc/motd. И эту строку необходимо поместить до кода запуска локального демона.
/usr/lib/expreserve
Заменить версии /usr/lib/expreserve, созданные до июля 1993 года, на рекомендуемую прилагаемой к новому компьютеру документацией «заплату».
Если же это невозможно, то удалите выполняющее разрешение в /usr/lib/expreserve.
Это будет означать, что те из пользователей, которые во время редактирования своих файлов при помощи vi(l) или ех(1) будут отключены от не смогут восстановить потерянное.
Если данная операция будет вами выполнена, не забудьте уведомить своих пользователей о необходимости регулярно сохраняться при редактировании.
Внешние файловые системы /devices
Файловые системы всегда старайтесь устанавливать с разрешениями non-setuid и read-only.
Проверьте, что разрешения /etc/utmp установлены на 644.
Проверьте, что разрешения /etc/sm и /etc/sm. bak установлены на
2755.
Проверьте, что разрешения /etc/state установлены на 644.
Проверьте, что разрешения и /etc/mtab установлены на
644.
Проверьте, что разрешения установлены на 644.
Обратите внимание: параметры могут сбрасываться при каждом перезапуске syslog.
Рассмотрите вопрос об удалении доступа «для чтения» к тем файлам, к которым пользователи не должны обращаться.
Удостоверьтесь, что ядро (например, /vmunix) принадлежит корню и нулевой группе (wheel на SunOS) и разрешения, установленные на 644.
Проверьте, что /etc, /usr/etc, /bin, /usr/bin, /sbin, /usr/sbin, /tmp и принадлежат корню и что бит быстрого доступа установлен на /tmp и на /var/tmp.
Проверьте, что в вашей системе нет никаких неизвестных вам групп и свободно перезаписываемых файлов или каталогов на вашей системе.
Проверьте, что файлы с установленным SUID или SGID битом, действительно в нем нуждаются.
Убедитесь, что значение umask для каждого пользователя установлено на 027 или 077 или им подобное значение.
Проверьте, что все файлы в каталоге /dev являются специальными.
Специальные файлы буквенно идентифицированы в первой позиции битов разрешений.
Обратите внимание: В ряде систем каталог /dev содержит «законнорожденные» каталоги и сценарий оболочек. За дополнительной информацией обращайтесь к соответствующей документации.
Что вне каталога /dev нет никаких несанкционированных специальных файлов.
Рекомендует, чтобы все файлы, выполняемые корнем, ему же и принадлежали и не являлись бы свободно перезаписываемыми; все эти файлы надо поместить в каталог, у которого каждый высший каталогов в пути должен также принадлежать корню и был свободно перезаписываемым.
Проверьте содержание следующих файлов корневого аккаунта. Все программы или сценарии, вызываемые этими файлами, должны отвечать вышеизложенным требованиям:
• -/.login, -/.profile и им подобные файлы инициализации
Входа в систему;
• ~/.ехгс и ему подобные файлы инициализации программ;
• -/.logout и ему подобные файлы окончания сеанса;
• Файлы в разделах NFS;
• /etc/re и ему подобные файлы запуска и закрытия системы.
Если какая-либо программа или какой-либо сценарий, вызванные в этом источнике файлов, далее программируют или пишут сценарий, то их необходимо проверить.
Принадлежность Bin
Многие системы отгружают файлы и каталоги, принадлежащие bin (или sys). Эти параметры варьируются от системы к системе и могут иметь серьезное влияние на уровень безопасности.
Измените принадлежность всех свободночитаемых, но не свободно перезаписываемых He-setuid и He-etgid файлов и каталогов с bin на root, с нулевым идентификатором группы (группа wheel под SunOS 4.1.x).
Особое внимание обратите на то, что под Solaris 2.x изменение принадлежности системных файлов может вызывать предупреждающие сообщения во время установки «заплат» и пакетов системных программ.
Все остальные аналогичные проблемы должны решаться совместно с вашим поставщиком оборудования.
Tiger/COPS
Выполните одну или обе программы. Многие из изложенных в этой главе советов могут быть автоматизированы с помощью этих программ.
Выполните жесткую бинарную ссылку.
Сохраните бинар, базу данных и файл конфигурации на защищенном от записи диске (дискете, др.).
