SunOS 4.1.x
Регулярно запрашивайте у своего поставщика информацию о новых «заплатах». Фирма Sun постоянно обновляет список рекомендуемых и отвечающих за безопасность «заплат». Список этот общедоступен:
Ftp://ftp. auscert. org. au/pub/mirrors/sunsolve1.sun. com/*
Ftp: //sunsolvel. sun. com/pub/patches/*
Пересылка IP-пакетов и исходная маршрутизация
Эти советы особенно важны, если вы используете SUN в качестве главного хоста или в двойной системе.
Убедитесь, что IP пересылка заблокирована. Вам необходимо будет вставить следующую строку с файл конфигурации ядра:
Options "IPF0RWARDING=-1 "
Рассмотрите также вопрос об отключении маршрутизации источника.
Оставив включенной маршрутизацию источника, вы можете впоследствии обнаружить следы несанкционированных пересылок. К сожалению, какого-то общепринятого метода или «заплаты» для включения/выключения маршрутизации источника, не существует.
Framebuffers /dev/fb
Если посторонний сможет войти в вашу рабочую станцию (SUN) из удаленного источника, то ему будет доступно содержание вашего Framebuffer (/dev/fb). В SUN существует механизм, регистрирующий пользователя в консоли и обеспечивающий монопольный доступ к
Framebuffer; при этом используется файл /etc/fbtab. Вот пример такого
Файла: #
# File: , /etc/fbtab
# Purpose: Specifies that upon login to
The
# owner, group and permis-sions of
# all supported
Devices, including the frame-buffer, will be set to
# the user's username, the user's
# group and 0600.
Comments: SunOS specific.
Note: You cannot use to continue a
Ft
Ft Format:
# Device Permission Colon separated de
# vice list, ft
/dev/console 0600 /dev/fb
/dev/console 0600 /dev/bwone0:/dev/bwtwo0
/dev/console 0600
/dev/cgoneO:/dev/cgtwoO:/dev/cgthreeO
/dev/console 0600
/dev/cgfou rO:/dev/cgsixO:/dev/cgeightO
/dev/console 0600 /dev/cgnine0:/dev/cgtwelve0
Ft
/dev/console 0600 /dev/kb:/dev/mouse /dev/console 0600 /dev/fd0c:/dev/rfd0c
После того, как файл создан, перегрузите компьютер или вообще выйдите, а затем зарегистрируйтесь по новой.
Более подробная информация содержится в документации к fbtab(5).
Подобной возможностью обладает и login replace-ment из пакета log - daemon от Wietse Venema.
/usr/kvm/sys/*
Убедитесь, что ко всем файлам и каталогам под нет
Группового доступа для перезаписи.
В SunOS 4.1.4 по умолчанию задан режим 2775, что позволяет пользователям из соответствующей группы запустить «троянского коня» в ядро.
/usr/kvm /crash
Удалите привилегии setgid в /usr/kvm/crash при помощи команды:
# /bin/chmod g-s /usr/kvm/crash
Группа kmem имеет доступ к чтению информацию о виртуальной памяти работающей системы.
/dev/nit (Network Interface Tap)
Воспользуйтесь разработанной CERT утилитой cpm для того, чтобы проверить, работает ли ваша система в разнородном режиме.
Если у вас нет особой надобности работать в разнородном режиме, то отключите интерфейс /dev/nit.
В системах SunOS 4.x и Solbourne разнородный интерфейс к сети может быть отключен простым удалением /dev/nit из ядра. Как только эта процедура будет завершена, вы сможете удалить device-файл /dev/nit, так как он более не нужен.
Можно применить «метод 1», изложенный в документации по системному и сетевому администрированию, в разделе «Управление в среде SUN», в главе «Конфигурирование ядра системы». Ниже мы помещаем небольшой отрывок оттуда:
# cd /usr/kvm/sys/suntS. SxAteVconf
# ср CONFIG_FILE SYS_NAME
Обратите внимание: на этом Шаге вы должны заменить CON - FIG_FILE на имя своего файла конфигурации, если, конечно, такой существует.
# chmod +w SYS_NAME
# vi SYS_NAME
#
# The following are for streams NIT sup-port.
# NIT is used by
# etherfind, traffic, rarpd, and ndbootd.
# As a rule of thumb,
# MIT is almost always needed on a server
# and almost never
# needed on a diskless client,
#
Pseudo-device snit # streams NIT
Pseudo-device pf # packet fil-ter
Pseudo-device nbuf Я NIT buffer-ing module
Прокомментируйте последние три строки; сохраните и выйдите из редактора перед тем, как продолжить процедуру.
# config SYS_NAME
# cd../SYS. NAME
# make
Ft mv /vmunix /vmunix. old
Tt cp vmunix /vmunix
# /etc/halt > b
Этот шаг перезагрузит систему с новым ядром.
Обратите внимание: это даже после установки нового ядра необходимо соблюдать осторожность и проверить, что ни vmunix. old, ни какой - либо другой файл со старой конфигурацией не используется при перезагрузке системы.
Удалите из ядра опцию для загружаемых модул ей. Это означает, что после перенастройки ядра необходимо загрузить все дополнительные ядерные модули, и тогда потенциальные взломщики не смогут динамически загрузить дополнительные модули ядра. Чтобы удалить эту опцию, закомментируйте следующие строки: VDDRV
# loadable modules
В файле конфигурации ядра и перетранслируйте ядро.
Обратите внимание: Некоторым программам необходимо иметь возможность загружать дополнительные модули типа драйверов устройств.
Обратите внимание: это даже после установки нового ядра необходимо соблюдать осторожность и проверить, что ни vmunix. old, ни какой - либо другой файл со старой конфигурацией не используется при перезагрузке системы.
Контроль NFS порта
Разрешите NFS-контроль портов.
Добавьте следующие команды в файл /etc/rc. local:
/bin/echo "nfs_portmon/W1" | /bin/adb - w /vmunix
/dev/kmem >/dev/null 2>&1
Rpc. mountd