БИБЛИЯ ХАКЕРА

SunOS 4.1.x

«Заплаты»

Регулярно запрашивайте у своего поставщика информацию о новых «заплатах». Фирма Sun постоянно обновляет список рекомендуемых и от­вечающих за безопасность «заплат». Список этот общедоступен:

Ftp://ftp. auscert. org. au/pub/mirrors/sunsolve1.sun. com/*

Или

Ftp: //sunsolvel. sun. com/pub/patches/*

Пересылка IP-пакетов и исходная маршрутизация

Эти советы особенно важны, если вы используете SUN в качестве главного хоста или в двойной системе.

Убедитесь, что IP пересылка заблокирована. Вам необходимо будет вставить следующую строку с файл конфигурации ядра:

Options "IPF0RWARDING=-1 "

Рассмотрите также вопрос об отключении маршрутизации источ­ника.

Оставив включенной маршрутизацию источника, вы можете впос­ледствии обнаружить следы несанкционированных пересылок. К сожале­нию, какого-то общепринятого метода или «заплаты» для включения/вы­ключения маршрутизации источника, не существует.

Framebuffers /dev/fb

Если посторонний сможет войти в вашу рабочую станцию (SUN) из удаленного источника, то ему будет доступно содержание вашего Framebuffer (/dev/fb). В SUN существует механизм, регистрирующий пользователя в консоли и обеспечивающий монопольный доступ к

Framebuffer; при этом используется файл /etc/fbtab. Вот пример такого

Файла: #

# File: , /etc/fbtab

# Purpose: Specifies that upon login to

The

# owner, group and permis-sions of

# all supported

Devices, including the frame-buffer, will be set to

# the user's username, the user's

# group and 0600.

Comments: SunOS specific.

Note: You cannot use to continue a

Ft

Ft Format:

# Device Permission Colon separated de

# vice list, ft

/dev/console 0600 /dev/fb

/dev/console 0600 /dev/bwone0:/dev/bwtwo0

/dev/console 0600

/dev/cgoneO:/dev/cgtwoO:/dev/cgthreeO

/dev/console 0600

/dev/cgfou rO:/dev/cgsixO:/dev/cgeightO

/dev/console 0600 /dev/cgnine0:/dev/cgtwelve0

Ft

/dev/console 0600 /dev/kb:/dev/mouse /dev/console 0600 /dev/fd0c:/dev/rfd0c

После того, как файл создан, перегрузите компьютер или вообще выйдите, а затем зарегистрируйтесь по новой.

Более подробная информация содержится в документации к fbtab(5).

Подобной возможностью обладает и login replace-ment из пакета log - daemon от Wietse Venema.

/usr/kvm/sys/*

Убедитесь, что ко всем файлам и каталогам под нет

Группового доступа для перезаписи.

В SunOS 4.1.4 по умолчанию задан режим 2775, что позволяет поль­зователям из соответствующей группы запустить «троянского коня» в яд­ро.

/usr/kvm /crash

Удалите привилегии setgid в /usr/kvm/crash при помощи команды:

# /bin/chmod g-s /usr/kvm/crash

Группа kmem имеет доступ к чтению информацию о виртуальной памяти работающей системы.

/dev/nit (Network Interface Tap)

Воспользуйтесь разработанной CERT утилитой cpm для того, чтобы проверить, работает ли ваша система в разнородном режиме.

Если у вас нет особой надобности работать в разнородном режиме, то отключите интерфейс /dev/nit.

В системах SunOS 4.x и Solbourne разнородный интерфейс к сети может быть отключен простым удалением /dev/nit из ядра. Как только эта процедура будет завершена, вы сможете удалить device-файл /dev/nit, так как он более не нужен.

Можно применить «метод 1», изложенный в документации по сис­темному и сетевому администрированию, в разделе «Управление в среде SUN», в главе «Конфигурирование ядра системы». Ниже мы помещаем небольшой отрывок оттуда:

# cd /usr/kvm/sys/suntS. SxAteVconf

# ср CONFIG_FILE SYS_NAME

Обратите внимание: на этом Шаге вы должны заменить CON - FIG_FILE на имя своего файла конфигурации, если, конечно, такой су­ществует.

# chmod +w SYS_NAME

# vi SYS_NAME

#

# The following are for streams NIT sup-port.

# NIT is used by

# etherfind, traffic, rarpd, and ndbootd.

# As a rule of thumb,

# MIT is almost always needed on a server

# and almost never

# needed on a diskless client,

#

Pseudo-device snit # streams NIT

Pseudo-device pf # packet fil-ter

Pseudo-device nbuf Я NIT buffer-ing module

Прокомментируйте последние три строки; сохраните и выйдите из редактора перед тем, как продолжить процедуру.

# config SYS_NAME

# cd../SYS. NAME

# make

Ft mv /vmunix /vmunix. old

Tt cp vmunix /vmunix

# /etc/halt > b

Этот шаг перезагрузит систему с новым ядром.

Обратите внимание: это даже после установки нового ядра необхо­димо соблюдать осторожность и проверить, что ни vmunix. old, ни какой - либо другой файл со старой конфигурацией не используется при переза­грузке системы.

Опции загружаемых драйверов

Удалите из ядра опцию для загружаемых модул ей. Это означает, что после перенастройки ядра необходимо загрузить все дополнительные ядерные модули, и тогда потенциальные взломщики не смогут динамиче­ски загрузить дополнительные модули ядра. Чтобы удалить эту опцию, за­комментируйте следующие строки: VDDRV

# loadable modules

В файле конфигурации ядра и перетранслируйте ядро.

Обратите внимание: Некоторым программам необходимо иметь возможность загружать дополнительные модули типа драйверов уст­ройств.

Обратите внимание: это даже после установки нового ядра необхо­димо соблюдать осторожность и проверить, что ни vmunix. old, ни какой - либо другой файл со старой конфигурацией не используется при переза­грузке системы.

Контроль NFS порта

Разрешите NFS-контроль портов.

Добавьте следующие команды в файл /etc/rc. local:

/bin/echo "nfs_portmon/W1" | /bin/adb - w /vmunix

/dev/kmem >/dev/null 2>&1

Rpc. mountd