陳栓

摘 要Solaris為Sun Microsystems研發(fā)的一種計算機操作系統(tǒng)，主要用于民航、廣電、電力企業(yè)自動化管理，并且體現(xiàn)了非常高的實用性、可靠性與可擴展性，除了能夠?qū)ο到y(tǒng)持續(xù)性以及穩(wěn)定性進行保證，也可以滿足今后企業(yè)業(yè)務(wù)增長的需求。但SUN SOLARIS系統(tǒng)本身存在安全性方面的問題，所以，構(gòu)建一個安全的SUN SOLARIS系統(tǒng)非常必要。本文以此為前提，重點分析了構(gòu)建安全的SUN SOLARIS系統(tǒng)的幾點建議，目的在于實現(xiàn)空管的蓬勃發(fā)展。

【關(guān)鍵詞】安全 SUN SOLARIS系統(tǒng) 構(gòu)建 可擴展性

Solaris系統(tǒng)本身具有一定的安全性，并且能夠滿足空管系統(tǒng)在安全性方面的要求，然而無論任何一個系統(tǒng)都會面臨安全隱患，加之Solaris系統(tǒng)在中南空管局各地區(qū)分局的運用比較普遍，安全問題自然無可避免。在系統(tǒng)發(fā)展的過程中，與之相對應(yīng)的Patch系統(tǒng)也在不斷更新，這也就證明了安全性的問題。為了使安全保障得到提升，文章以Solaris系統(tǒng)入手，分析了Solaris系統(tǒng)安全問題，并探討了SUN SOLARIS系統(tǒng)中存在的安全漏洞，提出了一系列解決對策。

1 Solaris系統(tǒng)的安全配置

1.1 加強本地安全

這其中包含一些限制命令訪問、正確文件權(quán)限的設(shè)置、應(yīng)用組與用戶概念、suidPsgid文件、rw-rw-rw文件等。

1.2 加強網(wǎng)絡(luò)安全

通過安全協(xié)議實施管理、將一些不需要服務(wù)與帳號、系統(tǒng)之間的信任關(guān)系、增強認(rèn)證的密碼、危險性高的網(wǎng)絡(luò)服務(wù)以及限制訪問等，都要加強網(wǎng)絡(luò)安全。

1.3 加強應(yīng)用安全

對用戶的權(quán)限、進程所有者權(quán)限、檢查應(yīng)用文件的權(quán)限、其它系統(tǒng)資源訪問的權(quán)限進行禁止，并刪除samples以及一些其它不需要的組件等。一般Telephonics自動化系統(tǒng)中設(shè)置一個root口令，確保口令的復(fù)雜性，也就是口令長度至少為8位，其中涵蓋數(shù)字、字母、標(biāo)點，最好不要是一個完整的英文語句。此外，也可以對磁盤進行分區(qū)，為其備份管理提供便利。

1.4 監(jiān)控警報

其中主要涵蓋日志、完整性以及入侵檢測等工具的監(jiān)控。

2 主機安全配置

主機安全配置需要做到以下幾點：

（1）及時更新系統(tǒng)補?。?/p>

（2）保證控制臺和文件系統(tǒng)的安全；

（3）進行用戶管理；

（4）保證系統(tǒng)開啟和關(guān)閉的安全性；

（5）調(diào)整內(nèi)核；

（6）日志及審核以及一些其他的內(nèi)容等。

2.1 更新系統(tǒng)補丁

系統(tǒng)補丁的更新對于系統(tǒng)管理人員而言，是一項基本的維護工作，其實系統(tǒng)補丁主要包含操作系統(tǒng)補丁、應(yīng)用服務(wù)軟件補丁等，例如Web服務(wù)、DNS服務(wù)以及數(shù)據(jù)庫等。SUN操作系統(tǒng)補丁列表的獲取，網(wǎng)站如下：ftp：//sunsolve1.sun.comPpubPpatches/；

http：//sunsolve1.sun.com/。

進行完整性檢查，通過校驗工具對所下載的補丁軟件進行查看，避免補丁軟件被植入木馬程序。有條件的話也可以先進行補丁修補的實驗，由于一些補丁可能會對服務(wù)運行造成限制，系統(tǒng)管理人員運用showrev-p命令對系統(tǒng)補丁的修補狀況進行檢查。

2.2 確?？刂婆_安全

首先要設(shè)置一個OpenBoot安全級別，其目的在于避免可物理接觸系統(tǒng)的行為主體對系統(tǒng)OpenBoot參數(shù)進行篡改，最終控制系統(tǒng)。其一可以對允許訪問OpenBoot用戶通過外部硬盤開啟系統(tǒng)，以此達到控制系統(tǒng)的目的，其二，通過Stop-A關(guān)閉系統(tǒng)的用戶，可以對全部OpenBoot環(huán)境變量進行修改。Openboot安全級別主要包括none、command、full這3種，具體含義可從SOLARIS系統(tǒng)內(nèi)自行查找。

2.3 保證文件系統(tǒng)的安全性

對于計算機系統(tǒng)而言，文件系統(tǒng)是其中對于關(guān)鍵的部分，主要作用是對計算機信息進行管理和儲存，其中有數(shù)據(jù)和操作系統(tǒng)等。此外，管理系統(tǒng)文件的運行，主要是對訪問權(quán)限進行設(shè)置，并控制用戶訪問文件的具體形式，例如讀、寫以及具體的執(zhí)行。

2.3.1 文件權(quán)限

因為包含suidPsgid位可執(zhí)行文件極有可能被入侵者所利用，使其能夠獲得系統(tǒng)最高root權(quán)限。所以，若這一文件或者目錄無需suidPsgid權(quán)限，要將與之相對應(yīng)的suidPsgid位刪除。

2.3.2 將一些使用率不高的suid文件闡述

過多的setuid程序一般只是通過root實現(xiàn)運行，或是通過某一特定用戶實現(xiàn)運行，其實可以移除setuid位，系統(tǒng)管理員按照實際適當(dāng)調(diào)整。參考SUN網(wǎng)站、CERT發(fā)表的安全公告，若已經(jīng)存在漏洞程序依然有setuid位，需要下載補丁并對補丁進行更新。如果當(dāng)前不能獲取需要的補丁程序，可以先將這一程序setuid位移除，并新建setuidPsetgid程序列表，將其當(dāng)作系統(tǒng)審核重要根據(jù)。如此便可以觀察是否有新setuid程序。針對一些無法確定來源的setuid位程序，要及時將其刪掉。

2.3.3 對不需要的sgid文件權(quán)限進行變更

針對使用率較高并且十分必要的文件，需要建立sgid位。系統(tǒng)管理員按照應(yīng)用需求進行設(shè)置，一般是不需要設(shè)置的。

2.4 用戶管理

2.4.1 對不需要的系統(tǒng)帳戶進行封鎖

帶有管理性質(zhì)的帳號要及時進行封鎖，以免遭到入侵者的利用。這一類帳號主要以bin、adm、nuucp、nobody、noaccess為主。

2.4.2 口令與口令策略

口令的長度必須要長于8位，且要同時包含字母、數(shù)字、標(biāo)點。在設(shè)置密碼參數(shù)時，要對/etc/default/passwd進行編輯、設(shè)置。確保所有用戶都已經(jīng)進行了密碼的設(shè)置，隨后對/etc/passwd和/etc/shadow進行檢查，所有用戶密碼欄都要處于空白狀態(tài)。endprint

2.4.3 對登錄配置文件進行修改

避免root遠程登錄，超級用戶最好不要采用直接登錄的方式，并在/etc/default/login文件內(nèi)進行CONSOLE=/dev/null的設(shè)置。如此一來，所有想要成為超級用戶系統(tǒng)管理員，都要先登陸自己的普通帳號，并使用su命令將賬戶切換成為超級用戶。這主要是因為系統(tǒng)會自動記錄用戶對于su命令的使用情況，從而對用戶行為進行審查。

編輯etc/default/login，并加上以下代碼，如圖1所示。

對所有的root登錄嘗試進行記錄，如圖2所示。

2.4.4 進行root權(quán)限的umask設(shè)置

對root權(quán)限的.profile進行檢查，保證umask是027或者077。

2.4.5 對于所有的path

要將全部的/.0路徑去除，并對缺省啟動腳本、root啟動腳本進行檢查，闡述路徑變量內(nèi)的/.0路徑，例如：/. login，/etc/.login，/etc/default/login，/. cshrc，/etcPskel/local文件。

2.5 系統(tǒng)開啟和關(guān)閉

該程序及/etc/init.d、/etc/rc.X目錄以及/etc/inittab文件，系統(tǒng)管理員可以將以上文件與目錄權(quán)限進行更改，設(shè)置為僅超級用戶可寫。并在rc.x目錄內(nèi)將一些作用不大的服務(wù)關(guān)閉， 更換格式，在需要的時候可以順利開啟。例如：mv/etc/rc3.d/S92volmgt/etc/rc3.d/no—use—S92volmgt。

snmpdxautofs （Automounter） volmgt （Volume Deamon）lpsched （LP print service） nscd （Name Service Cache Daemon）Sendmail，這一服務(wù)在理論上其實應(yīng)該被禁用，然而系統(tǒng)管理員可按照系統(tǒng)的應(yīng)用要求，以系統(tǒng)最小化原則決定是否被禁用。

此外，rpcbind主要功能是遠程呼叫，按照遠程系統(tǒng)所提供的IP地址以及遠程用戶提供的ID，對其實施驗證，如此一來便提高了偽造、更改的便捷性。關(guān)于這一問題，可以先將rpcbind服務(wù)關(guān)閉。

2.6 調(diào)整內(nèi)核

將堆棧錯誤進行修正，避免溢出。可以將堆棧設(shè)置成為不可執(zhí)行，具體流程如下：將以下幾行歸納到/etc/system內(nèi)：set noexec—user—stack=1 set noexec—user—stack—log=1。隨后將文件權(quán)限進行更改，最終改為#chmod 644PetcPsystem。

2.7 日志與審核

設(shè)置一個合理的cronlogfiles。編輯配置文件/etc/cron.d/logchecker內(nèi)LIMIT項。系統(tǒng)管理人員按照以往總結(jié)經(jīng)驗進行設(shè)置，通常需要觀察日志查看周期與日志生成的信息量。關(guān)于cron日志審核周期，最好以7天為一周期。此外，對inetd服務(wù)進行記錄。編輯/etc/init.d/inetsvc，在該文件中找到inetd啟動項，如/usr/sbin/inetd -s -t&。

3 結(jié)束語

綜上所述，要構(gòu)建一個安全性高的SUN SOLARIS系統(tǒng)，需要從Solaris系統(tǒng)的安全配置、主機安全配置這兩個方面著手，考慮容易出現(xiàn)問題的因素，尤其是系統(tǒng)管理人員，更要做好系統(tǒng)的設(shè)置工作，并做好數(shù)據(jù)備份。文章中主要從加強本地安全、加強網(wǎng)絡(luò)安全、加強應(yīng)用安全、監(jiān)控警報這四點分析了Solaris系統(tǒng)的安全配置，并在確?？刂婆_安全、保證文件系統(tǒng)的安全性、用戶管理等六個方面，分析了主機的安全配置，希望能夠為各地區(qū)分局的Telephonics自動化SUN SOLARIS系統(tǒng)構(gòu)建提供合理的參考。

參考文獻

[1]王雅芬，胡世安，劉杉堅，袁子立.GTK+在Sun Solaris系統(tǒng)中的開發(fā)與應(yīng)用[J].計算機科學(xué)，2012，39（S3）：349-351.

[2]白興瑞.基于SUN Solaris 10的DNS域名服務(wù)器配置[J].現(xiàn)代計算機（專業(yè)版），2014（05）：98-99.

[3]鐘吉太，岳淑華，楊志仁.Solaris10操作系統(tǒng)在SUN V890服務(wù)器中的安裝方法[J].物探裝備，2016（04）：298-300.

[4]陳衛(wèi)榮，黃進華.Sun solaris環(huán)境中用sendmail建立郵件服務(wù)器的研究[J].寧德師專學(xué)報（自然科學(xué)版），2014（04）：403-406.

作者單位

民航湖北空管分局 湖北省武漢市 430302endprint