Гальвин Питер. The Solaris Security
Подождите немного. Документ загружается.
The Solaris Security FAQ
Ответы на все ваши вопросы по защите Solaris-а
Вступление
Отслеживание всей информации по защите систем Solaris - довольно трудная задача.
Имеется просто общая информация относительно обеспечения Solaris-а, имеются
заплатки, о которых нужно знать, имеются инструментальные средства, которые нужно
использовать, имеется много источников информации по защите. Так же необходимо
учесть и специфические потребности, если вы пытаетесь защитить Solaris Web-сервер.
Ваша работа теперь стала намного проще - ведь у Вас есть этот справочник по защите
Solaris, в котором есть все, что необходимо знать и даже больше!
Составитель - Питер Гальвин
Русская версия - Ильченко Евгений
Ниже, Вы можете найти список вопросов, которые часто задаются относительно защиты
систем Solaris 2.x. Вы можете помочь нам сделать его более полным и точным, написав
предложения по этим адресам: security-faq@sunworld.com и eugene@tsu.ru.
Последние изменения в этом справочнике обозначены как "+" для новых разелов, а "*"
для обновленных разделов.
1. Общий раздел
* 1.1) Насколько защищена solaris 2?
* 1.2) Какой версией Solaris-а я должен пользоваться?
1.3) Могу ли просто установить систему и игнорировать ее в дальнейшем?
2. Как я могу отконфигурировать Solaris, чтобы
делать его более защищенным?
2.1) Какие разрешения доступа к файлам я должен изменить?
2.2) Как я должен изменить конфигурацию пользователя root?
2.3) Как я должен изменить файлы запуска?
2.4) Как отключить доступ из сети пользователю root?
2.5) Как отключить доступ посредством rlogin/rsh ?
2.6) Какие предустановленные пользователи ненужны?
* 2.7) Как защитить устройства?
2.8) Какие права на файлы в директории /etc нужно поменять?
2.9) Почему Solaris-машины работают как маршрутизаторы?
2.10) Как отключить automounter?
2.11) Как отключить службу NFS?
2.12) Должен ли я беспокоиться относительно запуска cron-заданий?
2.13) Безопасно ли использование динамической маршрутизации?
2.14) Когда и как я должен использовать статический ARP?
2.15) Безопасно ли использование rpcbind ?
2.16) Какие права доступа должны быть установлены на /etc/utmp ?
2.17) С каких программ можно убрать suid?
2.18) Какие средства системы я могу отключить?
2.19) Должен ли я оставить in.fingerd ?
2.20) Может ли syslog быть более эффективным?
2.21) Как EEPROM может сделать систему более защищенной?
2.22) Находится ли моя машина в состоянии прослушивания сети (promiscuous)?
2.23) Если я использую NFS, как можно сделать его более защищенным?
2.24) Как могу я защитить sendmail
2.25) Хорошо ли защищен NIS и как его сделать еще более защищенным?
2.26) Что необходимо для обеспечени защиты анонимного ftp-сервиса?
2.27) Как можно сделать X-Windows более защищенным?
2.28) Как включить SUN-DES-1 аутентификацию?
* 2.29) Какие заплатки я должен установить?
+ 2.30) Как я могу предотвратить выполнение кода в стеке?
3. Какие программы я должен заменить или
добавить?
3.1) inetd ?
* 3.2) ifstatus ?
* 3.3) xntp ?
* 3.4) sendmail ?
3.5) rpcbind ?
* 3.6) Программы проверки паролей?
3.7) crack ?
3.8) ftp ?
3.9) fix_modes ?
3.10) noshell ?
3.11) bind ?
3.12) netcat ?
4. Какие еще полезные ресурсы я должен знать?
4.1) Списки рассылки компании Sun?
4.2) Обновления от Sun-а?
4.3) Другие ответы на вопросы по системам Solaris?
4.4) Полезные группы новостей?
4.5) Полезные списки рассылки?
* 4.6) Полезные статьи?
* 4.7) Полезные WWW-сайты?
5. Как я могу сделать свою станцию Solaris более
защищенной?
5.0) Обзор
5.1) Шаг 0 - контрольный список защиты сервера.
5.1) Шаг 1 - настройка оборудования
5.2) Шаг 2 - установка операционной системы
5.3) Шаг 3 - изменение настроек
5.4) Шаг 4 - установка программного обеспечения других производителей
5.5) Шаг 5 - ограничение доступа к системе
5.6) Шаг 6 - конфигурирование системы S/Key
5.7) Шаг 7 - конфигурирование сервиса wu-ftp
5.8) Шаг 8 - ограничение доступа к файлам и файловым системам
5.9) Шаг 9 - проверка конфигурации
5.10) Шаг 10 - дополнительные предложения
6. Благодарности
1) Общий раздел
1.1) Насколько защищена solaris 2?
Solaris 2 относительно безопасная система, учитывая то, что она служит для общих целей,
работает с разделением времени и многопользовательским доступом. Разумеется, такие
системы создаются с некоторыми компромиссами. Solaris 2 - версия Unix, которая не
создавалась специально для защиты. Однако, SUN активно выпускает заплатки(patches)
для закрытия брешей в защите. Так же, имеются дополнительные средства, которые могут
увеличить защиту Solaris (см. раздел 3).
В действительности, Solaris был разработан в соответствии с требованиями TCSEC
(Оранжевая Книга C2) к уровню защиты. По утверждению SUN-а, Solaris 2.4SE
сертифицирован на ITSEC E2/F-C2. Solaris 2.6 в настоящее время подвергается обоим
испытаниям ITSEC E3/F-C2 и TCSEC C2 на получение свидетельств защищенности.
Текущая информация может быть найдена по адресу http://www.sun.com/solaris/2.6/ds-
security.html.
Чтобы сформировать систему, которая будет соответствовать нормам, необходимо
установить ряд заплат. Пакет из заплат, используемых для улучшения защиты может быть
получен непосредственно от SUN-а.
Для тех, кто нуждается в лучшем качестве защиты, нежели обеспеченная уровнем C2,
SUN поставляет версию Solaris, которая соответствует требованиям TCSEC CMW
(Изолированное Автоматизированное Место) - уровню, который превышает B1.
Trusted Solaris 1.2 F-B1/E3 (Основан на SunOS 4.1.3_U1)
Trusted Solaris 2.5.1 F-B1/E3 (Основан на Solaris 2.5.1 11/97)
1.2) Какой версией Solaris-а я должен пользоваться?
Где защита наиболее хорошая? Каждый последующий выпуск Solaris-а был
усовершенствован, по отношению к предшественнику. Solaris 2.7 - в настоящее время
самая последняя версия и также наиболее защищеная.
1.3) Могу ли просто установить систему и игнорировать ее в дальнейшем?
Большинство установленных машин, страдают от определенной энтропии: на них не
установлена последняя версия ОС, последние заплаты и программы. Очень важно
установить самые последние заплаты. По крайней мере, надо убедиться, что все известные
дырки в защите закрыты.
2) Как я могу отконфигурировать Solaris, чтобы делать его более
защищенным?
2.1) Какие разрешения доступа к файлам я должен изменить?
Программа fix-modes выполняется на системах Solaris 2.4 и 2.5 и изменяет права на
системные файлы и каталоги. Новые права доступа создают дополнительные проблемы,
на пути хакера, желающего получить полный доступ или изменить системные файлы.
2.2) Как я должен изменить конфигурацию пользователя root?
Убедитесь, что у root-а стоит umask 077 или 027.
Убедитесь, что root имеет безопасный путь поиска файлов, напрмер как /usr/bin:/sbin:/usr/
sbin
2.3) Как я должен изменить файлы запуска?
В основном, исследуйте все файлы в /etc/rc2.d и /etc/rc3.d, начинающиеся с "S". Все
файлы, которые запускают ненужные в Вашей системе средства, должны быть
переименованы (убедитесь, что новые имена не начинаются с "S"). Проверьте все
изменения с помощью перезагрузки, просмотрите /var/adm/messages, и проверьте систему
на наличие посторонних процессов, показанных программой ps -elf.
2.4) Как отключить доступ из сети пользователю root?
Удостоверитесь в том, строка "CONSOLE", в файле /etc/default/login, разкоментированна.
Чтобы отключить использование сервиса ftp, добавьте "root" в файл /etc/ftpusers.
2.5) Как отключить доступ посредством rlogin/rsh?
Удалитe /etc/hosts.equiv, /.rhosts, и все "r"-команды из /etc/inetd.conf. Выполните kill -HUP
для процесса inetd.
2.6) Какие предустановленные пользователи ненужны?
Удалите, блокируйте, или закомментируйте ненужные имена пользователей, включая
"sys", "uucp", "nuucp", и "listen". Самый надежный способ закрыть их состоит в том, чтобы
поместить "NP" в поле пароля, в файле /etc/shadow. Также, рассмотрите использование
программы noshell, чтобы записывать попытки использования этих имен.
2.7) How to I protect devices?
Файл /etc/logindevperm содержит информацию о конфигурации прав доступак
устройствам для того, чтобы они устанавливались при входе в систему (устройства:
console, keyboard, и т.д.). Проверьте значения прав и измените их при необходимости.
Для временных средств хранения данных (например, для ленты), подсистема BSM
обеспечивает команды занятия и освобождения устройства, которые гарантируют,
чтоТолько один пользователь может обращаться к временным средствам средствам в один
момент.
2.8)Какие права на файлы в директории /etc нужно поменять?
Ни один файл в /etc не нуждается в возможности группой записи. Удалите групповые
права на запись с помощью команды chmod -R g-w /etc
2.9) Почему Solaris-машины работают как маршрутизаторы?
По умолчанию, если Solaris машина имеет больше чем один сетевой интерфейс, Solaris
будет маршрутизировать пакеты между этими интерфейсами. Этим свойством можно
управлять из файла /etc/init.d/inetinit. Дла выключения маршрутизации в системе Solaris
версии 2.4 (или меньшей), добавьте ndd -set /dev/ip ip_forwarding 0 в конец файла
/etc/init.d/inetinit. В Solaris 2.5, просто выполните touch /etc/notrouter. Вы должны
знать, что всегда остается возможнось уязвимости ОС в течение запуска, когда машина
может перенаправлять пакеты, до того, как маршрутизация отключится.
2.10) Как отключить automounter?
Automounter контролируется с помощью файлов конфигурации /etc/auto_*. Чтобы
отключить automounter, удалите эти файлы, и/или отключите /etc/rc2.d/S74autofs.
2.11) Как отключить службу NFS?
NFS-системы контролируются с помощью файла /etc/dfs/dfstab. Удалите этот файл. Для
отключения сервера NFS, переименуйте /etc/rc3.d/S15nfs.server. Чтобы запретить
использование NFS-клиента, переименуйте /etc/rc2.d/S73nfs.client. При переименовании
файлов запуска, убедитесь, что их названия не начинаются с символа "S".
2.12) Должен ли я беспокоиться относительно запуска cron-заданий?
Пересмотрите все запускающиеся cron-задания в файле cron каждого пользователя
системы в каталоге /var/spool/cron/crontabs. Разрешите запись в log-файл всех действий
выполняемых cron-ом, установив "CRONLOG=yes" в файле /etc/default/cron.
2.13) Безопасно ли использование динамической маршрутизации?
Машины, использующие динамический маршрутизатор наподобие in.routed и in.rdisc
уязвимы из-за получения неверных маршрутов. Эти маршруты могут разорвать некоторые
соединения или даже всю связь с другими сетями. Когда это возможно, используйте
статические маршруты (маршруты, добавленные с помощью команды route при запуске
системы.
2.14) Когда и как я должен использовать статический ARP?
ARP - протокол, используемый для сопоставления IP и Ethernet адресов. Машины,
которые соединены посредством сети (и не имеют маршрутизаторов между собой) знают
ARP-адреса друг друга. Если одна машина заменяется другой, то ARP адреса обычно
различаются. По умолчанию, Solaris динамически определяет адреса ARP. Команда arp
может использоваться, чтобы статически установить ARP входы таблицы и обновить все
другие входы. Это свойство лучше всего используется при наличии небольшого
количества неизменных сетевых систем и машины должны быть уверены в
аутентификации друг друга.
2.15) Безопасно ли использование rpcbind?
rpcbind - программа, которая позволяет rpc-клиентам и rpc-сервисам найти друг друга. К
сожалению, стандартный rpc незащищен. Он использует "AUTH_UNIX" аутентификацию,
следовательно он использует IP-адрес удаленной системы и UID удаленного пользователя
для идентификации. Обе эти формы идентификации могут быть легко подделанны или
изменены. Системы общего назначения обычно нуждаются в rpc для удобства
пользователей. На системах специального назначения (Web-сервера, ftp-сервера, почтовые
сервера и т.д) можно заблокировать rpc. Проверьте все средства, которые Вам
необходимы для работы и удостоверьтесь, что они не зависят от отключения rpc. Для
отключения rpc, переименуйте /etc/rc2.d/S71RPC.
2.16) Какие права доступа должны быть установлены на /etc/utmp?
На /etc/utmp могут быть установлены права 644 без какого-либо воздействия на любой
сервис.
2.17) С каких программ можно убрать suid?
Большинство из setuid и setgid программ, на системах Solaris, используются только
пользователем root или пользователем (группой) которым принадлежит файл. С таких
файлов можно удалить аттрибуты setuid и setgid, без уменьшения способности
пользователя выполнить свою работу. Рассмотрите каждую из этих программ
индивидуально, относительно их использования в вашей системе. Ниже приведен список
setuid-программ, взятый из системы Solaris 2.6:
# find / -perm -4000 -print/usr/lib/lp/bin/netpr
/usr/lib/fs/ufs/quota
/usr/lib/fs/ufs/ufsdump
/usr/lib/fs/ufs/ufsrestore
/usr/lib/fs/vxfs/vxdump
/usr/lib/fs/vxfs/vxquota
/usr/lib/fs/vxfs/vxrestore
/usr/lib/exrecover
/usr/lib/pt_chmod
/usr/lib/sendmail
/usr/lib/utmp_update
/usr/lib/acct/accton
/usr/lib/uucp/remote.unknown
/usr/lib/uucp/uucico
/usr/lib/uucp/uusched
/usr/lib/uucp/uuxqt
/usr/lib/sendmail.orig
/usr/openwin/lib/mkcookie
/usr/openwin/bin/xlock
/usr/openwin/bin/ff.core
/usr/openwin/bin/kcms_configure
/usr/openwin/bin/kcms_calibrate
/usr/openwin/bin/sys-suspend
/usr/dt/bin/dtaction
/usr/dt/bin/dtappgather
/usr/dt/bin/sdtcm_convert
/usr/dt/bin/dtprintinfo
/usr/dt/bin/dtsession
/usr/bin/at
/usr/bin/atq
/usr/bin/atrm
/usr/bin/crontab
/usr/bin/eject
/usr/bin/fdformat
/usr/bin/login
/usr/bin/newgrp
/usr/bin/passwd
/usr/bin/ps
/usr/bin/rcp
/usr/bin/rdist
/usr/bin/rlogin
/usr/bin/rsh
/usr/bin/su
/usr/bin/tip
/usr/bin/uptime
/usr/bin/w
/usr/bin/yppasswd
/usr/bin/admintool
/usr/bin/ct
/usr/bin/cu
/usr/bin/uucp
/usr/bin/uuglist
/usr/bin/uuname
/usr/bin/uustat
/usr/bin/uux
/usr/bin/chkey
/usr/bin/nispasswd
/usr/bin/cancel
/usr/bin/lp
/usr/bin/lpset
/usr/bin/lpstat
/usr/bin/volcheck
/usr/bin/volrmmount
/usr/bin/pppconn
/usr/bin/pppdisc
/usr/bin/ppptool
/usr/sbin/allocate
/usr/sbin/mkdevalloc
/usr/sbin/mkdevmaps
/usr/sbin/ping
/usr/sbin/sacadm
/usr/sbin/whodo
/usr/sbin/deallocate
/usr/sbin/list_devices
/usr/sbin/m64config
/usr/sbin/lpmove
/usr/sbin/pmconfig
/usr/sbin/static/rcp
/usr/sbin/vxprint
/usr/sbin/vxmkcdev
/usr/ucb/ps
/usr/vmsys/bin/chkperm
/etc/lp/alerts/printer
Создайте основной список программ с оставленными setuid/setgid правами и иногда
проверяйте его на соответствие с новым состоянием системы.
2.18) Какие средства системы я могу отключить?
Каждая система должна быть проверена на наличие ненужных сервисов. Если Вы нашли
подобный - отключите его. Некоторые из сервисов запускаются из файлов загрузки
системы (как описано в секции 2), а некоторые из файла /etc/inetd.conf. В последнем
случае, закомментируйте строку, запускающую сервис и выполните перезагрузку kill -
HUP сервиса inetd. Ниже приведены некоторые часто ненужные сервисы:
tftp systat rexd ypupdated netstatrstatd
rusersd sprayd walld exec
comsat rquotad name uucp
Для создания еще более защищенной системы, замените стандартный inetd.conf на
другой, который включает только telnet и ftp (если Вы нуждаетесь в этих средствах).
2.19) Должен ли я оставить in.fingerd?
В сервисе in.fingerd раньше были некоторые проблемы защиты. Если Вы хотите
обеспечивать этот информационный сервис, то выполняйте его как "nobody", а не как
"root".
2.20) Может ли syslog быть более эффективным?
По умолчанию, syslog обеспечивает минимальную регистрацию системных событий.
Измените файл /etc/syslog.conf, чтобы получить большее количество информации в файле
регистрации, а так же разделите файлы, куда записываются события. Что-нибудь
связанное с защитой, должно записываться в шифрованный файл. К сожалению, syslog
должен быть перезапущен для того, чтобы перечитать новый конфигурационный файл.
Запись о попытках входа в систему можно получить, создав файл "loginlog":
touch /var/adm/loginlogchmod 600 /var/adm/loginlog
chgrp sys /var/adm/loginlog
2.21) Как EEPROM может сделать систему более защищенной?
Установите режим защиты EEPROM, с помощью "ok setenv security-mode=command", для
того, чтобы защитить паролем все команды EEPROM за исключением "boot" и "continue".
Установите пароль EEPROM-а, чтобы никто не мог изменять его параметры. К
сожалению, это не особенно надежно защищает машину. Если кто-то получит физический
доступ к компьютеру, он может открыть ее и заменить EEPROM. Замена EEPROM также
изменит hostid этого сервера. Запишите все "hostid" ваших машин и проверяйте их
иногда.
2.22) Находится ли моя машина в состоянии прослушивания сети (promiscuous)?
При использовании системы Solaris, нет никакого способа определить, находятся ли
сетевые интерфейсы машины в "прослушивающем" режиме. Такой режим позволяет
машине видеть все сетевые пакеты и не только те, которые предназначенны для этого
компьютера. Это позволяет машине просматривать сеть и анализировать весь сетевой
трафик. Интерфейс должен быть в прослушивающем режиме только при запуске
программы snoop или другой программы мониторинга сети. Если Вы не запускали таких
программ, и интерфейс вашей машины находится в прослушивающем режиме, то
вероятно, что хакер контролирует вашу сеть. Бесплатный продукт ifstatus возвращает
статус сетевой карты, в том числе и информацию о прослушивающем режиме (См. раздел
3.)
2.23) Если я использую NFS, как можно сделать его более защищенным?
Любая файловая система, перечисленная в /etc/dfs/dfstab будет экспортироваться в
сеть по умолчанию. Включите список nfs-клиентов (или сетевой группы) с
помощью параметров "-o rw" или "-o ro".
Включите параметр "nosuid", для того, чтобы запретить setuid-программы на этом
томе (если это не нужно).
Не выполняйте монтирование nfs через rpcbind - сервис mount решит, что запрос
локальный и разрешит suid. Такая функция является источником известных
rpcbind-уязвимостей, как сообщено CERT-ом (раздел 4). Используйте измененный
rpcbind (раздел 3) который отключает пересылку запроса, или убедитесь, что у Вас
установлены последние rpcbind заплаты, которые также отключают
перенаправление запроса.
Используйте secure-RPC, если это возможно. Иначе, вы используете
"AUTH_UNIX" аутентификацию, которая зависит от IP-адреса пользователя.
Любая машина, использующая адрес из Вашего списка доступа, может получить
доступ к NFS.
Отключите NFS, если это возможно. NFS-трафик передается без шифрования - в
чистом виде (даже при использовании "AUTH_DES" или "AUTH_KERB" для
аутентификации) так, что любые файлы, передаваемые через NFS могут быть
перехвачены прослушивающей машиной.
Некоторые (хакерские) программы умеют подбирать дескриптор файла из
корневой системы и таким образом получать любой файл с NFS станции,
независимо от прав доступа. Используйте fsirand, чтобы рандомизировать номера
inode на NFS-серверах.
2.24) Как могу я защитить sendmail
С Solaris 2.5, SUN поставляет намного более современный sendmail. Однако, имеются
новые ошибки, сообщяемые ежемесячно. Как можно сделать sendmail более безопасным?
Установите последнюю версию Berkeley sendmail (см. раздел 3)
Используйте smrsh (раздел 3)
Удалите "decode" из /etc/aliases
Установите права на /etc/aliases в 644
Рассмотрите возможность использования брандмауэра с фильтрацией SMTP-
трафика, для отбрасывания ненужных команд SMTP.
2.25) Хорошо ли защищен NIS и как его сделать еще более защищенным?
NIS - не защищенный распределенный сервис имен. NIS+ более безопасен когда
правильно отконфигурирован. NIS отдаст всю информацию из таблиц, если его доменное
имя будет подобрано. Чтобы закрыть эту дырку, поместите адреса доверенных
серверов/сетей в файл /var/yp/securenets. Также рассмотрите использование secure-RPC
или NIS+. В конце-концов, не включайте root-а и другие системные входы в NIS таблицы.
2.26) Что необходимо для обеспечени защиты анонимного ftp-сервиса?
Solaris 2.5 ftpd(1M) содержит неплохой набор примеров конфигурации. Необходимо
проделать тоько следующие действия:
cp /etc/nsswitch.conf ~ftp/etc
Удостоверитесь, что файловая система, содержащая ~ftp не примонтирована с
опцией "nosuid".
Ни один файл под ~ftp, не должен принадлежать "ftp"
Более детальные инструкции могут быть найдены в разделе 4.
2.27) Как можно сделать X-Windows более защищенным?
Используйте SUN-DES-1, чтобы получить Secure RPC, для передачи
авторизации/аутентификации X-Windows.
Используйте xhost +user@host при раздаче доступа
2.28) Как включить SUN-DES-1 аутентификацию?
set DisplayManager*authorize: true
set DisplayManager._0.authName: SUN-DES-1
rm ~/.Xauthority
Добавьте разрешение для локального компьютера с помощью xauth local/unix:0
SUN-DES-1 unix.local@nisdomain and xauth local:0 SUN-DES-1
unix.local@nisdomain
Запустите X: xinit -- -auth ~/.Xauthority
Добавьте себя и удалите всех остальных: xhost +user@ +unix.local@nisdomain -
local -localhost
Теперь, чтобы дать пользователю "foo" разрешение обращаться к серверу:
Дайте "foo" права на сервер: xhost +foo@
Создайте подходящую авторизацию: xauth add node:0 SUN-DES-1
unix.node@nisdomain
Теперь, "foo" может подсоединиться к серверу: xload -display node:0
2.29) Какие заплатки я должен установить?
Используйте showrev -p для просмотра заплат , установленных на систему. Проверьте
SUN-овский список заплат (раздел 4) для текущей версии системы. Загрузите и
установите все подходящие заплаты защиты. Иногда порверяйте список заново. Не
обязательно ставить все заплаты на всех машинах, но защищенные сервера или сервера с
публичным доступом должны проверяться постоянно. Программа patchdiag, которую
можно найти на SunSolve CD и на SunSolve Web-сайте, автоматически сравнит версии
заплат на сервере с текущими рекомендациями SUN-a и покажет Вам различия.
2.30) Как я могу предотвратить выполнение кода в стеке?
Имеется целая категория дыр в защите, которые зависят от одного дефекта системы:
способность выполнять код из стека. Эти ошибки переполняют буфер так, что данные
могут быть записаны в область стека. В него, пишется код, который затем исполняется.
Таким образом, из-за этих ошибок можно выполнить произвольный код.
Чтобы защитить систему от взломов, основанных на переполнении буфера, добавьте
следующие строки в файл /etc/system:
set noexec_user_stack=1
set noexec_user_stack_log =1