电脑技术学习

Solaris安全手册

dn001

  使NTP-NETWORK TIME PROTOCOL无效(NTP会增加带宽和不安全的因素,建议使用

  rdate到一台使用NTP的机器来获得精确时间):

  rm /etc/rc2.d/S74xntpd

  使SNMP无效:

  rm /etc/rc2.d/K07snmpdx /etc/rc3.d/S76snmpdx

  在Inetinit中是IP forwarding和sourec routing(源路)由无效(假如有超过一个网络接口的话)。在/etc/init.d/inetinit中增加下面所示设置:

  ndd -set /dev/ip ip_forward_directed_broadcasts 0

  ndd -set /dev/ip ip_forward_src_routed 0

  ndd -set /dev/ip ip_forwarding 0

  根据RFC1948建议在/etc/default/inetinit中增加如下的生成初始化序列号设置来防止TCP序列号预测攻击(ip欺骗):

  TCP_STRONG_ISS=2

  在/etc/system中增加如下设置来防止某些缓冲溢出攻击。这些保护是那些需在堆栈中执行的攻击方式。但需要硬件的支持(只在sun4u/sun4d/sun4m系统中有效):

  set noexec_user_stack=1

  set noexec_user_stack_log=1

  使用默认路由:在/etc/defaultrouter中增加IP地址,或使用route在/etc/rc2.d/S99static_routes中建立启动文件。为了使动态路由无效:

  touch /etc/notrouter

  为了使多路广播(multicasting)无效请在/etc/init.d/inetsvc中注解掉

  route add 224.0.0.0周围的几行。

  为了记录INETD连接的所有信息,在inetd低端的启动行中增加-t参数,

  即:: /usr/sbin/inetd -s -t

  在/etc/hosts中配置一些你想取舍的主机(一些你不想通过DNS解析的)。

  /etc/inetd.conf:

  先使所有服务无效;

  配置你真正需要的服务,但必须使用FWTK netacl或tcp wrappers来允许最小限度的IP地址访问和各种记录

标签: