电脑技术学习

Solaris安全手册

dn001

  --在应用程序启动之前umask是否设置好如(如:022)

  --应用程序是不是能以非ROOT身份运行?是否很好的设置密码若最少8位加标点,字符大小写

  --注意是否所有文件的权限设置正确,即是不是只能有应用程序用户自己拥有

  读写权限,有没有全局能读写的文件

  --当应用程序在写LOG记录时是否安全?有没有可能把密码写到安装LOG中去(不用感到好笑,这很普遍)下面是一些安装常用服务所需要的安全问题

  1,FTP服务(ftp)

  -如果你使用Western University wu-ftpd,必须知道它存在一些历史BUG,如

  (请参看 CERT advisorIEs CA-93:06, CA-94:07,

  CA-95:16 and Auscert AA-97.03 and AA-1999.02),最起码使用V2.6.0或以后

  的版本。

  2,配置/etc/ftpusers的系统帐号使其不能用来FTP,如使以ROOT身份登录FTP无效,把root增加到/etc/ftpusers.要想把所有系统帐号加入到你的新系统中去可使用如下方法:

  awk -F: '{print $1}' /etc/passwd > /etc/ftpusers

  -FTP可以通过/etc/ftpusers选择性的激活每个用户;也可以使用下面的方法:

  对于那些不能通过FTP访问此机器的,提供他们一些不正规的SHELL(如BASH和TCSH),但不把新的SHELL加入到/etc/shells,这样FTP访问将被拒绝。相反,要把一个非标准的SHELL加入到/etc/shells才能使FTP正常工作。

  -使LOGGING有效:把-l选项增加到/etc/inetd.conf中去,另外-d选项将增加debug输出。

  -FTP可以限制IP地址或基于tcp wrappers的主机名。

  -如果需要匿名FTP访问,必须非常谨慎,一个chroot的环境是必须的。

  具体请参看in.ftpd 手册。避免允许上传文件权利。如果需要上传文件的权利,需不允许下载上载了的文件,隐藏上载文件名及不允许他们覆盖方式操作。

标签: