|
Solaris系统安全检测规范
一、
Solaris 安全初始化快照............................................................................... 1
二、
solaris系统应急处理工作包......................................................................... 8
1.
系统基本命令.............................................................................................. 8
2.
其它工具软件.............................................................................................. 9
3.
工具下载地址:........................................................................................... 10
三、
solaris系统初步检测技术规范.................................................................... 10
1.
系统检测技术规范..................................................................................... 10
2.
检测典型案例............................................................................................ 11
四、
solaris系统高级检测技术规范.................................................................... 13
1.
Solaris高级检测技术规范........................................................................... 13
2.
高级检测技术案例..................................................................................... 14
一、
Solaris 安全初始化快照以Solaris8为例:
1)所有setuid和setgid的文件列表
命令:
# find / -type f \( -perm -04000 -o -perm -02000 \) –print
查找系统中所有的带有suid位和sgid位的文件
2)所有的隐藏文件列表
命令:
# find / -name ".*" –print
查找所有以”.”开头的文件并打印出路径
3)初始化进程列表
命令:
# ps –ef
说明:
UID:
进程所有者的用户id
PID:
进程id
PPID:
父进程的进程id
C:
CPU占用率
STIME: 以小时、分和秒表示的进程启动时间
TIME:
进程自从启动以后占用CPU的全部时间
CMD:
生成进程的命令名
4)开放的端口列表
命令:
# netstat -an
5) 开放的服务列表
命令:
# cat /etc/inetd.conf
6) 初始化passwd文件
命令:
# cat /etc/passwd
说明:
如果发现一些系统帐号(如bin, sys)加上了shell部分,就说明有问题, 下面是正常的passwd文件,bin、sys、adm等系统帐号没有shell.
bin:x:2:2::/usr/bin:
sys:x:3:3::/:
adm:x:4:4:Admin:/var/adm:
7) 初始化shadow文件
命令:
# cat /etc/shadow
说明:
如果发现某些系统帐号的密码被更改, 或者不可登录的用户有密码, 就说明该帐号有问题。
sys: CVLoXsQvCgK62:6445::::::
adm: CVLoXsQvCgK62:6445::::::
8) 初始化的不能ftp登陆的用户
命令:
# cat ftpusers
说明:
在这个列表里边的用户名是不允许ftp登陆的。如果列表改变了,有可能是被入侵者改动过。
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
noaccess
nobody4
9) 初始化的用户组
命令:
# cat /etc/group
说明:
这是系统用户的分组情况
root::0:root
other::1:
bin::2:root,bin,daemon
sys::3:root,bin,sys,adm
adm::4:root,adm,daemon
uucp::5:root,uucp
mail::6:root
tty::7:root,tty,adm
lp::8:root,lp,adm
nuucp::9:root,nuucp
staff::10:
daemon::12:root,daemon
sysadmin::14:
nobody::60001:
noaccess::60002:
nogroup::65534:
10) 初始化的 %
|
|
|
|
|