Solaris系统安全检测规范

network

Solaris系统安全检测规范

一、 Solaris 安全初始化快照............................................................................... 1 二、 solaris系统应急处理工作包......................................................................... 8 1. 系统基本命令.............................................................................................. 8 2. 其它工具软件.............................................................................................. 9 3. 工具下载地址:........................................................................................... 10 三、 solaris系统初步检测技术规范.................................................................... 10 1. 系统检测技术规范..................................................................................... 10 2. 检测典型案例............................................................................................ 11 四、 solaris系统高级检测技术规范.................................................................... 13 1. Solaris高级检测技术规范........................................................................... 13 2. 高级检测技术案例..................................................................................... 14 一、 Solaris 安全初始化快照以Solaris8为例： 1）所有setuid和setgid的文件列表 命令: # find / -type f \( -perm -04000 -o -perm -02000 \) –print 查找系统中所有的带有suid位和sgid位的文件 2）所有的隐藏文件列表 命令: # find / -name ".*" –print 查找所有以”.”开头的文件并打印出路径 3）初始化进程列表 命令: # ps –ef 说明： UID: 进程所有者的用户id PID: 进程id PPID: 父进程的进程id C: CPU占用率 STIME: 以小时、分和秒表示的进程启动时间 TIME: 进程自从启动以后占用CPU的全部时间 CMD: 生成进程的命令名 4)开放的端口列表 命令: # netstat -an 5) 开放的服务列表 命令: # cat /etc/inetd.conf 6) 初始化passwd文件 命令: # cat /etc/passwd 说明: 如果发现一些系统帐号(如bin, sys)加上了shell部分，就说明有问题, 下面是正常的passwd文件，bin、sys、adm等系统帐号没有shell. bin:x:2:2::/usr/bin: sys:x:3:3::/: adm:x:4:4:Admin:/var/adm: 7) 初始化shadow文件 命令: # cat /etc/shadow 说明: 如果发现某些系统帐号的密码被更改, 或者不可登录的用户有密码, 就说明该帐号有问题。 sys: CVLoXsQvCgK62:6445:::::: adm: CVLoXsQvCgK62:6445:::::: 8) 初始化的不能ftp登陆的用户 命令: # cat ftpusers 说明: 在这个列表里边的用户名是不允许ftp登陆的。如果列表改变了，有可能是被入侵者改动过。 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 9) 初始化的用户组 命令: # cat /etc/group 说明: 这是系统用户的分组情况 root::0:root other::1: bin::2:root,bin,daemon sys::3:root,bin,sys,adm adm::4:root,adm,daemon uucp::5:root,uucp mail::6:root tty::7:root,tty,adm lp::8:root,lp,adm nuucp::9:root,nuucp staff::10: daemon::12:root,daemon sysadmin::14: nobody::60001: noaccess::60002: nogroup::65534: 10) 初始化的 %