空间管理您的位置: IXPUB技术博客 » 妖界之箭欢迎您(CHINA *009) » 日志

为Solaris服务器配置开源安全工具(下)

上一篇 / 下一篇 2008-01-24 23:59:14

四、理解proc文件系统

　　在Solaris的文件系统中，有一个/proc文件系统，一些巨大的文件放在那里，/proc文件系统不是普通意义上的文件系统，它是一个到运行中进程地址空间的访问接口。通过/proc，可以用标准Unix系统调用(比如open()、read()、write()、ioctl()等等)访问进程地址空间。事实上，Solaris ps(1)命令正是利用/proc获取进程状态。

{'T7lQ1G7S0D:k|0 Solaris下使用/proc的工具相当完善，位于/usr/proc/bin目录中。这些工具提供了一种访问任意指定进程临界数据的简捷办法。/proc的魅力正是在于它包含了你可能想知道的关于一个进程的任何信息。/proc 是一个目录，其中包含了反映内核和进程树的各种文件。这些文件和目录并不存在于磁盘中，因此当您对这些文件进行读取和写入时，实际上是在从操作系统本身获取相关信息。比如：IXPUB技术博客g0LOy-X.zS)z

pldd -列出进程连接的动态库IXPUB技术博客iMWB*k#AUFt
pstack -调用栈
l{*^9wN!d0pfiles -打开的文件描述符列表
Ql;nA;O'v}5Lz0ptree -进程关系树
!Bk8L4@7SE2@0可以使用下面的命令查看端口列表
d?7G[GU/t?0/usr/proc/bin/pfiles?*?>/tmp/pfiles.outIXPUB技术博客v:Oz:]9~?e(iH
可以使用下面的命令查看进程列表
n4v[q5P1gx-T0
五、配置ssh的服务器和客户端：gftp
(SYI6]*S:F3w8EAx0IXPUB技术博客;bGW6_ik3jzN
    1 启动ssh服务器IXPUB技术博客bj%@p!`2~W
IXPUB技术博客W"T6dE'Ki7f5F'f
    通常使用的网络传输程序FTP和Telnet等在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，黑客利用嗅探器非常容易截获这些口令和数据。SSH的英文全称是Secure SHell。通过使用SSH，用户可以把所有传输的数据进行加密，这样即使网络中的黑客能够劫持用户所传输的数据，如果不能解密的话，也不能对数据传输构成真正的威胁。另外，传输的数据是经过压缩的，所以可以加快传输的速度。IXPUB技术博客%i(D1q&OLl/]
-W)L1v@Vj0    SSH（Secure Shell）最初由芬兰的一家公司开发，但由于受版权和加密算法的限制，很多人转而使用免费的替代软件OpenSSH。SSH是由客户端和服务端的软件组成的，有两个不兼容的版本，分别是：1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x
iq5LOgpwm0solaris10使用的ssh服务器是opensshd，当然也有付费的商业版本的sshd出售。就目前的情况看来，openssh已经在你安装操作系统的时候默认安装在系统上了，而且这个服务会随系统自动运行。可以使用命令svcs查看ssh是否正常运行，如图1 如果已经正常运行可以关闭不安全的telnet服务。IXPUB技术博客VE&x z0f9^_4zA
%`wLG#H;l:h0

图1 关闭不安全的telnet服务
7^T3?8x+N0IXPUB技术博客5`\9C0H?}"A
    2 安装gftp
1?.Cbi$t#w5[/Ss\0IXPUB技术博客%Y,O }bg6O!Mj
    # pkg_get –i gftpIXPUB技术博客;P/P p Fe(]-LH
IXPUB技术博客 gs$o@/ZX&]H%{
    3 使用gftpIXPUB技术博客1^X R!XH
IXPUB技术博客$B A"V4}KX
　　在命令栏目输入：/opt/csw/bin/gftp-gtk即可。如图2 。
vVp3dNX~A0
IXPUB技术博客 I5X {g3y9hP
图2 JDS桌面环境下的gftp界面IXPUB技术博客Se%\ExqV _.^
六配置GUI网络数据包工具wireshark
S;J.J^,Qf?To0    1 Wireshark简介
`^*UMkD.Q4w0
uy6hq$pQG7x$O0    Wireshark是一个有名的网络端口探测器，是可以在inux、Soaris、SGI等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。Ethernet网络监测工具可在实时模式或离线模式中用来捕获和分析网络通信。下面是使用Wireshark 可以完成的几个工作：
:^L QeT2Gr`4TY%fP0IXPUB技术博客RI,F4C)~$_"h
         网络管理员使用它去帮助解决网络问题
0JZ {)xl%]0         网络安全工程师用它去测试安全问题IXPUB技术博客/Gs,b r`-_2t$E
         开发人员用它是调试协议的实现过程
c#HnK*Nq j._$^0         用它还可以帮助人员深入的学习网络协议IXPUB技术博客wtO7Y]IR^
IXPUB技术博客1Jaj{j3@%c
　　下面是Wireshark 提供的一些特性：
I9|.e{+z eC0　　
3v"d7T~F4n,G P,D.i0         支持UNIX 平台和Windows 平台。
z1L:GB5Q\P+J*L0         从网络接口上捕获实时数据包
g)st1|5G0{;E0         以非常详细的协议方式显示数据包
N$c X?@G0         可以打开或者存贮捕获的数据包
$j U%Ggo3QaU-A"u0         导入/导出数据包，从/到其它的捕获程序
&M8u"m.Qw,a0         按多种方式过滤数据包IXPUB技术博客 Cr*lIQ,n
         按多种方式查找数据包IXPUB技术博客 em d4lg3R S
         根据过滤条件，以不同的颜色显示数据包IXPUB技术博客0`(deHa d @
         可以建立多种统计数据IXPUB技术博客Vb8@3r*h3l
VnSGm'y*`0    其最常用的功能是被攻击者用来检测被攻击电脑通过23（telnet）和110（pop3）端口进行的一些明文传输数据，以轻松得到用户的登录口令和邮件账号密码。对于网络管理员来说，也可以通过捕包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如Bit Torrent 等P2P应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制（TC）的方法来规范、合理的分配带宽资源，提高网络的利用率。该软件有极其方便和友好的图形用户界面，并且能够使得用户通过图形界面的配置和选择，针对多块网卡、多个协议进行显示，效果非常好。
#qXH(Na5G/g0IXPUB技术博客;YA?z G4MIrM
    2 安装Wireshark步骤
$bPjg p7q-\0IXPUB技术博客 M7Q-s+h8rA _
#wgethttp://mirrors.easynews.com/sunfreeware/i386/10/libpcap-0.8.3-sol10-intel-local.gzIXPUB技术博客N7bC@"p+a+j)Nd
#pkgadd －d libpcap-0.8.3-sol10-intel-local.pkgIXPUB技术博客j)oJt?,q%F5V
#wgethttp://mirrors.easynews.com/sunfreeware/i386/10/gtk+-1.2.10-sol10-intel-local.gz
-gW&a;]3`0#pkgadd －d gtk+-1.2.10-sol10-intel-local.pkg
9I$zWzXp2A$T)U0#wgethttp://mirrors.easynews.com/sunfreeware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz
7v"c.TlbL0#pkgadd －d netsnmp-5.1.4-sol10-x86-local.pkg
n~ i9FDi3[v0#wgethttp://mirrors.easynews.com/sunfreeware/i386/10/openssl-0.9.7g-sol10-intel-local.gzIXPUB技术博客I#D?(`O0zl
#pkgadd －d openssl-0.9.7g-sol10-intel-local.pkgIXPUB技术博客t"f"C2Jdn1ep7p
d b L ^ `iZ E0    如果以上的库已经安装，就可以执行下面的命令来编译并安装Wireshark：IXPUB技术博客}b6Is2ne}D
-f XgYk,BHi0#wegtftp://ftp.sunfreeware.com/pub/freeware/intel/10/wireshark-0.99.7-sol10-x86-local.gz
L7v%Z}PEKB4o0#pkgadd －d wireshark-0.99.7-sol10-x86-local
'HO0W e!?0T&u;d0

,q3U4fr@0图3 wireshark工作界面
8ILdz)?,VS0]Y8I0
七系统管理工具——sudoIXPUB技术博客|/p+Qnms
    1 sudo简介IXPUB技术博客g%NV0A!e}gZc~
IXPUB技术博客5_6J1o\ Z
    sudo是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt、reboot、su 等等。这样不仅减少了root用户的登陆和管理时间，同样也提高了安全性。如果用户在系统中需要每天以root身份做一些日常工作，经常执行一些固定的几个只有root身份才能执行的命令，那么用sudo是非常适合的。
4\ LkJ ka0sudo不是对shell的一个代替，它是面向每个命令的。它的特性主要有这样几点：
\%a(d)w+c#J0
IXPUB技术博客*N1a7Skgu.F!]s
● sudo能够限制用户只在某台主机上运行某些命令。
7e!QVH` X,s0● sudo提供了丰富的日志，详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。IXPUB技术博客!gz3C#o'A/D)aay K:|
● sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时，用户获得了一张存活期为5分钟的票（这个值可以在编译的时候改变），过了这个时间，用户所获得的权限将失效。IXPUB技术博客;Lr5s)@2Mye
● sudo的配置文件是sudoers文件，它允许系统管理员集中管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers，属性必须为0411。IXPUB技术博客a"O+i$Mp6O
[8I0NLd5`0    sudo的主页为:http://www.sudo.ws/sudo/，可以从该网站下载文件sudo-1.6.8p9.tar.gz后进行解压安装，如下步骤所示：
.u0P!_h5s)e-L"HAEq0#wgetftp://ftp.sunfreeware.com/pub/freeware/intel/10/sudo-1.6.9p8-sol10-x86-local.gz
G0K#gY i4S.c0#gunzip sudo-1.6.9p8-sol10-x86-local.gz
k0n3uE_A:^Y0
7k'i,ST@0    使用方法如下所示：
6c4V)k.B4k0# su cjh
"ZP9_!^Tq0$ sudo reboot
(jN$S l kw#C7PNrz0Password:******
'Iyv6yYiZ0IXPUB技术博客9Zm+^'Mr%s
    上述例子中，用户cjh使用sudo命令来行使root的权限，重新启动系统。因为通常情况下，一般用户并没有这个权限。系统提示输入该用户的密码加以确认。另外，为了达到该目的，还需要root用户修改一下上述的sudo的配置文件sudoers，将其中的相关选项改为如下内容：IXPUB技术博客#U:RT&|&Zc
U"@;|/UW+k;xHxy0# User privilege specificationIXPUB技术博客OA:t0[3BO;S(DY
root ALL=(ALL) ALLIXPUB技术博客Z@9I$zK#jd
liyang ALL=(ALL) ALLIXPUB技术博客wl,E XCn3bd/g
sk s%G@2`]e0    这里，cjh用户具有和root同样的权限，当然在实际应用中不能这么做，而只能将部分权限赋给用户。
八使用防火墙工具
sJlqO#iE0
CE?T@cs'rI0B0    1 IPFilter简介IXPUB技术博客4I#?(DUw5RL
    IPFilter是目前比较流行的包过滤防火墙软件，它目前拥有多种平台的版本，安装配置相对比较简单。可以用它来构建功能强大的软件防火墙，下面就其的安装以及一些典型的配置作一下说明。IPFfilter 的作者是 Darren Reed 先生，他是一位致力于开源软件开发的高级程序员，目前工作于 SUN 公司。IP Filter 软件可以提供网络地址转换（NAT）或者防火墙服务。简单的说就是一个软件的防火墙，并且这个软件是开源免费的。当前的版本是4.1.15，目前支持 FreeBSD、NetBSD、Solaris、AIX 等操作系统平台。IPFilter是它是一个在引导时配置的可加载到内核的模块。这使得它十分安全，因为已不能由用户应用程序篡改。IXPUB技术博客*Ce1uM@_
Az(Th4r S0    2 查看IPFilter包过滤防火墙运行情况
$z ^ho+pm.qTU0
[.y1_~(H(V MF*Q1`-M8t0    Solaris 10 上IPFilter 的启动和关闭是由 SMF 管理的,在Solaris 10 上工作的进程大多都交由SMF 管理，这和先前版本的Solaris 操作系统有很大的区别。Solaris IP 过滤防火墙随 Solaris 操作系统一起安装。但是，缺省情况下不启用包过滤。使用以下过程可以激活 Solaris IP 过滤器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有两个服务ipfilter 和pfil，默认情况下ipfilter 是关闭的，而pfil 是打开的。IXPUB技术博客T+vM;b1Q
IXPUB技术博客D[F%g0d6Sf.E0n$G
# svcs -a |grep network |egrep "pfil|ipf"IXPUB技术博客7Yi5r[{1x I
IXPUB技术博客,kb] Sb5W y L8yB
disabled        7:17:43 svc:/network/ipfilter:default
3Vg!E0U'j!_ Ml4mA0online          7:17:46 svc:/network/pfil:default
"^Rg-i7e Hf H0
@#Q!F {+lbXQ0    3 查看网卡接口IXPUB技术博客1R:Q].ohS
NZ#Yo8P"pc%k,MF0lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1IXPUB技术博客'k2c8r6Ucem&]#I
        inet 127.0.0.1 netmask ff000000
7M*i9OU7O0
b d&Ew5zG"G/U?0pcn0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2IXPUB技术博客9CI$kJ;{.GQN
        inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255IXPUB技术博客*{.{2RS#Yj6F,c;g
+o9k*A]2P]BJ0    可以看到网卡接口是pcn0。IXPUB技术博客|/u m1D6Tr
q,V'`w2?9N:v0WM0    4 修改/etc/ipf/pfil.ap文件IXPUB技术博客EOf2t%f1w6C
IXPUB技术博客.S;@j&xb y Vnk
    此文件包含主机上网络接口卡 (network interface card, NIC) 的名称。缺省情况下，这些名称已被注释掉。对传输要过滤的网络通信流量的设备名称取消注释。编辑配置文件修改为如下内容：IXPUB技术博客#}n4b~B*UY~1X
IXPUB技术博客 @(x\c.YK)xJZ
IXPUB技术博客W['J'|;M3R
修改/etc/ipf/pfil.ap 文件，取消pcn0的#注释符，使之生效。
5{X}TJ.{FTL0
/lxA&J0n0使pfil 设置生效
^6m^+H(\}9z$xe0配置策略后，我们启动IP Filter
a4m5L NYN0#autopush fIXPUB技术博客k9U3sW/xPKL
/etc/ipf/pfil.apIXPUB技术博客+s#rwc ES
#svcsadm enable /network/ipfilter:default
$A6{?~l0
WA(iJz!O(~LF0    5 编辑防火墙规则：使服务器对ping没有反应
`B0|.F"j qs0
'tG4Wd#v0    防止你的服务器对ping请求做出反应，对于网络安全很有好处，因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点，黑客可以利用一些技术，把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。修改配置文件/etc/ipf/ipf.conf添加一行：
[-bBc/DhZL0    block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0
r:b#]n$X3Q`ku0IXPUB技术博客v;O@`O&`7D!H
    6 使用fwbuilder管理防火墙IXPUB技术博客_S fzx;P3T F
IXPUB技术博客x3`!P z d:E
    a) fwbuilder简介IXPUB技术博客2y!M;w-z?n[.p
3^KyZnTPe0    事实上，如果读者们不是很熟悉Solaris中IPFilter命令的使用方式，在这里介绍一个不错的图形管理程序，就是fwbuilder (http://www.fwbuilder.org/)，可以从http://www.fwbuilder.org/nightly_builds/取得读者们所需要的版本或是原始码。Fwbuilder 是一个相当有弹性的防火墙图形接口，它不仅可以产生IPFilter 的规则，也可以产生 Cisco 的 FWSM (FireWall Service Module ，用于 Cisco 高阶第三层交换机 6500 及 7600 系列 ) 及 PIX 的规则，更有趣的是，每次我们改变某台机器的设定后，它会使用 RCS 来做版本控管，相当实用。fwbuilder所支援的防火墙有：FWSM、ipfilter、ipfw、iptables、PF、PIX。对于互联网上的系统，不管是什么情况，首先我们要明确一点：网络是不安全的。因此，虽然创建一个防火墙并不能保证系统100%安全，但却是绝对必要的。IXPUB技术博客BKZ9v!H3y
_FUm U!dz-n[0    b) 安装fwbuilderIXPUB技术博客yua&FxG
IXPUB技术博客 [5aP;?-h*p4VW
    # pkg_get –i fwbuilderIXPUB技术博客m9]s)[$FS;R t RH-N
IXPUB技术博客e2hR-f F_L

gdLA,Y9NL0图4 fwbuilder配置界面IXPUB技术博客%MQ.a$F'R-E U
!{"aF&{:b/k K0    Firewall Builer防火墙适用于PC桌面用户、中小型服务器和工作站系统平台的安全防护，它能胜任solaris下一般的系统安全任务。IXPUB技术博客VC\&G~Y?OP0S
3G8FM.k.p's'r8vs(v0    总之，本文上面介绍的几款安全工具是在实际应用中经常使用的，他们的功能非常强大。在当前环境下，这些工具以及工具的变种层出不穷。这些工具可以用来对系统某方面的漏洞进行测试攻击，从而采取打补丁、升级系统、加固系统的方法来保障系统安全。系统管理员要有一种超前的意识，应该多采用和有针对性地选用一些黑客攻击工具，对系统的安全进行分析、评价和保护，这是一项长期的、艰巨的任务。

x+j4m2p9im"s0