微信公众号：计算机与网络安全

▼

1、Solaris 安全初始化快照

以Solaris8为例

1）获取所有setuid和setgid的文件列表

命令：# find / -type f （ -perm -04000 -o -perm -02000 ） –print

查找系统中所有的带有suid位和sgid位的文件

2）获取所有的隐藏文件列表

命令：# find / -name ".*" –print

查找所有以“.”开头的文件并打印出路径

3）获取初始化进程列表

命令：# ps –ef

说明：

UID　　 进程所有者的用户ID

PID　　 进程ID

PPID　　父进程的进程ID

C　　　 CPU占用率

STIME　以小时、分和秒表示的进程启动时间

TIME　 进程自从启动以后占用CPU的全部时间

CMD　　生成进程的命令名

4）获取开放的端口列表

命令：　#netstat–an

5）获取开放的服务列表

命令：　#cat/etc/inetd.conf

6）获取初始化passwd文件信息

命令：# cat /etc/passwd

说明：如果发现一些系统账号（如bin, sys）加上了shell部分，就说明有问题，下面是正常的passwd文件，bin、sys、adm等系统账号没有shell。

bin:x:2:2::/usr/bin:

sys:x:3:3::/:

adm:x:4:4:Admin:/var/adm:

7）获取初始化shadow文件信息

命令：# cat /etc/shadow

说明：如果发现一些系统账号的密码被更改，或者不可登录的用户有密码了, 就说明该账号可能有问题。

sys: CVLoXsQvCgK62:6445::::::

adm: CVLoXsQvCgK62:6445::::::

8）获取初始化的不能ftp登录的用户信息

命令：# cat ftpusers

说明：在这个列表里边的用户名是不允许 ftp 登录的。如果列表改变了，有可能是被入侵者改动过。

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

9）获取初始化的用户组信息

命令：# cat /etc/group

说明：这是系统用户的分组情况

root::0:root

other::1:

bin::2:root,bin,daemon

sys::3:root,bin,sys,adm

adm::4:root,adm,daemon

uucp::5:root,uucp

mail::6:root

tty::7:root,tty,adm

lp::8:root,lp,adm

nuucp::9:root,nuucp

staff::10:

daemon::12:root,daemon

sysadmin::14:

nobody::60001:

noaccess::60002:

nogroup::65534:

10）获取初始化的 /etc/hosts文件信息

命令：# cat hosts

#

# Internet host table

#

127.0.0.1　　　　localhost

192.168.0.180　 Solaris8x86　　　loghost

11）获取初始化的/etc/default/login文件信息

命令：# cat /etc/default/login

说明：这里是用户登录的配置文件的一部分，如控制root能否从控制台以外的地方登录#ident "@（#）login.dfl 1.10 99/08/04 SMI" /* SVr4.0 1.1.1.1 */

# Set the TZ environment variable of the shell.

#

#TIMEZONE=EST5EDT

# ULIMIT sets the file size limit for the login. Units are disk blocks.

# The default of zero means no limit.

#

#ULIMIT=0

# If CONSOLE is set, root can only login on that device.

# Comment this line out to allow remote login by root.

#

CONSOLE=/dev/console #现在root是不能远程登录的

# PASSREQ determines if login requires a password.

#

PASSREQ=YES

12）获取/var/log目录下的初始化文件列表信息

命令：# ls -la /var/log

说明：这些日志是和/etc/syslog.conf配置文件中的日志相对应的

total 8

drwxr-xr-x　 2 root　　　sys　　　　　　512 Jan 12 03:54.

drwxr-xr-x　28 root　　　sys　　　　　　512 Jan 12 04:28..

-rw-------　 1 root　　　sys　　　　　　　0 Jan 12 03:46 authlog

-rw-r--r--　 1 root　　　other　　　　 424 Jan 12 04:28 sysidconfig.log

-rw-r--r--　 1 root　　　sys　　　　　　766 Jan 12 04:57 syslog

13）获取/var/adm目录下的初始化文件列表信息

命令：# ls -la /、var/adm

说明：这些日志是和/etc/syslog.conf配置文件中的日志相对应的

total 114

drwxrwxr-x　 6 root　　　sys　　　　　　512 Jan 12 05:11.

drwxr-xr-x　28 root　　　sys　　　　　　512 Jan 12 04:28..

-rw-------　 1 uucp　　　bin　　　　　　　0 Jan 12 03:46 aculog

-r--r--r--　 1 root　　　other　　　　2828 Jan 12 05:08 lastlog

drwxr-xr-x　 2 adm　　　 adm　　　　　　512 Jan 12 03:46 log

-rw-r--r--　 1 root　　　root　　　　25859 Jan 12 04:57 messages

drwxr-xr-x　 2 adm　　　 adm　　　　　　512 Jan 12 03:46 passwd

drwxr-xr-x　 2 root　　　sys　　　　　　512 Jan 12 03:55 sm.bin

-rw-rw-rw-　 1 root　　　bin　　　　　　　0 Jan 12 03:46 spellhist

drwxr-xr-x　 2 root　　　sys　　　　　　512 Jan 12 03:46 streams

-rw-------　 1 root　　　root　　　　　　99 Jan 12 05:13 sulog

-rw-r--r--　 1 root　　　bin　　　　　3348 Jan 12 05:08 utmpx

-rw-r--r--　 1 root　　　root　　　　　244 Jan 12 04:57 vold.log

-rw-r--r--　 1 adm　　　 adm　　　　 15996 Jan 12 05:08 wtmpx

14）获取初始化计划任务列表文件

命令：/var/spool/cron/crontabs/root

说明：这个文件是root用户的定时执行程序列表

# cat /var/spool/cron/crontabs/root

#ident　"@（#）root　　　 1.19　　98/07/06 SMI"　 /*SVr4.0 1.1.3.1　　　 */

#

# The root crontab should be used to perform accounting data collection.

#

# The rtc command is run to adjust the real time clock if and when

# daylight savings time changes.

#

10 3 * * 0,4 /etc/cron.d/logchecker

10 3 * * 0 /usr/lib/newsyslog

15 3 * * 0 /usr/lib/fs/nfs/nfsfind

1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1

30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean

15）获取初始化加载的内核模块列表

命令：# /usr/sbin/modinfo

说明：不正常的内核模块常常说明系统被入侵者植入了内核后门

16）获取初始化日志配置文件/etc/syslog.conf信息

说明：此配置文件定义了各种日志对应的文件名和日志所要记录的东西

# cat /etc/syslog.conf

#ident　"@（#）syslog.conf　　　　1.5　　 98/12/14 SMI"　 /*SunOS 5.0*/

#

# Copyright （c） 1991-1998 by Sun Microsystems, Inc.

# All rights reserved.

#

# syslog configuration file.

#

# This file is processed by m4 so be careful to quote （`'） names

# that match m4 reserved words. Also, within ifdef's, arguments

# containing commas must be quoted.

#

*.err;kern.notice;auth.notice　　　　　　　　　　　/dev/sysmsg

*.err;kern.debug;daemon.notice;mail.crit　　　　　/var/adm/messages

*.alert;kern.err;daemon.err　　　　　　　　　　　 operator

*.alert　　　　　　　　　　　　　　　　　　　　　 root

*.emerg　　　　　　　　　　　　　　　　　　　　 *

# if a non-loghost machine chooses to have authentication messages

# sent to the loghost machine, un-comment out the following line:

#auth.notice　　　　　　　　　　 ifdef（`LOGHOST',/var/log/authlog,@loghost）

mail.debug　　　　　　　　　　　 ifdef（`LOGHOST',/var/log/syslog,@loghost）

#

# non-loghost machines will use the following lines to cause "user"

# log messages to be logged locally.

#

ifdef（'LOGHOST', ,

user.err　　　　　　　　　　　　　　　　　　　　　　　/dev/sysmsg

user.err　　　　　　　　　　　　　　　　　　　　　　　/var/adm/messages

user.alert　　　　　　　　　　　　　　　　　　　　　　`root,operator'

17）获取初始化md5校验和信息

例子：计算/usr/bin/cat 的校验和

命令：#md5 /usr/bin/cat

说明：如果同一文件前后两次的md5校验和不相同的话，说明文件有可能被入侵者替换了。

MD5 （/usr/bin/cat） = db2d19bdebb690eb1870d2c49fd98d2f

需要做快照的文件列表如下。

/usr/bin/*

/usr/sbin/*

/usr/local/bin/*

/etc/passwd

/etc/shadow

/etc/inetd.conf

/etc/services

/etc/inittab

/etc/syslog.conf

/etc/default/login

/etc/default/passwd

2、文件签名检测补充方法

Solaris指纹数据库（Fingerprint Database）是验证Solaris操作环境下系统文件（如/bin/su可执行文件），系统补丁和SPARCcompilers等非系统捆绑产品完整性的重要安全解决方案。作为安全技术人员或Solaris用户，可以使用指纹数据库去验证使用的二进制文件是否被篡改过。Solaris指纹数据库（Fingerprint Database）是以一个Web接口的形式对用户提供服务的，即简单地拷贝和粘贴一个或更多的MD5文件签名到Sun公司提供Web页（http://sunsolve.sun. com/pub-cgi/fileFingerprints.pl），然后点击“submit（提交）”键。指纹数据库将会将产生的MD5数字签名和存储在sfpDB （Solaris Fingerprint Database）中的可信签名值进行对比，稍等片刻将可以看到提交的MD5值是否和数据库中的可信值匹配，是否被篡改过。

1）目前提供支持的操作系统

Solaris SPARC - 2.0, 2.1, 2.2, 2.3, 2.4, 2.5, 2.5.1, 2.6, Solaris 7 and Solaris 8

Solaris x86 - 2.1, 2.4, 2.5, 2.5.1, 2.6, Solaris 7 and Solaris 8

Solaris PPC - 2.5.1

Trusted Solaris SPARC - 2.5, 2.5.1 and 7

Trusted Solaris 7 x86

Most CDs bundled with Solaris 2.6 and later.

2）支持的补丁

几乎所有已发布的Solaris补丁，包括所有SunSolve CD 中提供的补丁。

所有Solaris 维护升级补丁。

所有SunSolve 中的可用补丁。

支持的非系统捆绑产品（Unbundled Products）。

3）数据库概要

实例：

①获得文件的MD5值。

获得文件的MD5值的方法如图1所示。

图1  获得文件MD5值

将文件的MD5值粘贴到页面http://sunsolve.sun.com/pub-cgi/fileFingerprints.pl。

note：在本实验中将/bin/ls的MD5值做了改动也提交了一份，如图2所示。

图2  MD5值作改动并提交

②按下“submit”键，稍等片刻获得结果。

Note：MD5值错误或经过篡改过的文件显示为“0 mathch（es）”，即在sfpDB库中不存在，其显示结果如图3所示。

图3  显示结果

▲
- The end -

网络安全资料列表

原文始发于微信公众号（计算机与网络安全）：网络安全应急响应：Unix安全初始化快照