Solaris安全手冊(cè)

內(nèi)容概要

本書(shū)從各個(gè)方面介紹如何保護(hù)Solaris系統(tǒng)的安全性。全書(shū)共分為5部分，第一部分介紹安全性的基礎(chǔ)知識(shí)，主要分析了安全問(wèn)題的起因，并提出了系統(tǒng)安全的9大原則；第二部分介紹Solaris單機(jī)系統(tǒng)的安全保護(hù)，主要涉及到系統(tǒng)的啟動(dòng)與關(guān)閉、系統(tǒng)日志、用戶(hù)帳號(hào)和環(huán)境、文件系統(tǒng)等內(nèi)容；第三部分詳述Solaris網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，其主要內(nèi)容有網(wǎng)絡(luò)接口服務(wù)、網(wǎng)絡(luò)打印、電子郵件、網(wǎng)絡(luò)訪(fǎng)問(wèn)控制、名稱(chēng)服務(wù)等；第四部分介紹災(zāi)難恢復(fù)的問(wèn)題；第五部分是附錄。
    本書(shū)適用于安全管理員和UNIX系統(tǒng)管理員。
　

書(shū)籍目錄

第一部分 安全性簡(jiǎn)介
第1章 安全問(wèn)題
1.1 安全缺陷的起因
1.1.1 網(wǎng)絡(luò)連通性的增長(zhǎng)
1.1.2 軟件的脆弱性
1.1.3 雇員和承包商
1.1.4 目的明確而足智多謀的黑客
1.1.5 站點(diǎn)策略
第2章 安全策略
2.1 原則1：侵入系統(tǒng)的黑客很可能是認(rèn)識(shí)的人
2.2 原則2：不要輕信任何人，對(duì)必須要相信的人也要小心 
2.3 原則2a：不要過(guò)分自信，對(duì)每件事情都要確認(rèn)
2.4 原則3：要使?jié)撛诘那秩胝呦嘈潘麄儠?huì)被抓住
2.5 原則4：分層保護(hù)
2.6 原則5：設(shè)計(jì)安全策略時(shí)要假設(shè)任何一個(gè)保護(hù)層完全失效的情況 
2.7 原則6：把安全性作為最初設(shè)計(jì)的一部分
2.8 原則7：禁用不需要的服務(wù)、軟件包和功能
2.9 原則8：連接網(wǎng)絡(luò)之前要想清楚并進(jìn)行保護(hù)
2.10 原則9：為最壞的情況做準(zhǔn)備
2.11 9個(gè)原則：一種生活方式
第二部分 獨(dú)立的系統(tǒng)
第3章 PROM、OpenBoot和物理安全性
3.1 什么是PROM
3.2 什么是OpenBoot
3.2.1 為什么絕對(duì)不能讓用戶(hù)接觸OpenBoot
3.2.2 通過(guò)設(shè)置安全參數(shù)來(lái)保護(hù)OpenBoot
3.2.3 改變OpenBoot安全級(jí)別的過(guò)程
3.2.4 丟失了所有口令--部分恢復(fù)過(guò)程
3.2.5 推薦的啟動(dòng)設(shè)備
3.2.6 改變OpenBoot徽標(biāo)
3.2.7 恢復(fù)丟失的超級(jí)用戶(hù)口令
3.3 系統(tǒng)物理安全性考慮因素
3.3.1 防止偷竊和訪(fǎng)問(wèn)
3.3.2 審查PROM
3.3.3 OpenBoot口令
3.3.4 CD-ROM驅(qū)動(dòng)器
3.3.5 備份介質(zhì)
3.3.6 操作系統(tǒng)版本介質(zhì)
3.4 補(bǔ)充信息
第4章 文件系統(tǒng)
4.1 什么是文件系統(tǒng)
4.1.1 有些應(yīng)用程序需要開(kāi)放的權(quán)限
4.2 理解文件和目錄的權(quán)限
4.2.1 身份：用戶(hù)、組及其他
4.2.2 權(quán)限總結(jié)：讀、寫(xiě)、執(zhí)行、SetUID、SetGID、粘著位
4.3 小結(jié)：身份和權(quán)限
4.4 查看文件和目錄權(quán)限的方式
4.4.1 權(quán)限：數(shù)值形式
4.4.2 設(shè)置文件和目錄的權(quán)限--數(shù)值形式
4.4.3 設(shè)置文件和目錄的權(quán)限--符號(hào)形式
4.5 umask及其工作方式
4.5.1 Ksh和umask -S
4.5.2 默認(rèn)的文件權(quán)限和umask
4.5.3 超級(jí)用戶(hù)的umask
4.5.4 默認(rèn)的目錄權(quán)限和umask
4.5.5 如何查找具有指定權(quán)限設(shè)置的文件
4.6 系統(tǒng)設(shè)備訪(fǎng)問(wèn)權(quán)限
4.7 文件系統(tǒng)審核工具
4.7.1 ASET
4.7.2 COPS
4.7.3 Tiger
4.7.4 Tripwire
4.7.5 lsof（列出打開(kāi)的文件）
4.8 其他安全工具和技術(shù)
4.8.1 檢查/etc/權(quán)限
4.8.2 保證正確的utmp和utmpx權(quán)限
4.8.3 使用固定模式工具增強(qiáng)安全性
4.8.4 使用fuser命令
4.8.5 使用ls命令顯示隱藏的文件和文件名中隱藏的字符 
4.8.6 為ls命令取別名
4.8.7 為rm命令取別名
4.8.8 用fsirand使文件系統(tǒng)I節(jié)點(diǎn)號(hào)隨機(jī)化
4.8.9 文件系統(tǒng)配額
4.9 文件系統(tǒng)訪(fǎng)問(wèn)控制表
4.10 補(bǔ)充信息
第5章 用戶(hù)帳號(hào)和環(huán)境
5.1 簡(jiǎn)介
5.2 用戶(hù)帳號(hào)安全
5.2.1 超級(jí)用戶(hù)帳號(hào)
5.2.2 其他管理性的帳號(hào)和組
5.2.3 用戶(hù)帳號(hào)
5.2.4 用戶(hù)何時(shí)需要超級(jí)用戶(hù)特權(quán)
5.2.5 PATH和LD_LIBRARY_PATH
5.3 口令文件、影像文件和組文件
5.3.1 口令文件
5.3.2 影像文件
5.3.3 口令安全
5.3.4 UNIX組
5.3.5 /etc/default/passwd文件
5.4 成為超級(jí)用戶(hù)
5.4.1 直接以超級(jí)用戶(hù)登錄
5.4.2 su命令
5.5 外殼和應(yīng)用程序的安全性
5.5.1 強(qiáng)制啟動(dòng)應(yīng)用程序
5.5.2 在超級(jí)用戶(hù)的外殼提示符中包含系統(tǒng)名稱(chēng)
5.5.3 受限制的外殼
5.5.4 默認(rèn)的登錄環(huán)境
5.5.5 直接寫(xiě)控制臺(tái)
5.5.6 程序緩沖區(qū)溢出
5.5.7 其他進(jìn)程信息
5.6 X-Windows安全性
5.6.1 X-Windows屏幕手工鎖定
5.6.2 X-Windows屏幕自動(dòng)鎖定
5.6.3 X-Windows顯示器權(quán)限
5.7 審核工具
5.7.1 COPS
5.7.2 Crack
5.8 補(bǔ)充信息
第6章 系統(tǒng)啟動(dòng)和關(guān)閉
6.1 系統(tǒng)運(yùn)行級(jí)別
6.1.1 確定當(dāng)前運(yùn)行級(jí)別
6.2 系統(tǒng)啟動(dòng)
6.2.1 PROM
6.2.2 多用戶(hù)模式
6.2.3 rc機(jī)制
6.3 系統(tǒng)關(guān)閉
6.3.1 init
6.3.2 uadmin
6.4 關(guān)于rc文件的更多信息
6.4.1 分析rc文件的例子
6.5 審核啟動(dòng)和關(guān)閉機(jī)制
6.5.1 COPS
6.5.2 Tripwire
6.6 修改啟動(dòng)和關(guān)閉機(jī)制
6.6.1 添加啟動(dòng)和關(guān)閉腳本
6.6.2 改變啟動(dòng)和關(guān)閉腳本
6.6.3 禁用啟動(dòng)和關(guān)閉腳本
6.6.4 關(guān)于鏈接的啟動(dòng)文件的更多信息
6.7 補(bǔ)充信息的位置
第7章 cron和at
7.1 cron
7.1.1 什么是cron
7.1.2 cron如何工作
7.1.3 如何配置cron
7.1.4 cron用戶(hù)配置
7.1.5 用戶(hù)訪(fǎng)問(wèn)cron系統(tǒng)
7.2 at
7.2.1 什么是at
7.2.2 at如何工作
7.2.3 用戶(hù)訪(fǎng)問(wèn)at系統(tǒng)
7.3 應(yīng)該避免的常見(jiàn)問(wèn)題
7.3.1 沒(méi)有充分屏蔽cron運(yùn)行的程序
7.3.2 將crontab文件留在所有用戶(hù)都可以看到的地方
7.3.3 cron運(yùn)行的腳本中存在不安全的PATH
7.3.4 cron運(yùn)行的腳本中存在不確定的PATH
7.3.5 在cron和at作業(yè)中使用標(biāo)準(zhǔn)輸入和標(biāo)準(zhǔn)輸出
7.4 審核工具
7.4.1 Tripwire
7.4.2 COPS
7.5 補(bǔ)充信息
第8章 系統(tǒng)日志
8.1 什么是系統(tǒng)日志
8.2 syslog
8.2.1 syslog的功能和安全級(jí)別
8.2.2 syslog消息分類(lèi)所用的表示法
8.2.3 syslog配置
8.2.4 調(diào)試syslog
8.3 loginlog
8.4 sulog
8.5 上一次登錄
8.6 卷管理器日志
8.7 安裝日志
8.8 sysidtool日志
8.9 幫助日志記錄的工具--Logcheck
8.10 補(bǔ)充信息
第三部分 網(wǎng)絡(luò)連接系統(tǒng)
第9章 網(wǎng)絡(luò)接口和網(wǎng)絡(luò)服務(wù)
9.1 網(wǎng)絡(luò)
9.2 網(wǎng)絡(luò)接口
9.2.1 網(wǎng)絡(luò)接口特性
9.3 網(wǎng)絡(luò)接口配置
9.3.1 ifconfig
9.3.2 ndd
9.3.3 利用/etc/notrouter關(guān)閉IP轉(zhuǎn)發(fā)
9.3.4 配置網(wǎng)絡(luò)適配器
9.3.5 混合模式
9.4 網(wǎng)絡(luò)服務(wù)
9.4.1 非必須的服務(wù)
9.4.2 網(wǎng)絡(luò)服務(wù)號(hào)
9.4.3 網(wǎng)絡(luò)服務(wù)配置
9.4.4 網(wǎng)絡(luò)服務(wù)的啟動(dòng)方式
9.4.5 Daemon網(wǎng)絡(luò)服務(wù)不和inetd一起啟動(dòng)
9.5 路由
9.5.1 增加靜態(tài)路由
9.5.2 增加動(dòng)態(tài)路由
9.6 使用snoop
9.7 補(bǔ)充信息
第10章 網(wǎng)絡(luò)/系統(tǒng)體系結(jié)構(gòu)
10.1 什么是體系結(jié)構(gòu)
10.2 簡(jiǎn)單和復(fù)雜體系結(jié)構(gòu)的比較
10.3 體系結(jié)構(gòu)原理
10.3.1 原理1：最小化故障點(diǎn)數(shù)目（或者縮短關(guān)鍵路徑） 
10.3.2 原理2：把服務(wù)盡量設(shè)置在靠近它們所服務(wù)對(duì)象的位置 
10.3.3 原理3：將服務(wù)和對(duì)應(yīng)的應(yīng)用程序縱向?qū)R
10.3.4 原理4：準(zhǔn)備為網(wǎng)絡(luò)增加分區(qū)
第11章 電子郵件
11.1 電子郵件概述
11.1.1 傳輸代理
11.1.2 遞送代理
11.1.3 用戶(hù)代理
11.2 電子郵件安全性弱點(diǎn)的類(lèi)型
11.2.1 Auth（或Identd）協(xié)議
11.2.2 郵件代理程序
11.2.3 消息源路由
11.2.4 隱私
11.2.5 可信性
11.3 減輕電子郵件的安全性問(wèn)題
11.3.1 只在電子郵件服務(wù)器上運(yùn)行sendmail
11.3.2 斷開(kāi)內(nèi)部郵件服務(wù)器與Internet的直接連接
11.3.3 禁止帶有路由信息的郵件
11.3.4 實(shí)現(xiàn)郵件加密和數(shù)字簽名
11.3.5 替代Sendmail
11.3.6 刪除不必要的電子郵件別名
11.3.7 實(shí)現(xiàn)Smrsh
11.3.8 實(shí)現(xiàn)ForwardPath
11.4 補(bǔ)充信息
第12章 打印
12.1 打印體系結(jié)構(gòu)
12.2 打印子系統(tǒng)目錄
12.2.1 審核打印子系統(tǒng)的目錄
12.3 本地打印
12.3.1 本地打印設(shè)備
12.3.2 確定打印機(jī)使用的設(shè)備
12.3.3 打印設(shè)備訪(fǎng)問(wèn)權(quán)限
12.3.4 審核打印設(shè)備權(quán)限
12.4 限制對(duì)打印機(jī)和打印服務(wù)器的訪(fǎng)問(wèn)
12.4.1 直接訪(fǎng)問(wèn)網(wǎng)絡(luò)打印機(jī)
12.5 補(bǔ)充信息
第13章 網(wǎng)絡(luò)訪(fǎng)問(wèn)控制
13.1 網(wǎng)絡(luò)訪(fǎng)問(wèn)控制原理
13.1.1 不必要的網(wǎng)絡(luò)訪(fǎng)問(wèn)點(diǎn)是對(duì)安全性的威脅
13.1.2 沒(méi)有防備的網(wǎng)絡(luò)接入點(diǎn)是對(duì)安全性的威脅
13.2 必須的和非必須的服務(wù)
13.2.1 如何停止運(yùn)行非必須的服務(wù)
13.2.2 禁止在/etc/inet/services和/etc/inet/inetd.conf文件中沒(méi)有定義的服務(wù) 
13.3 加強(qiáng)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制
13.3.1 inetd連接跟蹤
13.3.2 TCP Wrapper
13.3.3 公共域rpcbind
13.3.4 .rhosts文件??r-命令的網(wǎng)關(guān)
13.3.5 /etc/hosts.equiv文件
13.3.6 審核.rhosts和hosts.equiv文件
13.3.7 對(duì)telnet、rsh和rlogin的安全替換
13.3.8 X-Windows是不安全的
13.3.9 防火墻
13.4 測(cè)試系統(tǒng)的輔助選項(xiàng)
13.4.1 Satan
13.4.2 ISS
13.5 檢測(cè)非法入侵
13.5.1 Syn
13.5.2 Klaxon
13.5.3 Courtney
13.5.4 Tocsin
13.5.5 Gabriel
13.5.6 非法入侵檢測(cè)：緊跟潮流
13.6 身份驗(yàn)證
13.6.1 系統(tǒng)身份驗(yàn)證
13.6.2 DES (Diffie-Hellman)身份驗(yàn)證
13.6.3 Kerberos身份驗(yàn)證
13.7 虛擬專(zhuān)用網(wǎng)
13.7.1 SKIP
13.7.2 IPsec
13.8 補(bǔ)充信息
第14章 域名服務(wù)
14.1 域名服務(wù)DNS
14.1.1 /etc/nsswitch.conf
14.1.2 /etc/resolv.conf
14.2 DNS的安全性漏洞和解決方案
14.2.1 在Internte上暴露太多的信息
14.2.2 DNS服務(wù)器的非法區(qū)域傳輸
14.2.3 Nslookup和真正的DNS請(qǐng)求之間的區(qū)別
14.2.4 公共域DNS（BIND）
14.2.5 DIG公共域工具
14.2.6 禁止nscd緩存
14.2.7 了解BIND的版本
14.3 NIS
14.3.1 獲取并安裝NISKIT
14.4 NIS安全性漏洞和解決方案
14.4.1 將NIS映射從/etc目錄中轉(zhuǎn)移出去
14.4.2 保護(hù)NIS映射目錄
14.4.3 使用難以猜到的NIS域名
14.4.4 實(shí)現(xiàn)/var/yp/securenets
14.4.5 隱藏影像域
14.4.6 避免使用非法NIS服務(wù)器
14.4.7 不要將根帳號(hào)和其他管理帳號(hào)包含在NIS中
14.4.8 禁止nscd緩存
14.4.9 其他NIS安全性漏洞
14.5 NIS+
14.5.1 NIS+的默認(rèn)訪(fǎng)問(wèn)權(quán)限
14.5.2 主類(lèi)nobody的訪(fǎng)問(wèn)權(quán)限
14.5.3 NIS+安全性級(jí)別
14.5.4 NIS+管理
14.5.5 備份NIS+表
14.5.6 刷新NIS+事務(wù)處理記錄
14.5.7 不要將根帳號(hào)和其他管理帳號(hào)包含在NIS+中
14.5.8 禁止nscd緩存
14.6 域名服務(wù)開(kāi)關(guān)
14.7 Nscd
14.8 補(bǔ)充信息
第15章 NFS和Automounter
15.1 NFS
15.1.1 NFS操作
15.1.2 提高NFS共享的安全性
15.1.3 提高NFS裝入的安全性
15.1.4 通過(guò)設(shè)置Portmon提高NFS的安全性
15.1.5 NFS身份驗(yàn)證
15.1.6 服務(wù)器作為NFS客戶(hù)機(jī)
15.1.7 NFS和訪(fǎng)問(wèn)控制列表
15.1.8 網(wǎng)絡(luò)上的NFS
15.1.9 禁止NFS
15.2 Automounter
15.2.1 間接Automounter映射
15.2.2 直接Automounter映射
15.2.3 Automounter瀏覽
15.2.4 Automounter和域名服務(wù)開(kāi)關(guān)
15.2.5 禁止Automounter
15.3 補(bǔ)充信息
第四部分 事故和恢復(fù)
第16章 系統(tǒng)恢復(fù)的準(zhǔn)備工作
16.1 故障因素
16.1.1 自然災(zāi)害
16.1.2 人為災(zāi)害
16.1.3 內(nèi)部設(shè)施故障
16.1.4 硬件故障
16.1.5 UNIX管理員失誤
16.1.6 文檔錯(cuò)誤
16.1.7 程序員失誤
16.1.8 用戶(hù)失誤
16.1.9 有意破壞
16.2 為系統(tǒng)恢復(fù)作準(zhǔn)備
16.2.1 成立事故反應(yīng)小組
16.2.2 系統(tǒng)的文件系統(tǒng)設(shè)計(jì)
16.2.3 文件系統(tǒng)的幾何結(jié)構(gòu)
16.2.4 磁帶備份
16.2.5 系統(tǒng)恢復(fù)測(cè)試
16.2.6 軟件版本的存儲(chǔ)介質(zhì)
16.2.7 系統(tǒng)事件日志
16.2.8 Solaris和工具軟件的補(bǔ)丁程序
16.2.9 CD-ROM驅(qū)動(dòng)器
16.2.10 硬件和軟件服務(wù)協(xié)議
16.2.11 保留硬件的備用件
16.2.12 關(guān)鍵服務(wù)器PROM的備份
16.2.13 備用的磁盤(pán)空間
16.2.14 恢復(fù)文檔
16.2.15 聯(lián)系和交叉培訓(xùn)（Cross-Training）
16.3 內(nèi)部伙伴
16.4 外部伙伴
16.5 補(bǔ)充信息
第五部分 附錄
附錄A 安全性信息的在線(xiàn)資源
A.1 安全性Web站點(diǎn)
A.2 黑客Web站點(diǎn)
A.3 安全性郵寄列表
A.4 補(bǔ)丁程序
附錄B 公共域安全工具的在線(xiàn)資源
B.1 TCP/IP安全性工具
B.1.1 ISS（Internet security scan，安全性?huà)呙瑁?br />B.1.2 Satan（Security Administrators Tool for Analg Zing Networks，分析網(wǎng)絡(luò)的安全性
管理員工具）
B.1.3 Cpm（check promiscuous mode，檢查混雜模式）
B.1.4 tcpdump（network monitoring and data acquisition，網(wǎng)絡(luò)監(jiān)視和數(shù)據(jù)采集） 
B.2 訪(fǎng)問(wèn)控制安全工具
B.2.1 TCP Wrappers
B.2.2 rpcbind
B.2.3 Ssh （secure shell，安全外殼）
B.2.4 Kerberos
B.2.5 crack（password cracker，口令快客）
B.2.6 fwtk（fire wall toolkit，防火墻工具）
B.2.7 S/Key
B.3 侵入檢測(cè)工具
B.3.1 Klaxon
B.3.2 Courtney
B.3.3 Tocsin
B.3.4 Gabriel
B.3.5 syn
B.4 文件系統(tǒng)安全性工具
B.4.1 Tiger
B.4.2 Tripwire
B.4.3 COPS
B.5 加密工具
B.5.1 PGP
B.5.2 MD5
B.6 電子郵件安全性工具
B.6.1 SMAP（sendmail wrapper，sendmail包裝）
B.6.2 sendmail V8（Public-domain Sendmail, 公共域發(fā)送郵件）
B.6.3 Postfix（formerly Vmailer，以前的Vmailer）
B.6.4 smrsh
B.7 DNS工具
B.7.1 公共域BIND
B.7.2 Dig
B.7.3 其他DNS工具
B.8 其他工具和資源
B.8.1 Logcheck
B.8.2 lsof（list open files，開(kāi)放文件列表）
B.8.3 Patchdiag
B.8.4 fix-modes
B.8.5 perl
B.8.6 Washington大學(xué)ftpd
B.9 安全性工具站點(diǎn)
B.9.1 CERT工具
B.9.2 CIAC工具
B.9.3 COAST工具
B.9.4 Doug工具
B.9.5 LIST（信息安全技術(shù)實(shí)驗(yàn)室）安全性工具
B.9.6 Sun免費(fèi)軟件站點(diǎn)
B.9.7 Wietse Venema的UNIX安全性工具集
B.10 黑客工具站點(diǎn)
附錄C 獲得和應(yīng)用Solaris補(bǔ)丁程序
C.1 補(bǔ)丁信息的來(lái)源
C.2 理解Solaris補(bǔ)丁程序
C.3 理解Solaris補(bǔ)丁集
C.4 補(bǔ)丁程序的來(lái)源
C.5 補(bǔ)丁程序安裝策略
C.5.1 安裝補(bǔ)丁程序之前
C.5.2 要安裝的補(bǔ)丁程序
C.5.3 測(cè)試補(bǔ)丁程序
C.5.4 為補(bǔ)丁程序重新引導(dǎo)系統(tǒng)
C.5.5 patchdiag程序
C.5.6 補(bǔ)丁程序安裝程序，Solaris 2.x-2.5.1
C.5.7 Solaris 2.6和Solaris 7的補(bǔ)丁程序安裝過(guò)程
C.5.8 Solaris OS升級(jí)
C.6 補(bǔ)充信息
附錄D 推薦讀物
D.1 參考書(shū)
D.2 在線(xiàn)出版物和文章
D.3 SunSolve出版物
D.4 在線(xiàn)期刊
D.5 Internet RFC
附錄E Solaris安全產(chǎn)品
E.1 SunScreen ETS
E.2 SunScreen SPF
E.3 SunScreen SKIP
E.4 Sun Security Manager
E.5 SunScreen SecureNet
E.6 Trusted Solaris
E.7 補(bǔ)充信息
附錄F 實(shí)現(xiàn)C2安全措施
F.1 什么是C2安全措施
F.2 C2安全措施的代價(jià)
F.3 啟用C2安全措施
F.4 禁用C2安全措施
F.5 管理C2安全措施
F.5.1 C2審核捕獲的配置
F.5.2 C2日志的管理
F.5.3 性能的管理
F.5.4 審核事件
F.5.5 審核跟蹤分析
F.5.6 可移動(dòng)存儲(chǔ)介質(zhì)管理
F.5.7 設(shè)備安置
F.5.8 建議
F.6 補(bǔ)充信息
附錄G 驗(yàn)證公共域軟件的完整性
G.1 使用PGP驗(yàn)證
G.2 使用MD5的驗(yàn)證
G.3 獲得補(bǔ)充信息
附錄H 攻擊詞匯表
附錄I 保護(hù)系統(tǒng)安全檢查表

圖書(shū)封面

評(píng)論、評(píng)分、閱讀與下載

---

    Solaris安全手冊(cè) PDF格式下載

---