陈栓

摘 要Solaris为Sun Microsystems研发的一种计算机操作系统，主要用于民航、广电、电力企业自动化管理，并且体现了非常高的实用性、可靠性与可扩展性，除了能够对系统持续性以及稳定性进行保证，也可以满足今后企业业务增长的需求。但SUN SOLARIS系统本身存在安全性方面的问题，所以，构建一个安全的SUN SOLARIS系统非常必要。本文以此为前提，重点分析了构建安全的SUN SOLARIS系统的几点建议，目的在于实现空管的蓬勃发展。

【关键词】安全 SUN SOLARIS系统 构建 可扩展性

Solaris系统本身具有一定的安全性，并且能够满足空管系统在安全性方面的要求，然而无论任何一个系统都会面临安全隐患，加之Solaris系统在中南空管局各地区分局的运用比较普遍，安全问题自然无可避免。在系统发展的过程中，与之相对应的Patch系统也在不断更新，这也就证明了安全性的问题。为了使安全保障得到提升，文章以Solaris系统入手，分析了Solaris系统安全问题，并探讨了SUN SOLARIS系统中存在的安全漏洞，提出了一系列解决对策。

1 Solaris系统的安全配置

1.1 加强本地安全

这其中包含一些限制命令访问、正确文件权限的设置、应用组与用户概念、suidPsgid文件、rw-rw-rw文件等。

1.2 加强网络安全

通过安全协议实施管理、将一些不需要服务与帐号、系统之间的信任关系、增强认证的密码、危险性高的网络服务以及限制访问等，都要加强网络安全。

1.3 加强应用安全

对用户的权限、进程所有者权限、检查应用文件的权限、其它系统资源访问的权限进行禁止，并删除samples以及一些其它不需要的组件等。一般Telephonics自动化系统中设置一个root口令，确保口令的复杂性，也就是口令长度至少为8位，其中涵盖数字、字母、标点，最好不要是一个完整的英文语句。此外，也可以对磁盘进行分区，为其备份管理提供便利。

1.4 监控警报

其中主要涵盖日志、完整性以及入侵检测等工具的监控。

2 主机安全配置

主机安全配置需要做到以下几点：

（1）及时更新系统补丁；

（2）保证控制台和文件系统的安全；

（3）进行用户管理；

（4）保证系统开启和关闭的安全性；

（5）调整内核；

（6）日志及审核以及一些其他的内容等。

2.1 更新系统补丁

系统补丁的更新对于系统管理人员而言，是一项基本的维护工作，其实系统补丁主要包含操作系统补丁、应用服务软件补丁等，例如Web服务、DNS服务以及数据库等。SUN操作系统补丁列表的获取，网站如下：ftp：//sunsolve1.sun.comPpubPpatches/；

http：//sunsolve1.sun.com/。

进行完整性检查，通过校验工具对所下载的补丁软件进行查看，避免补丁软件被植入木马程序。有条件的话也可以先进行补丁修补的实验，由于一些补丁可能会对服务运行造成限制，系统管理人员运用showrev-p命令对系统补丁的修补状况进行检查。

2.2 确保控制台安全

首先要设置一个OpenBoot安全级别，其目的在于避免可物理接触系统的行为主体对系统OpenBoot参数进行篡改，最终控制系统。其一可以对允许访问OpenBoot用户通过外部硬盘开启系统，以此达到控制系统的目的，其二，通过Stop-A关闭系统的用户，可以对全部OpenBoot环境变量进行修改。Openboot安全级别主要包括none、command、full这3种，具体含义可从SOLARIS系统内自行查找。

2.3 保证文件系统的安全性

对于计算机系统而言，文件系统是其中对于关键的部分，主要作用是对计算机信息进行管理和储存，其中有数据和操作系统等。此外，管理系统文件的运行，主要是对访问权限进行设置，并控制用户访问文件的具体形式，例如读、写以及具体的执行。

2.3.1 文件权限

因为包含suidPsgid位可执行文件极有可能被入侵者所利用，使其能够获得系统最高root权限。所以，若这一文件或者目录无需suidPsgid权限，要将与之相对应的suidPsgid位删除。

2.3.2 将一些使用率不高的suid文件阐述

过多的setuid程序一般只是通过root实现运行，或是通过某一特定用户实现运行，其实可以移除setuid位，系统管理员按照实际适当调整。参考SUN网站、CERT发表的安全公告，若已经存在漏洞程序依然有setuid位，需要下载补丁并对补丁进行更新。如果当前不能获取需要的补丁程序，可以先将这一程序setuid位移除，并新建setuidPsetgid程序列表，将其当作系统审核重要根据。如此便可以观察是否有新setuid程序。针对一些无法确定来源的setuid位程序，要及时将其删掉。

2.3.3 对不需要的sgid文件权限进行变更

针对使用率较高并且十分必要的文件，需要建立sgid位。系统管理员按照应用需求进行设置，一般是不需要设置的。

2.4 用户管理

2.4.1 对不需要的系统帐户进行封锁

带有管理性质的帐号要及时进行封锁，以免遭到入侵者的利用。这一类帐号主要以bin、adm、nuucp、nobody、noaccess为主。

2.4.2 口令與口令策略

口令的长度必须要长于8位，且要同时包含字母、数字、标点。在设置密码参数时，要对/etc/default/passwd进行编辑、设置。确保所有用户都已经进行了密码的设置，随后对/etc/passwd和/etc/shadow进行检查，所有用户密码栏都要处于空白状态。endprint

2.4.3 对登录配置文件进行修改

避免root远程登录，超级用户最好不要采用直接登录的方式，并在/etc/default/login文件内进行CONSOLE=/dev/null的设置。如此一来，所有想要成为超级用户系统管理员，都要先登陆自己的普通帐号，并使用su命令将账户切换成为超级用户。这主要是因为系统会自动记录用户对于su命令的使用情况，从而对用户行为进行审查。

编辑etc/default/login，并加上以下代码，如图1所示。

对所有的root登录尝试进行记录，如图2所示。

2.4.4 进行root权限的umask设置

对root权限的.profile进行检查，保证umask是027或者077。

2.4.5 对于所有的path

要将全部的/.0路径去除，并对缺省启动脚本、root启动脚本进行检查，阐述路径变量内的/.0路径，例如：/. login，/etc/.login，/etc/default/login，/. cshrc，/etcPskel/local文件。

2.5 系统开启和关闭

该程序及/etc/init.d、/etc/rc.X目录以及/etc/inittab文件，系统管理员可以将以上文件与目录权限进行更改，设置为仅超级用户可写。并在rc.x目录内将一些作用不大的服务关闭， 更换格式，在需要的时候可以顺利开启。例如：mv/etc/rc3.d/S92volmgt/etc/rc3.d/no—use—S92volmgt。

snmpdxautofs （Automounter） volmgt （Volume Deamon）lpsched （LP print service） nscd （Name Service Cache Daemon）Sendmail，这一服务在理论上其实应该被禁用，然而系统管理员可按照系统的应用要求，以系统最小化原则决定是否被禁用。

此外，rpcbind主要功能是远程呼叫，按照远程系统所提供的IP地址以及远程用户提供的ID，对其实施验证，如此一来便提高了伪造、更改的便捷性。关于这一问题，可以先将rpcbind服务关闭。

2.6 调整内核

将堆栈错误进行修正，避免溢出。可以将堆栈设置成为不可执行，具体流程如下：将以下几行归纳到/etc/system内：set noexec—user—stack=1 set noexec—user—stack—log=1。随后将文件权限进行更改，最终改为#chmod 644PetcPsystem。

2.7 日志与审核

设置一个合理的cronlogfiles。编辑配置文件/etc/cron.d/logchecker内LIMIT项。系统管理人员按照以往总结经验进行设置，通常需要观察日志查看周期与日志生成的信息量。关于cron日志审核周期，最好以7天为一周期。此外，对inetd服务进行记录。编辑/etc/init.d/inetsvc，在该文件中找到inetd启动项，如/usr/sbin/inetd -s -t&。

3 结束语

综上所述，要构建一个安全性高的SUN SOLARIS系统，需要从Solaris系统的安全配置、主机安全配置这两个方面着手，考虑容易出现问题的因素，尤其是系统管理人员，更要做好系统的设置工作，并做好数据备份。文章中主要从加强本地安全、加强网络安全、加强应用安全、监控警报这四点分析了Solaris系统的安全配置，并在确保控制台安全、保证文件系统的安全性、用户管理等六个方面，分析了主機的安全配置，希望能够为各地区分局的Telephonics自动化SUN SOLARIS系统构建提供合理的参考。

参考文献

[1]王雅芬，胡世安，刘杉坚，袁子立.GTK+在Sun Solaris系统中的开发与应用[J].计算机科学，2012，39（S3）：349-351.

[2]白兴瑞.基于SUN Solaris 10的DNS域名服务器配置[J].现代计算机（专业版），2014（05）：98-99.

[3]钟吉太，岳淑华，杨志仁.Solaris10操作系统在SUN V890服务器中的安装方法[J].物探装备，2016（04）：298-300.

[4]陈卫荣，黄进华.Sun solaris环境中用sendmail建立邮件服务器的研究[J].宁德师专学报（自然科学版），2014（04）：403-406.

作者单位

民航湖北空管分局 湖北省武汉市 430302endprint