四、防止Solaris系统遭受攻击的安全设置

　　（1） 阻止ping

　　鉴于攻击者一般先进行远程ping测试以寻找目标，进行阻止系统被ping时的回应，安全性自然增加了。

　　在/etc/rc.d/rc.local文件中增加如下内容：
　　echo 1 >/proc/sys/net/ipv4/
　　icmp_echo_ignore_all

　　（2） 防止IP欺骗

　　IP欺骗运用过程如下：首先，目标主机已经选定；其次，信任模式已被发现，并找到了一个被目标主机信任的主机。

　　黑客为了进行IP欺骗，会进行以下工作：使被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序列号，然后伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。成功后黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。

　　可编辑host.conf文件并增加如下几行内容来防止IP欺骗攻击：

　　order bind，hosts
　　multi off
　　nospoof on

　　（3） 防止DoS攻击

　　DoS（Denial of Service）攻击是一种很简单但又很有效的攻击方式，首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终将被耗尽，从而对合理请求也拒绝服务。

　　对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。

 　　例如，可以在/etc/security/limits.conf中添加如下几行：

　　* hard core 0
　　* hard rss 50000 （限制使用内存为50M）
　　* hard nproc 50 （限制进程数为50个）

　　然后编辑/etc/pam.d/Login文件检查下面一行是否存在。

　　session required /lib/security/pam_limits.so

　　以上的系统安全措施能够很大程度上减少系统漏洞，增强Solaris系统的安全性。建议系统管理员同时在网络边界路由上对服务器做先允许后全部拒绝的ACL访问列表进行包过滤，管理员在日常的管理工作中还可以利用报文监听工具对所管理网络中的数据报文进行捕获、分析，进而发现服务器中存在的安全漏洞。这类工具中较专业的有Sniffer、Snoop、Tcpdump、Netman等。

--
原文链接: http://publish.it168.com/2005/0721/20050721001504.shtml