Solaris系统安全加固建议书Word文件下载.docx

Solaris系统安全加固建议书Word文件下载.docx

《Solaris系统安全加固建议书Word文件下载.docx》由会员分享，可在线阅读，更多相关《Solaris系统安全加固建议书Word文件下载.docx（44页珍藏版）》请在冰点文库上搜索。

可删除的内置账号，包括root,bin等。

删除用户：

#userdelusername;

锁定用户：

1）修改/etc/shadow文件，用户名后加*LK*

2）将/etc/passwd文件中的shell域设置成/bin/false

3）#passwd-lusername

只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

需要锁定的用户：

listen,gdm,webservd,nobody,nobody4、noaccess。

被删除或锁定的账号无法登录成功；

使用删除或锁定的与工作无关的账号登录系统；

安全要求-设备-SOLARIS-配置-3

限制具备超级管理员权限的用户远程登录。

远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。

1、参考配置操作

编辑/etc/default/login，加上：

CONSOLE=/dev/console#IfCONSOLEisset,rootcanonlyloginonthatdevice.

此项只能限制root用户远程使用telnet登录。

用ssh登录，修改此项不会看到效果的

如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。

Solaris8上没有该路径

/usr/local/etc下有该文件

Solaris9上有该路径/文件

root远程登录不成功，提示“Notonsystemconsole”；

普通用户可以登录成功，而且可以切换到root用户；

root从远程使用telnet登录；

普通用户从远程使用telnet登录；

root从远程使用ssh登录；

普通用户从远程使用ssh登录；

限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。

安全要求-设备-SOLARIS-配置-4-可选

根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。

创建帐户组：

#groupadd–gGIDgroupname#创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；

#usermod–ggroupusername#将用户username分配到group组中。

查询被分配到的组的GID：

#idusername

可以根据实际需求使用如上命令进行设置。

可以使用-g选项设定新组的GID。

0到499之间的值留给root、bin、mail这样的系统账号，因此最好指定该值大于499。

如果新组名或者GID已经存在，则返回错误信息。

当group_name字段长度大于八个字符，groupadd命令会执行失败；

当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrpsys即把当前用户以sys组身份运行；

可以查看到用户账号分配到相应的帐户组中；

或都通过命令检查账号是否属于应有的组：

#idusername

查看组文件：

cat/etc/group

文件中的格式说明：

group_name:

:

GID:

user_list

安全要求-设备-SOLARIS-配置-5-可选

对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。

如果系统没有应用这些守护进程或服务，应删除这些账号。

禁止账号交互式登录：

修改/etc/shadow文件，用户名后密码列为NP；

删除账号：

禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等

被禁止账号交互式登录的帐户远程登录不成功；

用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示loginincorrect，如果root用户没设密码没有任何提示信息直接退出；

1.1.2口令

安全要求-设备-通用-配置-4

对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

vi/etc/default/passwd，修改设置如下

PASSLENGTH=6#设定最小用户密码长度为6位

MINALPHA=2；

MINNONALPHA=1#表示至少包括两个字母和一个非字母；

具体设置可以参看补充说明。

当用root帐户给用户设定口令的时候不受任何限制，只要不超长。

Solaris10默认如下各行都被注释掉，并且数值设置和解释如下：

MINDIFF=3#Minimumdifferencesrequiredbetweenanoldandanewpassword.

MINALPHA=2#Minimumnumberofalphacharacterrequired.

MINNONALPHA=1#Minimumnumberofnon-alpha（includingnumericandspecial）required.

MINUPPER=0#Minimumnumberofuppercaselettersrequired.

MINLOWER=0#Minimumnumberoflowercaselettersrequired.

MAXREPEATS=0#Maximumnumberofallowableconsecutiverepeatingcharacters.

MINSPECIAL=0#Minimumnumberofspecial（non-alphaandnon-digit）charactersrequired.

MINDIGIT=0#Minimumnumberofdigitsrequired.

WHITESPACE=YES

Solaris8默认没有这部分的数值设置需要手工添加

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

不符合密码强度的时候，系统对口令强度要求进行提示；

符合密码强度的时候，可以成功设置；

1、检查口令强度配置选项是否可以进行如下配置：

i.配置口令的最小长度；

ii.将口令配置为强口令。

2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；

输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

对于Solaris8以前的版本，PWLEN对应PASSLENGTH等，需根据/etc/default/passwd文件说明确定。

安全要求-设备-通用-配置-5

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。

vi/etc/default/passwd文件：

MAXWEEKS=13密码的最大生存周期为13周；

（Solaris8&

10）

PWMAX=90#密码的最大生存周期；

（Solaris其它版本）

对于Solaris8以前的版本，PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等，需根据/etc/default/passwd文件说明确定。

登录不成功；

使用超过90天的帐户口令登录；

测试时可以将90天的设置缩短来做测试；

安全要求-设备-通用-配置-6-可选

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

vi/etc/default/passwd，修改设置如下

HISTORY＝5

#HISTORYsetsthenumberofpriorpasswordchangestokeepand

#checkforauserwhenchangingpasswords.SettingtheHISTORY

#valuetozero（0）,orremoving/commentingouttheflagwill

#causeallusers'

priorpasswordhistorytobediscardedatthe

#nextpasswordchangebyanyuser.Nopasswordhistorywill

#becheckediftheflagisnotpresentorhaszerovalue.

#ThemaximumvalueofHISTORYis26.

设置密码不成功

cat/etc/default/passwd，设置如下

默认没有HISTORY的标记，即不记录以前的密码

安全要求-设备-通用-配置-7-可选

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：

vi/etc/user_attr

vi/etc/security/policy.conf

设置LOCK_AFTER_RETRIES=YES

设置重试的次数：

vi/etc/default/login

在文件中将RETRIES行前的#去掉，并将其值修改为RETRIES＝7。

保存文件退出。

默认值为：

LOCK_AFTER_RETRIES＝NO

lock_after-retries＝no

RETRIES=5，即等于或大于5次时被锁定。

root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。

帐户被锁定，不再提示让再次登录；

创建一个普通账号，为其配置相应的口令；

并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）；

2、补充说明

1.1.3授权

安全要求-设备-通用-配置-9

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

通过chmod命令对目录的权限进行实际设置。

etc/passwd必须所有用户都可读，root用户可写–rw-r—r—

/etc/shadow只有root可读–r--------

/etc/group必须所有用户都可读，root用户可写–rw-r—r—

使用如下命令设置：

chmod644/etc/passwd

chmod600/etc/shadow

chmod644/etc/group

如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）

执行命令#chmod-Rgo-w/etc

1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；

2、记录能够配置的权限选项内容；

3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。

1、利用管理员账号登录系统，并创建2个不同的用户；

2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；

3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；

4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。

安全要求-设备-SOLARIS-配置-12-可选

控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

设置默认权限：

vi/etc/default/login在末尾增加umask027

修改文件或目录的权限，操作举例如下：

#chmod444dir;

#修改目录dir的权限为所有人都为只读。

根据实际情况设置权限；

如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。

权限设置符合实际需要；

不应有的访问允许权限被屏蔽掉；

查看新建的文件或目录的权限，操作举例如下：

#ls-ldir;

#查看目录dir的权限

#cat/etc/default/login查看是否有umask027内容

umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。

umask的计算：

umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；

对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。

安全要求-设备-SOLARIS-配置-13-可选

控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

a.限制某些系统帐户不准ftp登录:

通过修改ftpusers文件，增加帐户

#vi/etc/ftpusers#Solaris8

#vi/etc/ftpd/ftpusers#Solaris10

b.限制用户可使用FTP不能用Telnet，假如用户为ftpxll

创建一个/etc/shells文件,添加一行/bin/true;

修改/etc/passwd文件，ftpxll:

x:

119:

1:

/home/ftpxll:

/bin/true

注：

还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能够登录ftp

c.限制ftp用户登陆后在自己当前目录下活动

编辑ftpaccess，加入如下一行restricted-uid*（限制所有），

restricted-uidusername（特定用户）

ftpaccess文件与ftpusers文件在同一目录

d.设置ftp用户登录后对文件目录的存取权限，可编辑/etc/ftpd/ftpaccess。

chmodnoguest,anonymous

deletenoguest,anonymous

overwritenoguest,anonymous

renamenoguest,anonymous

umasknoanonymous

查看#catftpusers

说明:

在这个列表里边的用户名是不允许ftp登陆的。

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

#more/etc/ftpusers#Solaris8

#more/etc/ftpd/ftpusers#Solaris10

#more/etc/passwd

#more/etc/ftpaccess#Solaris8

#more/etc/ftpd/ftpaccess#Solaris10

1.2日志配置要求

本部分对SOLARIS操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。

根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。

如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。

安全要求-设备-通用-配置-12

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

修改文件：

vi/etc/default/login，设置SYSLOG=YES。

SOLARIS10是wtmpx文件,Solaris8是wtmp,wtmps,文件中记录着所有登录过主机的用户，时间，来源等内容，这两个文件不具可读性，可用last命令来看。

列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。

查看文件：

more/etc/default/login中的SYSLOG=YES

/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户，时间，来源等内容，该文件不具可读性，可用last命令来看。

#last

如果/var/adm/wtmpx或者wtmp,wtmps文件会增长很快，大小达到2G以上，可先压缩，FTP出来后，删除该文件，再创建空文件，一定要创建空文件，否则可能出现系统无法启动。

安全要求-设备-SOLARIS-配置-15-可选

设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：

账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

需记录要包含用户账号，操作时间，操作内容以及操作结果。

通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下/usr/lib/acct/accton/var/adm/pacct，

执行读取命令lastcomm[username]。

能够显示出包含配置内容中所要求的全部内容。

#lastcomm[username]

安全要求-设备-通用-配置-24-可选

设备应配置日志功能，记录对与设备相关的安全事件。

修改配置文件vi/etc/syslog.conf，

配置如下类似语句：

*.err;

kern.debug;

daemon.notice;

/var/adm/messages

定义为需要保存的设备相关安全事件。

查看/var/adm/messages，记录有需要的设备相关的安全事件。

3