Solaris安全配置规范.docx

Solaris安全配置规范.docx

《Solaris安全配置规范.docx》由会员分享，可在线阅读，更多相关《Solaris安全配置规范.docx（34页珍藏版）》请在冰点文库上搜索。

Solaris安全配置规范

Solaris操作系统安全配置规范

2011年3月

第1章概述

1.1适用范围

适用于中国电信使用SOLARIS操作系统的设备。

本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同，配置操作有所不同，本规范以SOLARIS8/10为例，给出参考配置操作。

第2章安全配置要求

2.1账号

编号：

1

要求内容

应按照不同的用户分配不同的账号。

操作指南

1、参考配置操作

为用户创建账号：

#useraddusername#创建账号

#passwdusername#设置密码

修改权限：

#chmod750directory#其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录）

使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。

2、补充操作说明

检测方法

1、判定条件

能够登录成功并且可以进行常用操作；

2、检测操作

使用不同的账号进行登录并进行一些常用操作；

3、补充说明

编号：

2

要求内容

应删除或锁定与设备运行、维护等工作无关的账号。

操作指南

1、参考配置操作

删除用户：

#userdelusername;

锁定用户：

1）修改/etc/shadow文件，用户名后加*LK*

2）将/etc/passwd文件中的shell域设置成/bin/false

3）#passwd-lusername

只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

2、补充操作说明

需要锁定的用户：

listen,gdm,webservd,nobody,nobody4、noaccess。

检测方法

1、判定条件

被删除或锁定的账号无法登录成功；

2、检测操作

使用删除或锁定的与工作无关的账号登录系统；

3、补充说明

需要锁定的用户：

listen,gdm,webservd,nobody,nobody4、noaccess。

编号：

3

要求内容

限制具备超级管理员权限的用户远程登录。

远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。

操作指南

1、参考配置操作

限制root远程telnet登录：

编辑/etc/default/login，加上：

CONSOLE=/dev/console#IfCONSOLEisset,rootcanonlyloginonthatdevice.

限制root远程ssh登录：

修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。

Solaris8上没有该路径

/usr/local/etc下有该文件

Solaris9上有该路径/文件

重启sshd服务：

Solaris10以前：

#/etc/init.d/sshdstop

#/etc/init.d/sshdstart

Solaris10：

#svcadmdisablessh

#svcadmenablessh

2、补充操作说明

Solaris8上默认是没有安装ssh的，需要安装软件包。

检测方法

1、判定条件

root远程登录不成功，提示“Notonsystemconsole”；

普通用户可以登录成功，而且可以切换到root用户；

2、检测操作

root从远程使用telnet登录；

普通用户从远程使用telnet登录；

root从远程使用ssh登录；

普通用户从远程使用ssh登录；

3、补充说明

。

2.2口令

编号：

1

要求内容

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。

操作指南

1、参考配置操作

vi/etc/default/passwd，修改设置如下

PASSLENGTH=8#设定最小用户密码长度为8位

MINALPHA=2；MINNONALPHA=1#表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。

当用root帐户给用户设定口令的时候不受任何限制，只要不超长。

2、补充操作说明

Solaris10默认如下各行都被注释掉，并且数值设置和解释如下：

MINDIFF=3#Minimumdifferencesrequiredbetweenanoldandanewpassword.

MINALPHA=2#Minimumnumberofalphacharacterrequired.

MINNONALPHA=1#Minimumnumberofnon-alpha（includingnumericandspecial）required.

MINUPPER=1#Minimumnumberofuppercaselettersrequired.

MINLOWER=1#Minimumnumberoflowercaselettersrequired.

MAXREPEATS=0#Maximumnumberofallowableconsecutiverepeatingcharacters.

MINSPECIAL=0#Minimumnumberofspecial（non-alphaandnon-digit）charactersrequired.

MINDIGIT=8#Minimumnumberofdigitsrequired.

WHITESPACE=YES

Solaris8默认没有这部分的数值设置需要手工添加

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

检测方法

1、判定条件

不符合密码强度的时候，系统对口令强度要求进行提示；

符合密码强度的时候，可以成功设置；

2、检测操作

1、检查口令强度配置选项是否可以进行如下配置：

i.配置口令的最小长度；

ii.将口令配置为强口令。

2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

3、补充说明

对于Solaris8以前的版本，PWLEN对应PASSLENGTH等，需根据/etc/default/passwd文件说明确定。

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

编号：

2

要求内容

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。

操作指南

1、参考配置操作

vi/etc/default/passwd文件：

MAXWEEKS=13密码的最大生存周期为13周；（Solaris8&10）

PWMAX=90#密码的最大生存周期；（Solaris其它版本）

2、补充操作说明

对于Solaris8以前的版本，PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等，需根据/etc/default/passwd文件说明确定。

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

检测方法

1、判定条件

登录不成功；

2、检测操作

使用超过90天的帐户口令登录；

3、补充说明

测试时可以将90天的设置缩短来做测试；

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

编号：

3

要求内容

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

操作指南

1、参考配置操作

vi/etc/default/passwd，修改设置如下

HISTORY＝5

2、补充操作说明

#HISTORYsetsthenumberofpriorpasswordchangestokeepand

#checkforauserwhenchangingpasswords.SettingtheHISTORY

#valuetozero（0）,orremoving/commentingouttheflagwill

#causeallusers'priorpasswordhistorytobediscardedatthe

#nextpasswordchangebyanyuser.Nopasswordhistorywill

#becheckediftheflagisnotpresentorhaszerovalue.

#ThemaximumvalueofHISTORYis26.

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

检测方法

1、判定条件

设置密码不成功

2、检测操作

cat/etc/default/passwd，设置如下

HISTORY＝5

3、补充说明

默认没有HISTORY的标记，即不记录以前的密码

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

编号：

4

要求内容

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

操作指南

1、参考配置操作

指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：

vi/etc/user_attr

vi/etc/security/policy.conf

设置LOCK_AFTER_RETRIES=YES

设置重试的次数：

vi/etc/default/login

在文件中将RETRIES行前的#去掉，并将其值修改为RETRIES＝7。

保存文件退出。

2、补充操作说明

默认值为：

LOCK_AFTER_RETRIES＝NO

lock_after-retries＝no

RETRIES=5，即等于或大于5次时被锁定。

root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

检测方法

1、判定条件

帐户被锁定，不再提示让再次登录；

2、检测操作

创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）；

2、补充说明

root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

2.3授权

编号：

1

要求内容

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

操作指南

1、参考配置操作

通过chmod命令对目录的权限进行实际设置。

2、补充操作说明

etc/passwd必须所有用户都可读，root用户可写–rw-r—r—

/etc/shadow只有root可读–r--------

/etc/group必须所有用户都可读，root用户可写–rw-r—r—

使用如下命令设置：

chmod644/etc/passwd

chmod600/etc/shadow

chmod644/etc/group

如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）

执行命令#chmod-Rgo-w/etc

检测方法

1、判定条件

1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；

2、记录能够配置的权限选项内容；

3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。

2、检测操作

1、利用管理员账号登录系统，并创建2个不同的用户；

2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；

3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；

4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。

3、补充说明

编号：

2

要求内容

控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

操作指南

1、参考配置操作

设置默认权限：

vi/etc/default/login在末尾增加umask027

修改文件或目录的权限，操作举例如下：

#chmod444dir;#修改目录dir的权限为所有人都为只读。

根据实际情况设置权限；

2、补充操作说明

如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。

检测方法

1、判定条件

权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；

2、检测操作

查看新建的文件或目录的权限，操作举例如下：

#ls-ldir;#查看目录dir的权限

#cat/etc/default/login查看是否有umask027内容

3、补充说明

umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。

umask的计算：

umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。

编号：

3

要求内容

控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

操作指南

1、参考配置操作

a.限制某些系统帐户不准ftp登录:

通过修改ftpusers文件，增加帐户

#vi/etc/ftpusers#Solaris8

#vi/etc/ftpd/ftpusers#Solaris10

b.限制用户可使用FTP不能用Telnet，假如用户为ftpxll

创建一个/etc/shells文件,添加一行/bin/true;

修改/etc/passwd文件，ftpxll:

x:

119:

1:

:

/home/ftpxll:

/bin/true

注：

还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能够登录ftp

c.限制ftp用户登陆后在自己当前目录下活动

编辑ftpaccess，加入如下一行restricted-uid*（限制所有），

restricted-uidusername（特定用户）

ftpaccess文件与ftpusers文件在同一目录

d.设置ftp用户登录后对文件目录的存取权限，可编辑/etc/ftpd/ftpaccess。

chmodnoguest,anonymous

deletenoguest,anonymous

overwritenoguest,anonymous

renamenoguest,anonymous

umasknoanonymous

2、补充操作说明

查看#catftpusers

说明:

在这个列表里边的用户名是不允许ftp登陆的。

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

检测方法

1、判定条件

权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；

2、检测操作

查看新建的文件或目录的权限，操作举例如下：

#more/etc/ftpusers#Solaris8

#more/etc/ftpd/ftpusers#Solaris10

#more/etc/passwd

#more/etc/ftpaccess#Solaris8

#more/etc/ftpd/ftpaccess#Solaris10

3、补充说明

查看#catftpusers

说明:

在这个列表里边的用户名是不允许ftp登陆的。

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

2.4远程维护

编号：

1

要求内容

对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，禁止使用telnet等明文传输协议进行远程维护；

操作指南

1、参考配置操作

Solaris10以前的版本需另外安装，才能使用SSH。

Solaris10启用SSH的命令：

svcadmenablessh

Solaris10禁用Telnet的命令：

svcadmdisabletelnet

Solaris8如果安装openssh

正常可以通过#/etc/init.d/sshdstart来启动SSH;

通过#/etc/init.d/sshdstop来停止SSH

2、补充操作说明

查看SSH服务状态：

#ps–elf|grepssh

Solaris10还可以通过命令：

#svcs-a|grepssh

若为online，即为生效。

检测方法

1、判定条件

#ps–elf|grepssh

是否有ssh进程存在

Solaris10还可以通过命令#svcs-a|grepssh

SSH服务状态查看结果为：

online

telnet服务状态查看结果为：

disabled

2、检测操作

查看SSH服务状态：

#ps–elf|grepssh

查看telnet服务状态：

#ps–elf|greptelnet

3、补充说明

查看SSH服务状态：

Solaris10还可以使用

#svcs-a|grepssh

查看telnet服务状态：

Solaris10还可以使用

#svcs-a|greptelnet

2.5补丁安全

编号：

1

要求内容

在保证业务及网络安全的前提下，经过实验室测试后，更新使用最新版本的操作系统补丁

操作指南

1、参考配置操作

Solaris提供了两个命令来管理补丁，Patchadd和patchrm。

这两个命令是在Solaris2.6版本开始提供的，在2.6以前

的版本中，每个补丁包中都提供了一个installpatch程序

和一个backoutpatch程序来完成补丁的安装和卸载。

注意：

由于在安装Patch时需要更新文件，故此Solaris官方推荐

在安装补丁时进入单用户模式安装。

例如：

#cd/var/tmp

#patchadd110668-04

检测方法

1、判定条件

查看最新的补丁号，确认已打上了最新补丁；

2、检测操作

#showrev–p命令检补丁号

3、补充说明

2.6日志安全

编号：

1

要求内容

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

操作指南

1、参考配置操作

修改文件：

vi/etc/default/login，设置SYSLOG=YES。

SOLARIS10是wtmpx文件,Solaris8是wtmp,wtmps,文件中记录着所有登录过主机的用户，时间，来源等内容，这两个文件不具可读性，可用last命令来看。

2、补充操作说明

检测方法

1、判定条件

列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。

2、检测操作

查看文件：

more/etc/default/login中的SYSLOG=YES

/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户，时间，来源等内容，该文件不具可读性，可用last命令来看。

#last

3、补充说明

如果/var/adm/wtmpx或者wtmp,wtmps文件会增长很快，大小达到2G以上，可先压缩，FTP出来后，删除该文件，再创建空文件，一定要创建空文件，否则可能出现系统无法启动。

编号：

2（可选）

要求内容

启用记录cron行为日志功能

操作指南

1、参考配置操作

对所有的cron行为进行审计：

在/etc/default/cron里设置"CRONLOG=yes"来记录corn的动作。

检测方法

1、判定条件

CRONLOG=YES

2、检测操作

运行cat/etc/default/cron查看CRONLOG状态，并记录

编号：

3

要求内容

设备应配置权限，控制对日志文件读取、修改和删除等操作。

操作指南

1、参考配置操作

修改文件权限：

chmod644/var/adm/messages

chmod644/var/adm/utmpx

chmod644/var/adm/wmtpx

chmod600/var/adm/sulog

2、补充操作说明

检测方法

1、判定条件

没有相应权限的用户不能查看或删除日志文件

2、检测操作

查看syslog.conf文件中配置的日志存放文件：

more/etc/syslog.conf

使用ls–l/var/adm查看的目录下日志文件的权限，messages、utmpx、wmtpx的权限应为644，如下所示：

-rw-r--r--1rootrootmessage

-rw-r--r--1rootbinutmpx

-rw-r--r--1admadmwtmpx

sulog的权限应为600，如下所示：

-rw-------1rootrootsulog

3、补充说明

对于其他日志文件，也应该设置适当的权限，如登录失败事件的日志、操作日志，具体文件查看syslog.conf中的配置。

2.7不必要的服务

编号：

要求内容

关闭不必要的服务

操作指南

1、参考配置操作

查看所有开启的服务：

#ps–eaf

#svcs–a‘solaris10

在inetd.conf中关闭不用的服务首先复制/etc/inet/inetd.conf。

#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.backup然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务,即可。

对于Solaris10，直接关闭某个服务，如telnet,可用如下命令:

svcadmdisablesvc:

/network/telne