os安全加固手册solarisv10.doc

《os安全加固手册solarisv10.doc》由会员分享，可在线阅读，更多相关《os安全加固手册solarisv10.doc（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1、 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。结果：现网已实现2、 应删除或锁定与设备运行、维护等工作无关的账号。结果：现网已实现3、 限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。结果：可以实现编号： 安全要求-设备-SOLARIS-配置-3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、 参考配置操作编辑/etc/default/login，加上：CONSOLE=

2、/dev/console # If CONSOLE is set, root can only login on that device.此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。Solaris 8上没有该路径/usr/local/etc下有该文件Solaris 9上有该路径/文件检测方法1、判定条件root远程登录不成功，提示“Not on syste

3、m console”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。4、 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。结果：现网已实现，可以按照下面配置修改策略编号： 安全要求-设备-通用-配置-4

4、要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作 vi /etc/default/passwd ，修改设置如下PASSLENGTH = 6 #设定最小用户密码长度为6位MINALPHA=2；MINNONALPHA=1 #表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。当用root帐户给用户设定口令的时候不受任何限制，只要不超长。2、补充操作说明Solaris10默认如下各行都被注释掉，并且数值设置和解释如下：MINDIFF=3 # Minimum differences required be

5、tween an old and a new password.MINALPHA=2 # Minimum number of alpha character required.MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required.MINUPPER=0 # Minimum number of upper case letters required.MINLOWER=0 # Minimum number of lower case letters required.MAXREPEAT

6、S=0 # Maximum number of allowable consecutive repeating characters.MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required.MINDIGIT=0 # Minimum number of digits required.WHITESPACE=YESSolaris8默认没有这部分的数值设置需要手工添加NIS系统无法生效，非NIS系统或NIS+系统能够生效。 检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求

7、进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明对于Solaris 8以前的版本，PWLEN对应PASSLENGTH等，需根据/etc/default/passwd文件说明确定。NIS系统无法生效，非NIS系统或NIS+系统能够生效。5、 对于采用静态口令认证技术的设备，账

8、户口令的生存期不长于90天。结果：可以实现，应用账号不建议实现，将会影响应用系统；编号： 安全要求-设备-通用-配置-5要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。操作指南1、参考配置操作vi /etc/default/passwd文件：MAXWEEKS=13密码的最大生存周期为13周；（Solaris 8&10）PWMAX= 90 #密码的最大生存周期；（Solaris 其它版本）2、补充操作说明对于Solaris 8以前的版本，PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等，需根据/etc/default/passwd文件说明确定。NIS系统无法

9、生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件登录不成功；2、检测操作使用超过90天的帐户口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；NIS系统无法生效，非NIS系统或NIS+系统能够生效。6、 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。结果：可以实现，不建议实现，应用账号无法单独设置，将会影响应用系统；编号： 安全要求-设备-通用-配置-6-可选要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作vi /etc/default/pa

10、sswd ，修改设置如下HISTORY52、补充操作说明#HISTORY sets the number of prior password changes to keep and# check for a user when changing passwords. Setting the HISTORY# value to zero (0), or removing/commenting out the flag will# cause all users prior password history to be discarded at the# next password change

11、by any user. No password history will# be checked if the flag is not present or has zero value.# The maximum value of HISTORY is 26.NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件设置密码不成功2、检测操作cat /etc/default/passwd ，设置如下HISTORY53、补充说明默认没有HISTORY的标记，即不记录以前的密码NIS系统无法生效，非NIS系统或NIS+系统能够生效。7、 对于采用静态口令认证技术的设备，应配置

12、当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。结果：可以实现，不建议实现。应用账号无法单独设置，账号锁定将会影响应用系统，root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。编号： 安全要求-设备-通用-配置-7-可选要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：vi /etc/user_attrvi /etc/security/policy.conf设置LOCK_AFTER_RETR

13、IES=YES设置重试的次数：vi /etc/default/login在文件中将RETRIES行前的#去掉，并将其值修改为RETRIES7。保存文件退出。2、补充操作说明默认值为：LOCK_AFTER_RETRIESNOlock_after-retriesnoRETRIES= 5，即等于或大于5次时被锁定。root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件帐户被锁定，不再提示让再次登录；2、检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次

14、以上（不含6次）；2、 补充说明root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。NIS系统无法生效，非NIS系统或NIS+系统能够生效。8、 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。结果：现网已实现9、 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。结果：现网已实现10、 设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据

15、。记录需要包含用户账号，操作时间，操作内容以及操作结果。结果：可以实现，但是磁盘空间不足，不建议实现编号： 安全要求-设备-SOLARIS-配置-15-可选要求内容设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下/usr/lib/acc

16、t/accton /var/adm/pacct，执行读取命令lastcomm user name。2、补充操作说明检测方法1、判定条件能够显示出包含配置内容中所要求的全部内容。2、检测操作# lastcomm user name3、补充说明11、 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。 结果：可以实现。但需要一台专用日志服务器（要求大容量磁盘空间）编号： 安全要求-设备-通用-配置-14-可选要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，加上这一行：*.* 192.1

17、68.0.1可以将*.*替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。可以将此处192.168.0.1替换为实际的IP或域名。重新启动syslog服务，依次执行下列命令：/etc/init.d/syslog stop/etc/init.d/syslog start 2、补充操作说明注意：*.*和之间为一个Tab适用于Solaris 9 之前版本，Solaris 10测试未成功；检测方法1、判定条件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。3、补充说明12、 对于使用IP协议进行远程维护的设备，设备应

18、配置使用SSH等加密协议。 结果：现网已实现13、 对于具备字符交互界面的设备，应配置定时账户自动登出。 结果：可以实现编号： 安全要求-设备-通用-配置-19-可选要求内容对于具备字符交互界面的设备，应配置定时帐户自动登出。操作指南1、参考配置操作可以在用户的.profile文件中HIST后面增加如下行：vi/etc/profile$ TMOUT=180;export TMOUT 改变这项设置后，重新登录才能有效。2、补充操作说明若修改了login文件，如下：vi /etc/default/login # TIMEOUT sets the number of seconds (between

19、 0 and 900) to wait before # abandoning a login session. TIMEOUT=300 这里的超时设置针对登录过程，而不是登录成功后的shell会话超时设置。检测方法1、判定条件若在设定时间内没有操作动作，能够自动退出，即为符合；2、检测操作用root帐户登录后，在设定时间内不进行任何操作，检查帐户是否登出。3、补充说明14、 对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。 结果：现网已实现编号： 安全要求-设备-通用-配置-20-可选要求内容对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。操作指南1、参考配置

20、操作在CDE面板中(打印机右边)，打开style manager；或者使用命令#/usr/dt/bin/dtstyle可以调出style manager；选中 ScreenScreen Saver - onScreen Lock - on 2、补充操作说明手动锁屏幕方法：直接点击桌面上的锁图标。检测方法1、判定条件登录后，在设定时间内不进行任何操作，检查屏幕被锁定即为符合。2、检测操作登录后，在设定时间内不进行任何操作，检查屏幕是否被锁定。3、补充说明15、 设备应配置日志功能，记录对与设备相关的安全事件。 结果：现网已实现编号： 安全要求-设备-通用-配置-24-可选要求内容设备应配置日志功

21、能，记录对与设备相关的安全事件。操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。2、补充操作说明检测方法1、判定条件查看/var/adm/messages，记录有需要的设备相关的安全事件。2、检测操作修改配置文件vi /etc/syslog.conf，配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。3、补充说明16、

22、设备应配置权限，控制对日志文件读取、修改和删除权限操作。 结果：现网已实现17、 对于具备consol口的设备，应配置consol口密码保护功能。 结果：可以实现，不建议实现。有一定风险，如果密码丢失，设备将无法恢复。编号： 安全要求-设备-通用-配置-27-可选要求内容对于具备console口的设备，限制root 用户只能从console口本地登录操作指南1、参考配置操作连接CONSOLE物理端口,使用命令setup platform(菜单式操作),根据提示设置passwd,即可.2、补充操作说明此项只能对SUN Fire 产品系列生效，对于SUN Enterprise产品系列不适用。检测方法1、判定条件登录提示需要输入用户及密码2、检测操作连接CONSOLE物理端口，需输入用户及密码才能进入。3、补充说明此项只能对SUN Fire 产品系列生效，对于SUN Enterprise产品系列不适用。solaris系统安全加固汇总：共17项，现网已经实现10项，可以实现7项（现在操作了4项，见solaris系统安全加固操作手册蓝色部分），其余项不建议实现。第 18 页