第1页 / 共54页
第2页 / 共54页
第3页 / 共54页
第4页 / 共54页
第5页 / 共54页
第6页 / 共54页
第7页 / 共54页
第8页 / 共54页
Solaris主机操作系统安全加固规范 中文.pdf
美河学习在线 www.eimhe.com
Solaris 主机操作系统加固规范
2014 年 9 月
美河学习在线 www.eimhe.com
目 录
1 账号管理、认证授权 .................................................................................................. 1
1.1 账号 ...................................................................................................................... 1
1.1.1 SHG-Solaris-01-01-01 ...................................................................................... 1
1.1.2 SHG-Solaris-01-01-02 ...................................................................................... 2
1.1.3 SHG-Solaris-01-01-03 ...................................................................................... 3
1.1.4 SHG-Solaris-01-01-04 ...................................................................................... 4
1.1.5 SHG-Solaris-01-01-05 ...................................................................................... 5
1.2 口令 ...................................................................................................................... 6
1.2.1 SHG-Solaris-01-02-01 ...................................................................................... 6
1.2.2 SHG-Solaris-01-02-02 ...................................................................................... 7
1.2.3 SHG-Solaris-01-02-03 ...................................................................................... 8
1.2.4 SHG-Solaris-01-02-04 ...................................................................................... 9
1.2.5 SHG-Solaris-01-02-05 .................................................................................... 10
1.3 授权 .................................................................................................................... 12
1.3.1 SHG-Solaris-01-03-01 .................................................................................... 12
1.3.2 SHG-Solaris-01-03-02 .................................................................................... 13
1.3.3 SHG-Solaris-01-03-03 .................................................................................... 15
1.3.4 SHG-Solaris-01-03-04 .................................................................................... 17
1.3.5 SHG-Solaris-01-03-05 .................................................................................... 18
1.3.6 SHG-Solaris-01-03-06 .................................................................................... 18
1.3.7 SHG-Solaris-01-03-07 .................................................................................... 19
2 日志配置 .................................................................................................................... 20
2.1.1 SHG-Solaris-02-01-01 .................................................................................... 20
2.1.2 SHG-Solaris-02-01-02 .................................................................................... 21
2.1.3 SHG-Solaris-02-01-03 .................................................................................... 22
2.1.4 SHG-Solaris-02-01-04 .................................................................................... 23
2.1.5 SHG-Solaris-02-01-05 .................................................................................... 24
2.1.6 SHG-Solaris-02-01-06 .................................................................................... 25
2.1.7 SHG-Solaris-02-01-07 .................................................................................... 26
3 通信协议 .................................................................................................................... 27
3.1
IP 协议安全 ....................................................................................................... 27
3.1.1 SHG-Solaris-03-01-01 .................................................................................... 27
3.1.2 SHG-Solaris-03-01-02 .................................................................................... 28
3.1.3 SHG-Solaris-03-01-03 .................................................................................... 29
3.1.4 SHG-Solaris-03-01-04 .................................................................................... 30
3.2 路由协议安全 .................................................................................................... 31
3.2.1 SHG-Solaris-03-02-01 .................................................................................... 31
3.2.2 SHG-Solaris-03-02-02 .................................................................................... 32
4 设备其他安全要求 .................................................................................................... 34
美河学习在线 www.eimhe.com
4.1 补丁管理 ............................................................................................................ 34
4.1.1 SHG-Solaris-04-01-01 .................................................................................... 34
4.1.2 SHG-Solaris-04-01-02 .................................................................................... 35
4.2 服务进程和启动 ................................................................................................ 37
4.2.1 SHG-Solaris-04-02-01 .................................................................................... 37
4.2.2 SHG-Solaris-04-02-02 .................................................................................... 39
4.2.3 SHG-Solaris-04-02-03 .................................................................................... 41
4.2.4 SHG-Solaris-04-02-04 .................................................................................... 42
4.2.5 SHG-Solaris-04-02-05 .................................................................................... 42
4.2.6 SHG-Solaris-04-02-06 .................................................................................... 43
4.2.7 SHG-Solaris-04-02-07 .................................................................................... 44
BANNER 与屏幕保护 .......................................................................................... 45
4.3.1 SHG-Solaris-04-03-01 .................................................................................... 45
4.3.2 SHG-Solaris-04-03-02 .................................................................................... 46
4.4 内核调整 ............................................................................................................ 47
4.4.1 SHG-Solaris-04-04-01 .................................................................................... 47
4.4.2 SHG-Solaris-04-04-02 .................................................................................... 48
4.3
5 附录:SOLARIS 可被利用的漏洞 ......................................................................... 49
美河学习在线 www.eimhe.com
本文档是 Solaris 操作系统的对于 Solaris 操作系统设备账号认证、日志、
协议、补丁升级、文件系统管理等方面的 43 项安全配置要求,对系统的安全配
置审计、加固操作起到指导性作用。
11 账账号号管管理理、、认认证证授授权权
11..11 账账号号
11..11..11 SSHHGG--SSoollaarriiss--0011--0011--0011
编号
名称
实施目的
问题影响
SHG-Solaris-01-01-01
为不同的管理员分配不同的账号
根据不同类型用途设置不同的帐户账号,提高系统安全。
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态
cat /etc/passwd 记录当前用户列表
1、参考配置操作
为用户创建账号:
#useradd username #创建账号
#passwd username #设置密码
实施步骤
修改权限:
#chmod 750 directory #其中 755 为设置的权限,可根据
实际情况设置相应的权限,directory 是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令
及权限信息等。
美河学习在线 www.eimhe.com
回退方案
删除新增加的帐户
判断依据
标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险
高
重要等级
★★★
备注
11..11..22 SSHHGG--SSoollaarriiss--0011--0011--0022
SHG-Solaris-01-01-02
删除或锁定无效账号
删除或锁定无效的账号,减少系统安全隐患。
允许非法利用系统默认账号
cat /etc/passwd 记录当前用户列表, cat /etc/shadow 记
录当前密码配置
1、参考配置操作
删除用户:#userdel username;
锁定用户:
1) 修改/etc/shadow 文件,用户名后加*LK*
2) 将/etc/passwd 文件中的 shell 域设置成/bin/false
3) #passwd -l username
只有具备超级用户权限的使用者方可使用 ,#passwd -l
username 锁定用户,用#passwd –d username 解锁后原有密
码失效,登录需输入新密码,修改/etc/shadow 能保留原有
密码。
2、补充操作说明
需要锁定的用户:
Listen Gdm Webservd Nobody nobody4
编号
名称
实施目的
问题影响
系统当前状态
实施步骤
美河学习在线 www.eimhe.com
noaccess。
首先对不确定的用户锁定,待确认之后删除
回退方案
passwd –d username 解锁
或者重新建立用户
判断依据
如上述用户不需要,则锁定。
实施风险
高
重要等级
★★★
备注
11..11..33 SSHHGG--SSoollaarriiss--0011--0011--0033
编号
名称
SHG-Solaris-01-01-03
限制超级管理员远程登录
限制具备超级管理员权限的用户远程登录。远程执行管理员
实施目的
权限操作,应先以普通权限用户远程登录后,再切换到超级
管理员权限账。
问题影响
允许 root 远程非法登陆
cat /etc/default/login 并记录当前配置
系统当前状态
cat /etc/ssh/sshd_config 并记录当前配置
cat /usr/local/etc 并记录当前配置
1、参考配置操作
编辑/etc/default/login,加上:
实施步骤
CONSOLE=/dev/console # If CONSOLE is set, root can only
login on that device.
此项只能限制 root 用户远程使用 telnet 登录。用 ssh 登录,
美河学习在线 www.eimhe.com
修改此项不会看到效果的
2、补充操作说明
如果限制 root 从远程 ssh 登录,修改/etc/ssh/sshd_config
文件,将 PermitRootLogin yes 改为 PermitRootLogin no,
重启 sshd 服务。
Solaris 8上没有该路径
/usr/local/etc下有该文件
Solaris 9上有该路径/文件
还原配置文件
/etc/default/login
/etc/ssh/sshd_config
/usr/local/etc
/etc/default/login 中 CONSOLE=/dev/console 不被注释
/etc/ssh/sshd_config 中 PermitRootLogin no
回退方案
判断依据
实施风险
高
重要等级
★★★
备注
11..11..44 SSHHGG--SSoollaarriiss--0011--0011--0044
编号
名称
实施目的
SHG-Solaris-01-01-04
对系统账号进行登录限制
对系统账号进行登录限制,确保系统账号仅被守护进程和服
务使用。
问题影响
可能利用系统进程默认账号登陆,账号越权使用
系统当前状态
cat /etc/shadow 查看各账号状态。
美河学习在线 www.eimhe.com
1、参考配置操作
禁止账号交互式登录:
修改/etc/shadow 文件,用户名后密码列为 NP;
实施步骤
删除账号:#userdel username;
2、补充操作说明
禁止交互登录的系统账号,比如 daemon,bin,sys、adm、lp、
uucp、nuucp、smmsp 等等
回退方案
还原/etc/shadow 文件配置
判断依据
/etc/shadow 中上述账号,如果无特殊情况,密码列为 NP
实施风险
重要等级
备注
高
★
11..11..55 SSHHGG--SSoollaarriiss--0011--0011--0055
编号
名称
实施目的
SHG-Solaris-01-01-05
为空口令用户设置密码
禁止空口令用户,存在空口令是很危险的,用户不用口令认
证就能进入系统。
问题影响
用户被非法利用
系统当前状态
cat /etc/passwd
awk –F: ‘($2 == “”){print $1}’ /etc/passwd
用 root 用户登陆 Soaris 系统,执行 passwd 命令,给用户
实施步骤
增加口令。
例如:passwd test test。
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
