美河学习在线 www.eimhe.com
Solaris 主机操作系统加固规范
2014 年 9 月
美河学习在线 www.eimhe.com
目 录
1 账号管理、认证授权 .................................................................................................. 1
1.1 账号 ...................................................................................................................... 1
1.1.1 SHG-Solaris-01-01-01 ...................................................................................... 1
1.1.2 SHG-Solaris-01-01-02 ...................................................................................... 2
1.1.3 SHG-Solaris-01-01-03 ...................................................................................... 3
1.1.4 SHG-Solaris-01-01-04 ...................................................................................... 4
1.1.5 SHG-Solaris-01-01-05 ...................................................................................... 5
1.2 口令 ...................................................................................................................... 6
1.2.1 SHG-Solaris-01-02-01 ...................................................................................... 6
1.2.2 SHG-Solaris-01-02-02 ...................................................................................... 7
1.2.3 SHG-Solaris-01-02-03 ...................................................................................... 8
1.2.4 SHG-Solaris-01-02-04 ...................................................................................... 9
1.2.5 SHG-Solaris-01-02-05 .................................................................................... 10
1.3 授权 .................................................................................................................... 12
1.3.1 SHG-Solaris-01-03-01 .................................................................................... 12
1.3.2 SHG-Solaris-01-03-02 .................................................................................... 13
1.3.3 SHG-Solaris-01-03-03 .................................................................................... 15
1.3.4 SHG-Solaris-01-03-04 .................................................................................... 17
1.3.5 SHG-Solaris-01-03-05 .................................................................................... 18
1.3.6 SHG-Solaris-01-03-06 .................................................................................... 18
1.3.7 SHG-Solaris-01-03-07 .................................................................................... 19
2 日志配置 .................................................................................................................... 20
2.1.1 SHG-Solaris-02-01-01 .................................................................................... 20
2.1.2 SHG-Solaris-02-01-02 .................................................................................... 21
2.1.3 SHG-Solaris-02-01-03 .................................................................................... 22
2.1.4 SHG-Solaris-02-01-04 .................................................................................... 23
2.1.5 SHG-Solaris-02-01-05 .................................................................................... 24
2.1.6 SHG-Solaris-02-01-06 .................................................................................... 25
2.1.7 SHG-Solaris-02-01-07 .................................................................................... 26
3 通信协议 .................................................................................................................... 27
3.1
IP 协议安全 ....................................................................................................... 27
3.1.1 SHG-Solaris-03-01-01 .................................................................................... 27
3.1.2 SHG-Solaris-03-01-02 .................................................................................... 28
3.1.3 SHG-Solaris-03-01-03 .................................................................................... 29
3.1.4 SHG-Solaris-03-01-04 .................................................................................... 30
3.2 路由协议安全 .................................................................................................... 31
3.2.1 SHG-Solaris-03-02-01 .................................................................................... 31
3.2.2 SHG-Solaris-03-02-02 .................................................................................... 32
4 设备其他安全要求 .................................................................................................... 34
美河学习在线 www.eimhe.com
4.1 补丁管理 ............................................................................................................ 34
4.1.1 SHG-Solaris-04-01-01 .................................................................................... 34
4.1.2 SHG-Solaris-04-01-02 .................................................................................... 35
4.2 服务进程和启动 ................................................................................................ 37
4.2.1 SHG-Solaris-04-02-01 .................................................................................... 37
4.2.2 SHG-Solaris-04-02-02 .................................................................................... 39
4.2.3 SHG-Solaris-04-02-03 .................................................................................... 41
4.2.4 SHG-Solaris-04-02-04 .................................................................................... 42
4.2.5 SHG-Solaris-04-02-05 .................................................................................... 42
4.2.6 SHG-Solaris-04-02-06 .................................................................................... 43
4.2.7 SHG-Solaris-04-02-07 .................................................................................... 44
BANNER 与屏幕保护 .......................................................................................... 45
4.3.1 SHG-Solaris-04-03-01 .................................................................................... 45
4.3.2 SHG-Solaris-04-03-02 .................................................................................... 46
4.4 内核调整 ............................................................................................................ 47
4.4.1 SHG-Solaris-04-04-01 .................................................................................... 47
4.4.2 SHG-Solaris-04-04-02 .................................................................................... 48
4.3
5 附录:SOLARIS 可被利用的漏洞 ......................................................................... 49
美河学习在线 www.eimhe.com
本文档是 Solaris 操作系统的对于 Solaris 操作系统设备账号认证、日志、
协议、补丁升级、文件系统管理等方面的 43 项安全配置要求,对系统的安全配
置审计、加固操作起到指导性作用。
11 账账号号管管理理、、认认证证授授权权
11..11 账账号号
11..11..11 SSHHGG--SSoollaarriiss--0011--0011--0011
编号
名称
实施目的
问题影响
SHG-Solaris-01-01-01
为不同的管理员分配不同的账号
根据不同类型用途设置不同的帐户账号,提高系统安全。
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态
cat /etc/passwd 记录当前用户列表
1、参考配置操作
为用户创建账号:
#useradd username #创建账号
#passwd username #设置密码
实施步骤
修改权限:
#chmod 750 directory #其中 755 为设置的权限,可根据
实际情况设置相应的权限,directory 是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令
及权限信息等。
美河学习在线 www.eimhe.com
回退方案
删除新增加的帐户
判断依据
标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险
高
重要等级
★★★
备注
11..11..22 SSHHGG--SSoollaarriiss--0011--0011--0022
SHG-Solaris-01-01-02
删除或锁定无效账号
删除或锁定无效的账号,减少系统安全隐患。
允许非法利用系统默认账号
cat /etc/passwd 记录当前用户列表, cat /etc/shadow 记
录当前密码配置
1、参考配置操作
删除用户:#userdel username;
锁定用户:
1) 修改/etc/shadow 文件,用户名后加*LK*
2) 将/etc/passwd 文件中的 shell 域设置成/bin/false
3) #passwd -l username
只有具备超级用户权限的使用者方可使用 ,#passwd -l
username 锁定用户,用#passwd –d username 解锁后原有密
码失效,登录需输入新密码,修改/etc/shadow 能保留原有
密码。
2、补充操作说明
需要锁定的用户:
Listen Gdm Webservd Nobody nobody4
编号
名称
实施目的
问题影响
系统当前状态
实施步骤
美河学习在线 www.eimhe.com
noaccess。
首先对不确定的用户锁定,待确认之后删除
回退方案
passwd –d username 解锁
或者重新建立用户
判断依据
如上述用户不需要,则锁定。
实施风险
高
重要等级
★★★
备注
11..11..33 SSHHGG--SSoollaarriiss--0011--0011--0033
编号
名称
SHG-Solaris-01-01-03
限制超级管理员远程登录
限制具备超级管理员权限的用户远程登录。远程执行管理员
实施目的
权限操作,应先以普通权限用户远程登录后,再切换到超级
管理员权限账。
问题影响
允许 root 远程非法登陆
cat /etc/default/login 并记录当前配置
系统当前状态
cat /etc/ssh/sshd_config 并记录当前配置
cat /usr/local/etc 并记录当前配置
1、参考配置操作
编辑/etc/default/login,加上:
实施步骤
CONSOLE=/dev/console # If CONSOLE is set, root can only
login on that device.
此项只能限制 root 用户远程使用 telnet 登录。用 ssh 登录,
美河学习在线 www.eimhe.com
修改此项不会看到效果的
2、补充操作说明
如果限制 root 从远程 ssh 登录,修改/etc/ssh/sshd_config
文件,将 PermitRootLogin yes 改为 PermitRootLogin no,
重启 sshd 服务。
Solaris 8上没有该路径
/usr/local/etc下有该文件
Solaris 9上有该路径/文件
还原配置文件
/etc/default/login
/etc/ssh/sshd_config
/usr/local/etc
/etc/default/login 中 CONSOLE=/dev/console 不被注释
/etc/ssh/sshd_config 中 PermitRootLogin no
回退方案
判断依据
实施风险
高
重要等级
★★★
备注
11..11..44 SSHHGG--SSoollaarriiss--0011--0011--0044
编号
名称
实施目的
SHG-Solaris-01-01-04
对系统账号进行登录限制
对系统账号进行登录限制,确保系统账号仅被守护进程和服
务使用。
问题影响
可能利用系统进程默认账号登陆,账号越权使用
系统当前状态
cat /etc/shadow 查看各账号状态。
美河学习在线 www.eimhe.com
1、参考配置操作
禁止账号交互式登录:
修改/etc/shadow 文件,用户名后密码列为 NP;
实施步骤
删除账号:#userdel username;
2、补充操作说明
禁止交互登录的系统账号,比如 daemon,bin,sys、adm、lp、
uucp、nuucp、smmsp 等等
回退方案
还原/etc/shadow 文件配置
判断依据
/etc/shadow 中上述账号,如果无特殊情况,密码列为 NP
实施风险
重要等级
备注
高
★
11..11..55 SSHHGG--SSoollaarriiss--0011--0011--0055
编号
名称
实施目的
SHG-Solaris-01-01-05
为空口令用户设置密码
禁止空口令用户,存在空口令是很危险的,用户不用口令认
证就能进入系统。
问题影响
用户被非法利用
系统当前状态
cat /etc/passwd
awk –F: ‘($2 == “”){print $1}’ /etc/passwd
用 root 用户登陆 Soaris 系统,执行 passwd 命令,给用户
实施步骤
增加口令。
例如:passwd test test。