SOLARIS操作系统安全配置规范.docx
《SOLARIS操作系统安全配置规范.docx》由会员分享,可在线阅读,更多相关《SOLARIS操作系统安全配置规范.docx(48页珍藏版)》请在冰豆网上搜索。
SOLARIS操作系统安全配置规范
2008-01-01实施
2007-12-19发布
Solaris操作系统
安全配置规范
安全配置规范
SpecificationforSolarisOSConfigurationUsedinChinaMobile
版本号:
1.0.0
网络与信息安全规范编号:
【网络与信息安全规范】·【第四层:
技术规范·Solaris操作系统】·【第4505号】
目录
1概述1
1.1适用范围1
1.2内部适用性说明1
1.3外部引用说明3
1.4术语和定义3
1.5符号和缩略语3
2Solaris设备安全配置要求3
2.1账号管理、认证授权3
2.1.1账号3
2.1.2口令6
2.1.3授权9
2.2日志配置要求12
2.3IP协议安全配置要求15
2.3.1IP协议安全15
2.3.2路由协议安全18
2.4设备其他安全配置要求20
2.4.1屏幕保护20
2.4.2文件系统及访问权限21
2.4.3物理端口及EEPROM的口令设置22
2.4.4补丁管理23
2.4.5服务24
2.4.6内核调整27
2.4.7启动项27
前言
本标准由中国移动通信有限公司网络部提出并归口。
本标准由标准提出并归口部门负责解释。
本标准起草单位:
中国移动通信有限公司网络部。
本标准解释单位:
同提出单位。
1概述
1.1适用范围
本规范适用于中国移动通信网、业务系统和支撑系统中使用SOLARIS操作系统的设备。
本规范明确了SOLARIS操作系统配置的基本安全要求,在未特别说明的情况下,均适用于所有运行的SOLARIS操作系统版本。
1.2内部适用性说明
本规范是在《中国移动设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备配置要求的基础上,提出的Solaris操作系统安全配置要求。
以下分项列出本规范对《通用规范》设备配置要求的修订情况:
编号
采纳意见
补充说明
安全要求-设备-通用-配置-1-可选
增强要求
安全要求-设备-SOLARIS-配置-1
安全要求-设备-通用-配置-2-可选
增强要求
安全要求-设备-SOLARIS-配置-2
安全要求-设备-通用-配置--3-可选
增强要求
安全要求-设备-SOLARIS-配置-3
安全要求-设备-通用-配置-4
完全采纳
安全要求-设备-通用-配置-5
完全采纳
安全要求-设备-通用-配置-6-可选
完全采纳
安全要求-设备-通用-配置-7-可选
完全采纳
安全要求-设备-通用-配置-9
完全采纳
安全要求-设备-通用-配置-12
完全采纳
安全要求-设备-通用-配置-13-可选
部分采纳,需要应用系统的支持
安全要求-设备-SOLARIS-配置-15-可选
安全要求-设备-通用-配置-24-可选
完全采纳
安全要求-设备-通用-配置-14-可选
完全采纳
安全要求-设备-通用-配置-16-可选
不采纳
需要采用第三方产品支持
安全要求-设备-通用-配置-17-可选
完全采纳
安全要求-设备-通用-配置-19-可选
完全采纳
安全要求-设备-通用-配置-20-可选
完全采纳
安全要求-设备-通用-配置-27-可选
完全采纳
本规范新增的安全配置要求,如下:
安全要求-设备-SOLARIS-配置-4-可选
安全要求-设备-SOLARIS-配置-5-可选
安全要求-设备-SOLARIS-配置-6
安全要求-设备-SOLARIS-配置-12-可选
安全要求-设备-SOLARIS-配置-13-可选
安全要求-设备-SOLARIS-配置-18-可选
安全要求-设备-SOLARIS-配置-19-可选
安全要求-设备-Solaris-配置-21-可选
安全要求-设备-Solaris-配置-22-可选
安全要求-设备-SOLARIS-配置-23-可选
安全要求-设备-SOLARIS-配置-24-可选
安全要求-设备-Solaris-配置-27-可选
安全要求-设备-SOLARIS-配置-28-可选
安全要求-设备-SOLARIS-配置-30-可选
安全要求-设备-SOLARIS-配置-31-可选
安全要求-设备-Solaris-配置-32-可选
安全要求-设备-Solaris-配置-33
安全要求-设备-Solaris-配置-34-可选
安全要求-设备-Solaris-配置-35-可选
安全要求-设备-Solaris-配置-36-可选
安全要求-设备-Solaris-配置-PZ-37
本规范还针对直接引用《通用规范》的配置要求,给出了在Solaris操作系统上的具体配置方法和检测方法。
1.3外部引用说明
《中国移动通用安全功能和配置规范》
1.4术语和定义
1.5符号和缩略语
(对于规范出现的英文缩略语或符号在这里统一说明。
)
缩写
英文描述
中文描述
2Solaris设备安全配置要求
本规范所指的设备为采用SOLARIS操作系统的设备。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于采用SOLARIS操作系统的设备。
本规范从运行SOLARIS操作系统设备的认证授权功能、安全日志功能、IP网络安全功能,其他自身安全配置功能四个方面提出安全配置要求。
2.1账号管理、认证授权
2.1.1账号
编号:
安全要求-设备-SOLARIS-配置-1
要求内容
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作指南
1、参考配置操作
为用户创建账号:
#useraddusername#创建账号
#passwdusername#设置密码
修改权限:
#chmod750directory#其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
2、补充操作说明
检测方法
1、判定条件
能够登录成功并且可以进行常用操作;
2、检测操作
使用不同的账号进行登录并进行一些常用操作;
3、补充说明
编号:
安全要求-设备-SOLARIS-配置-2
要求内容
应删除或锁定与设备运行、维护等工作无关的账号。
系统内存在不
可删除的内置账号,包括root,bin等。
操作指南
1、参考配置操作
删除用户:
#userdelusername;
锁定用户:
1)修改/etc/shadow文件,用户名后加*LK*
2)将/etc/passwd文件中的shell域设置成/bin/false
3)#passwd-lusername
只有具备超级用户权限的使用者方可使用,#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
2、补充操作说明
需要锁定的用户:
listen,gdm,webservd,nobody,nobody4、noaccess。
检测方法
1、判定条件
被删除或锁定的账号无法登录成功;
2、检测操作
使用删除或锁定的与工作无关的账号登录系统;
3、补充说明
需要锁定的用户:
listen,gdm,webservd,nobody,nobody4、noaccess。
编号:
安全要求-设备-SOLARIS-配置-3
要求内容
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作指南
1、参考配置操作
编辑/etc/default/login,加上:
CONSOLE=/dev/console#IfCONSOLEisset,rootcanonlyloginonthatdevice.
此项只能限制root用户远程使用telnet登录。
用ssh登录,修改此项不会看到效果的
2、补充操作说明
如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
Solaris8上没有该路径
/usr/local/etc下有该文件
Solaris9上有该路径/文件
检测方法
1、判定条件
root远程登录不成功,提示“Notonsystemconsole”;
普通用户可以登录成功,而且可以切换到root用户;
2、检测操作
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录;
3、补充说明
限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
编号:
安全要求-设备-SOLARIS-配置-4-可选
要求内容
根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。
操作指南
1、参考配置操作
创建帐户组:
#groupadd–gGIDgroupname#创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;
#usermod–ggroupusername#将用户username分配到group组中。
查询被分配到的组的GID:
#idusername
可以根据实际需求使用如上命令进行设置。
2、补充操作说明
可以使用-g选项设定新组的GID。
0到499之间的值留给root、bin、mail这样的系统账号,因此最好指定该值大于499。
如果新组名或者GID已经存在,则返回错误信息。
当group_name字段长度大于八个字符,groupadd命令会执行失败;
当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如#newgrpsys即把当前用户以sys组身份运行;
检测方法
1、判定条件
可以查看到用户账号分配到相应的帐户组中;
或都通过命令检查账号是否属于应有的组:
#idusername
2、检测操作
查看组文件:
cat/etc/group
3、补充说明
文件中的格式说明:
group_name:
:
GID:
user_list
编号:
安全要求-设备-SOLARIS-配置-5-可选
要求内容
对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。
如果系统没有应用这些守护进程或服务,应删除这些账号。
操作指南
1、参考配置操作
禁止账号交互式登录:
修改/etc/shadow文件,用户名后密码列为NP;
删除账号:
#userdelusername;
2、补充操作说明
禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等
检测方法
1、判定条件
被禁止账号交互式登录的帐户远程登录不成功;
2、检测操作
用root登录后,新建一账号,密码不设,从远程用此帐户登录,登录会显示loginincorrect,如果root用户