Solaris系统安全加固实施文档.docx
《Solaris系统安全加固实施文档.docx》由会员分享,可在线阅读,更多相关《Solaris系统安全加固实施文档.docx(44页珍藏版)》请在冰豆网上搜索。
Solaris系统安全加固实施文档
Solaris系统安全加固实施文档
本规范所指的设备为采用SOLARIS操作系统的设备。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于采用SOLARIS操作系统的设备。
本规范从运行SOLARIS操作系统设备的认证授权功能、安全日志功能、IP网络安全功能,其他自身安全配置功能四个方面提出安全配置要求。
1.1账号管理、认证授权
1.1.1账号
编号:
安全要求-设备-SOLARIS-配置-1
要求内容
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作指南
1、参考配置操作
为用户创建账号:
#useraddusername#创建账号
#passwdusername#设置密码
修改权限:
#chmod750directory#其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
2、补充操作说明
检测方法
1、判定条件
能够登录成功并且可以进行常用操作;
2、检测操作
使用不同的账号进行登录并进行一些常用操作;
3、补充说明
编号:
安全要求-设备-SOLARIS-配置-2
要求内容
应删除或锁定与设备运行、维护等工作无关的账号。
系统内存在不
可删除的内置账号,包括root,bin等。
操作指南
1、参考配置操作
删除用户:
#userdelusername;
锁定用户:
1)修改/etc/shadow文件,用户名后加*LK*
2)将/etc/passwd文件中的shell域设置成/bin/false
3)#passwd-lusername
只有具备超级用户权限的使用者方可使用,#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
2、补充操作说明
需要锁定的用户:
listen,gdm,webservd,nobody,nobody4、noaccess。
检测方法
1、判定条件
被删除或锁定的账号无法登录成功;
2、检测操作
使用删除或锁定的与工作无关的账号登录系统;
3、补充说明
需要锁定的用户:
listen,gdm,webservd,nobody,nobody4、noaccess。
编号:
安全要求-设备-SOLARIS-配置-3
要求内容
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作指南
1、参考配置操作
编辑/etc/default/login,加上:
CONSOLE=/dev/console#IfCONSOLEisset,rootcanonlyloginonthatdevice.
此项只能限制root用户远程使用telnet登录。
用ssh登录,修改此项不会看到效果的
2、补充操作说明
如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
Solaris8上没有该路径
/usr/local/etc下有该文件
Solaris9上有该路径/文件
检测方法
1、判定条件
root远程登录不成功,提示“Notonsystemconsole”;
普通用户可以登录成功,而且可以切换到root用户;
2、检测操作
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录;
3、补充说明
限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
编号:
安全要求-设备-SOLARIS-配置-4-可选
要求内容
根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。
操作指南
1、参考配置操作
创建帐户组:
#groupadd–gGIDgroupname#创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;
#usermod–ggroupusername#将用户username分配到group组中。
查询被分配到的组的GID:
#idusername
可以根据实际需求使用如上命令进行设置。
2、补充操作说明
可以使用-g选项设定新组的GID。
0到499之间的值留给root、bin、mail这样的系统账号,因此最好指定该值大于499。
如果新组名或者GID已经存在,则返回错误信息。
当group_name字段长度大于八个字符,groupadd命令会执行失败;
当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如#newgrpsys即把当前用户以sys组身份运行;
检测方法
1、判定条件
可以查看到用户账号分配到相应的帐户组中;
或都通过命令检查账号是否属于应有的组:
#idusername
2、检测操作
查看组文件:
cat/etc/group
3、补充说明
文件中的格式说明:
group_name:
:
GID:
user_list
编号:
安全要求-设备-SOLARIS-配置-5-可选
要求内容
对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。
如果系统没有应用这些守护进程或服务,应删除这些账号。
操作指南
1、参考配置操作
禁止账号交互式登录:
修改/etc/shadow文件,用户名后密码列为NP;
删除账号:
#userdelusername;
2、补充操作说明
禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等
检测方法
1、判定条件
被禁止账号交互式登录的帐户远程登录不成功;
2、检测操作
用root登录后,新建一账号,密码不设,从远程用此帐户登录,登录会显示loginincorrect,如果root用户没设密码没有任何提示信息直接退出;
3、补充说明
1.1.2口令
编号:
安全要求-设备-通用-配置-4
要求内容
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
操作指南
1、参考配置操作
vi/etc/default/passwd,修改设置如下
PASSLENGTH=6#设定最小用户密码长度为6位
MINALPHA=2;MINNONALPHA=1#表示至少包括两个字母和一个非字母;具体设置可以参看补充说明。
当用root帐户给用户设定口令的时候不受任何限制,只要不超长。
2、补充操作说明
Solaris10默认如下各行都被注释掉,并且数值设置和解释如下:
MINDIFF=3#Minimumdifferencesrequiredbetweenanoldandanewpassword.
MINALPHA=2#Minimumnumberofalphacharacterrequired.
MINNONALPHA=1#Minimumnumberofnon-alpha(includingnumericandspecial)required.
MINUPPER=0#Minimumnumberofuppercaselettersrequired.
MINLOWER=0#Minimumnumberoflowercaselettersrequired.
MAXREPEATS=0#Maximumnumberofallowableconsecutiverepeatingcharacters.
MINSPECIAL=0#Minimumnumberofspecial(non-alphaandnon-digit)charactersrequired.
MINDIGIT=0#Minimumnumberofdigitsrequired.
WHITESPACE=YES
Solaris8默认没有这部分的数值设置需要手工添加
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
检测方法
1、判定条件
不符合密码强度的时候,系统对口令强度要求进行提示;
符合密码强度的时候,可以成功设置;
2、检测操作
1、检查口令强度配置选项是否可以进行如下配置:
i.配置口令的最小长度;
ii.将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
3、补充说明
对于Solaris8以前的版本,PWLEN对应PASSLENGTH等,需根据/etc/default/passwd文件说明确定。
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
编号:
安全要求-设备-通用-配置-5
要求内容
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
操作指南
1、参考配置操作
vi/etc/default/passwd文件:
MAXWEEKS=13密码的最大生存周期为13周;(Solaris8&10)
PWMAX=90#密码的最大生存周期;(Solaris其它版本)
2、补充操作说明
对于Solaris8以前的版本,PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等,需根据/etc/default/passwd文件说明确定。
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
检测方法
1、判定条件
登录不成功;
2、检测操作
使用超过90天的帐户口令登录;
3、补充说明
测试时可以将90天的设置缩短来做测试;
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
编号:
安全要求-设备-通用-配置-6-可选
要求内容
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作
vi/etc/default/passwd,修改设置如下
HISTORY=5
2、补充操作说明
#HISTORYsetsthenumberofpriorpasswordchangestokeepand
#checkforauserwhenchangingpasswords.SettingtheHISTORY
#valuetozero(0),orremoving/commentingouttheflagwill
#causeallusers'priorpasswordhistorytobediscardedatthe
#nextpasswordchangebyanyuser.Nopasswordhistorywill
#becheckediftheflagisnotpresentorhaszerovalue.
#ThemaximumvalueofHISTORYis26.
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
检测方法
1、判定条件
设置密码不成功
2、检测操作
cat/etc/default/passwd,设置如下
HISTORY=5
3、补充说明
默认没有HISTORY的标记,即不记录以前的密码
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
编号:
安全要求-设备-通用-配置-7-可选
要求内容
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
操作指南
1、参考配置操作
指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:
vi/etc/user_attr
vi/etc/security/policy.conf
设置LOCK_AFTER_RETRIES=YES
设置重试的次数:
vi/etc/default/login
在文件中将RETRIES行前的#去掉,并将其值修改为RETRIES=7。
保存文件退出。
2、补充操作说明
默认值为:
LOCK_AFTER_RETRIES=NO
lock_after-retries=no
RETRIES=5,即等于或大于5次时被锁定。
root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用。
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
检测方法
1、判定条件
帐户被锁定,不再提示让再次登录;
2、检测操作
创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录6次以上(不含6次);
2、补充说明
root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用。
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
1.1.3授权
编号:
安全要求-设备-通用-配置-9
要求内容
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南
1、参考配置操作
通过chmod命令对目录的权限进行实际设置。
2、补充操作说明
etc/passwd必须所有用户都可读,root用户可写–rw-r—r—
/etc/shadow只有root可读–r--------
/etc/group必须所有用户都可读,root用户可写–rw-r—r—
使用如下命令设置:
chmod644/etc/passwd
chmod600/etc/shadow
chmod644/etc/group
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod-Rgo-w/etc
检测方法
1、判定条件
1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;
2、记录能够配置的权限选项内容;
3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。
2、检测操作
1、利用管理员账号登录系统,并创建2个不同的用户;
2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;
3、为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;
4、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。
3、补充说明
编号:
安全要求-设备-SOLARIS-配置-12-可选
要求内容
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
操作指南
1、参考配置操作
设置默认权限:
vi/etc/default/login在末尾增加umask027
修改文件或目录的权限,操作举例如下:
#chmod444dir;#修改目录dir的权限为所有人都为只读。
根据实际情况设置权限;
2、补充操作说明
如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。
检测方法
1、判定条件
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
2、检测操作
查看新建的文件或目录的权限,操作举例如下:
#ls-ldir;#查看目录dir的权限
#cat/etc/default/login查看是否有umask027内容
3、补充说明
umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。
umask的计算:
umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
编号:
安全要求-设备-SOLARIS-配置-13-可选
要求内容
控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
操作指南
1、参考配置操作
a.限制某些系统帐户不准ftp登录:
通过修改ftpusers文件,增加帐户
#vi/etc/ftpusers#Solaris8
#vi/etc/ftpd/ftpusers#Solaris10
b.限制用户可使用FTP不能用Telnet,假如用户为ftpxll
创建一个/etc/shells文件,添加一行/bin/true;
修改/etc/passwd文件,ftpxll:
x:
119:
1:
:
/home/ftpxll:
/bin/true
注:
还需要把真实存在的shell目录加入/etc/shells文件,否则没有用户能够登录ftp
c.限制ftp用户登陆后在自己当前目录下活动
编辑ftpaccess,加入如下一行restricted-uid*(限制所有),
restricted-uidusername(特定用户)
ftpaccess文件与ftpusers文件在同一目录
d.设置ftp用户登录后对文件目录的存取权限,可编辑/etc/ftpd/ftpaccess。
chmodnoguest,anonymous
deletenoguest,anonymous
overwritenoguest,anonymous
renamenoguest,anonymous
umasknoanonymous
2、补充操作说明
查看#catftpusers
说明:
在这个列表里边的用户名是不允许ftp登陆的。
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
noaccess
nobody4
检测方法
1、判定条件
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
2、检测操作
查看新建的文件或目录的权限,操作举例如下:
#more/etc/ftpusers#Solaris8
#more/etc/ftpd/ftpusers#Solaris10
#more/etc/passwd
#more/etc/ftpaccess#Solaris8
#more/etc/ftpd/ftpaccess#Solaris10
3、补充说明
查看#catftpusers
说明:
在这个列表里边的用户名是不允许ftp登陆的。
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
noaccess
nobody4
1.2日志配置要求
本部分对SOLARIS操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。
如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。
编号:
安全要求-设备-通用-配置-12
要求内容
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南
1、参考配置操作
修改文件:
vi/etc/default/login,设置SYSLOG=YES。
SOLARIS10是wtmpx文件,Solaris8是wtmp,wtmps,文件中记录着所有登录过主机的用户,时间,来源等内容,这两个文件不具可读性,可用last命令来看。
2、补充操作说明
检测方法
1、判定条件
列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。
2、检测操作
查看文件:
more/etc/default/login中的SYSLOG=YES
/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户,时间,来源等内容,该文件不具可读性,可用last命令来看。
#last
3、补充说明
如果/var/adm/wtmpx或者wtmp,wtmps文件会增长很快,大小达到2G以上,可先压缩,FTP出来后,删除该文件,再创建空文件,一定要创建空文件,否则可能出现系统无法启动。
编号:
安全要求-设备-SOLARIS-配置-15-可选
要求内容
设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:
账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
需记录要包含用户账号,操作时间,操作内容以及操作结果。
操作指南
1、参考配置操作
通过设置日志文件可以对每个用户的每一条命令进行纪录,这一功能默认是不开放的,为了打开它,需要执行/usr/lib/acct目录下的accton文件,格式如下/usr/lib/acct/accton/var/adm/pacct,
执行读取命令lastcomm[username]。
2、补充操作说明
检测方法
1、判定条件
能够显示出包含配置内容中所要求的全部内容。
2、检测操作
#lastcomm[username]
3、补充说明
编号:
安全要求-设备-通用-配置-24-可选
要求内容
设备应配置日志功能,记录对与设备相关的安全事件。
操作指南
1、参考配置操作
修改配置文件vi/etc/syslog.conf,
配置如下类似语句:
*.err;kern.debug;daemon.notice;/var/adm/messages
定义为需要保存的设备相关安全事件。
2、补充操作说明
检测方法
1、判定条件
查看/var/adm/messages,记录有需要的设备相关的安全事件。
2、检测操作
修改配置文件vi/etc/syslog.conf,
配置如下类似语句:
*.err;kern.debug;daemon.notice;/var/adm/messages
定义为需要保存的设备相关安全事件。
3、补充说明
升级会员 