Solaris安全配置基线.docx

1、Solaris安全配置基线Solaris 系统安全配置基线中国移动通信有限公司 管理信息系统部2012年4月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。2.第1章概述第2章2.1目的2.2本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SOLARIS 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SOLARIS 操作系统的安全合规性检查和配置。2.3适用范围2.4本配置标准的使用者包括：服务器系统管理员、应用管理员

2、、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的SOLARIS 服务器系统。2.5适用版本2.6SOLARIS系列服务器。2.7实施2.8本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。2.9例外条款2.10欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第3章帐户管理、认证授权第4章4.1帐户4.24.2.1管理无关帐户*安全基线项目名称操作系统Solaris无关帐户安全基线要求项安全基线编号SBL-

3、Solaris-02-01-01 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐户。系统内存在不可删除的内置帐户，包括root,bin等。检测操作步骤使用删除或锁定的与工作无关的帐户登录系统基线符合性判定依据需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。备注手工判断4.2.2限制超级用户远程登录安全基线项目名称操作系统Solaris远程登录安全基线要求项安全基线编号SBL-Solaris-02-01-02 安全基线项说明 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级

4、管理员权限帐户后执行相应操作检测操作步骤root从远程使用ssh登录；普通用户从远程使用ssh登录基线符合性判定依据root远程登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户备注4.2.3用户共享帐户避免*安全基线项目名称操作系统Solaris用户帐户共享安全基线要求项安全基线编号SBL-Solaris-02-01-03安全基线项说明 应按照用户分配帐户。避免不同用户间共享帐户。避免用户帐户和设备间通信使用的帐户共享。检测操作步骤为用户创建帐户：#useradd username #创建帐户#passwd username #设

5、置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的帐户，设置不同的口令及权限信息等。基线符合性判定依据能够登录成功并且可以进行常用操作；使用不同的帐户进行登录并进行一些常用操作备注手工判断4.3口令和认证4.44.4.1口令长度安全基线项目名称操作系统Solaris口令长度安全基线要求项安全基线编号SBL-Solaris-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检

6、测操作步骤1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创建一个普通帐户，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。基线符合性判定依据不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；备注4.4.2口令生存期略安全基线项目名称操作系统Solaris口令生存周期安全基线要求项安全基线编号SBL-Solaris-02-02-02 安全基线项说明 对于采用静态口令认证技

7、术的设备，帐户口令的生存期不长于90天。检测操作步骤1、参考配置操作vi /etc/default/passwd文件：MAXWEEKS=13密码的最大生存周期为13周；（Solaris 8&10）PWMAX= 90 #密码的最大生存周期；（Solaris 其它版本）2、补充操作说明对于Solaris 8以前的版本，PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等，需根据/etc/default/passwd文件说明确定。NIS系统无法生效，非NIS系统或NIS+系统能够生效。基线符合性判定依据过期帐户登录不成功；备注4.4.3重复口令使用安全基线项目名称操作系统Solaris重

8、复口令安全基线要求项安全基线编号SBL-Solaris-02-02-03 安全基线项说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。检测操作步骤cat /etc/default/passwd ，查看HISTORY设置。基线符合性判定依据HISTORY5备注4.4.4认证次数*安全基线项目名称操作系统Solaris认证次数安全基线要求项安全基线编号SBL-Solaris-02-02-04 安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的帐户。检测操作步骤1、当本地用户登陆失败次数等于或者

9、大于允许的重试次数则帐户被锁定:cat /etc/user_attrcat /etc/security/policy.conf查看LOCK_AFTER_RETRIES；2、查看重试的次数：cat /etc/default/login查看RETRIES。基线符合性判定依据LOCK_AFTER_RETRIES=YESRETRIES10备注注意！版本9以后可以支持此项功能。9以前的版本不支持，此项设置会影响性能，建议设置后对访问此服务器源地址做限制。4.4.5用户权利指派*安全基线项目名称操作系统Solaris用户权力指派安全基线要求项安全基线编号SBL-Solaris-02-02-05 安全基线项

10、说明 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检测操作步骤1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。基线符合性判定依据/etc/passwd 必须所有用户都可读，root用户可写 rw-rr /etc/shadow 只有root可读 r- /etc/group 必须所有用户都可读，root用户可写 rw-rr备注手工检查4.4.6访问权限控制安全基线项目名称操作系统Solaris访问权

11、限控制安全基线要求项安全基线编号SBL-Solaris-02-02-06 安全基线项说明 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤#cat /etc/default/login 查看umask内容基线符合性判定依据应设置umask 027备注4.4.7FTP访问权限*安全基线项目名称操作系统Solaris FTP访问权限控制安全基线要求项安全基线编号SBL-Solaris-02-02-07 安全基线项说明 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应

12、屏蔽掉新文件或目录不应有的访问允许权限。检测操作步骤查看新建的文件或目录的权限，操作举例如下：#more /etc/ftpusers #Solaris 8#more /etc/ftpd/ftpusers #Solaris 10#more /etc/ftpaccess #Solaris 8#more /etc/ftpd/ftpaccess #Solaris 10基线符合性判定依据权限设置符合实际需要；不应有的访问允许权限被屏蔽掉补充说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许ftp登陆的。应包括：rootdaemonbinsysadmlpuucpnuucpliste

13、nnobodynoaccessnobody4备注手工判断第5章日志配置操作第6章6.1日志配置6.26.2.1用户登录记录安全基线项目名称操作系统Solaris用户登录审计安全基线要求项安全基线编号SBL-Solaris-03-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐户，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤查看文件：more /etc/default/login 中的SYSLOG；/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户，时间，来源等内容，该文件不具可读性，可

14、用last命令来看。# last基线符合性判定依据SYSLOG=YES列出用户帐户、登录是否成功、登录时间、远程登录时的IP地址备注6.2.2日志功能配置安全基线项目名称操作系统Solaris日志功能配置安全基线要求项安全基线编号SBL-Solaris-03-01-02 安全基线项说明 设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：帐户创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户帐户，操作时间，操作内容以及操作结果。检测操作步骤# lastcomm user name基线符合性判定依据能够显示出

15、包含配置内容中所要求的全部内容。备注6.2.3设备安全事件记录*安全基线项目名称操作系统Solaris设备安全审计功能配置安全基线要求项安全基线编号SBL-Solaris-03-01-03 安全基线项说明 设备应配置日志功能，记录对与设备相关的安全事件。检测操作步骤查看配置文件vi /etc/syslog.conf，基线符合性判定依据应配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件备注手工检查6.2.4远程日志*安全基线项目名称操作系统Solaris远程日志安全基线要求项安全基线编号SBL-S

16、olaris-03-01-04 安全基线项说明 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检测操作步骤查看配置文件vi /etc/syslog.conf，基线符合性判定依据应配置类似一行： *.* 192.168.0.1可以将*.*替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。可以将此处192.168.0.1替换为实际的IP或域名。重新启动syslog服务，依次执行下列命令：/etc/init.d/syslog stop/etc/init.d/syslog start 检测操作查看日志服务器上的所收到的日志文件。备注根据应用场景的不同，如部署场景

17、需开启此功能，则强制要求此项。6.2.5记录不良尝试安全基线项目名称操作系统Solaris失败操作审计安全基线要求项安全基线编号SBL-Solaris-03-01-05 安全基线项说明 设备应配置日志功能，记录用户使用SU命令的情况，记录不良的尝试记录。检测操作步骤查看配置文件vi /etc/default/su，基线符合性判定依据SYSLOG=YES备注6.2.6应用或服务日志配置安全基线项目名称操作系统Solaris服务日志配置安全基线要求项安全基线编号SBL-Solaris-03-01-06 安全基线项说明 系统上运行的应用/服务也应该配置相应日志选项，比如cron。检测操作步骤查看配置

18、文件vi /etc/default/cron，基线符合性判定依据应包含设置CRONLOG=yes查看日志存放文件，如cron的日志：more /var/cron/log日志中能够列出相应的应用/服务的详细日志信息备注6.2.7日志文件读取控制安全基线项目名称操作系统Solaris日志读取安全基线要求项安全基线编号SBL-Solaris-03-01-07 安全基线项说明 设备应配置权限，控制对日志文件读取、修改和删除等操作。检测操作步骤修改文件权限：chmod 644 /var/adm/messageschmod 644 /var/adm/utmpxchmod 644 /var/adm/wmtp

19、xchmod 600 /var/adm/sulog查看syslog.conf文件中配置的日志存放文件：more /etc/syslog.conf使用ls l /var/adm查看的目录下日志文件的权限，messages、utmpx、wmtpx的权限应为644，如下所示：-rw-r-r- 1 root root message-rw-r-r- 1 root bin utmpx-rw-r-r- 1 adm adm wtmpxsulog的权限应为600，如下所示：-rw- 1 root root sulog基线符合性判定依据没有相应权限的用户不能查看或删除日志文件；对于其他日志文件，也应该设置适当的

20、权限，如登录失败事件的日志、操作日志，具体文件查看syslog.conf中的配置。备注第7章IP协议安全配置第8章8.1IP协议8.28.2.1IP安全机制安全基线项目名称操作系统Solaris IP安全基线要求项安全基线编号SBL-Solaris-04-01-01 安全基线项说明 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。检测操作步骤查看SSH服务状态：# ps elf|grep ssh查看telnet服务状态：# ps elf|grep telnet基线符合性判定依据SSH服务状态查看结果为：online telnet服务状态查看结果为：disabled备注8.2

21、.2主机系统禁止ICMP重定向安全基线项目名称操作系统Solaris ICMP重定向安全基线要求项安全基线编号SBL-Solaris-04-01-02 安全基线项说明 主机系统应该禁止ICMP重定向，采用静态路由。检测操作步骤查看/etc/rc2.d/S?inet内容基线符合性判定依据应包含ip_send_redirects=0备注8.2.3IP服务端口及进程管理*安全基线项目名称操作系统SolarisIP服务端口和进程安全基线要求项安全基线编号SBL-Solaris-04-01-03安全基线项说明 设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。检测操作步骤开放的服务列表SOLA

22、RIS8&9命令：# cat /etc/inetd.confSOLARIS10命令：inetadm开放的端口列表命令：# netstat -an 服务端口和进程对应表：命令：cat /etc/services2、补充操作说明ftp-data 20/tcpftp 21/tcpssh 22/tcptelnet 23/tcpsmtp 25/tcppop2 109/tcppop3 110/tcpimap 143/tcpldap 389/udptftp 69/udprje 77/tcpfinger 79/tcplink 87/tcp supdup 95/tcpiso-tsap 102/tcpx400 1

23、03/tcp x400-snd 104/tcpntp 123/tcplogin 513/tcpshell 514/tcpsyslog 514/udp基线符合性判定依据1、判定条件能够列出端口和服务对应表。2、检测操作开放的服务列表命令：# cat /etc/inetd.conf#inetdadm开放的端口列表命令：# netstat -an 服务端口和进程对应表：命令：cat /etc/services备注手工检查8.2.4维护IP地址限制*安全基线项目名称操作系统Solaris 维护IP地址限制安全基线要求项安全基线编号SBL-Solaris-04-01-04 安全基线项说明 对于通过IP协

24、议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定。检测操作步骤1、参考配置操作2、编辑etc/default/inetd文件，将其中的ENABLE_TCPWRAPPERS行前的注释去掉，并修改ENABLE_TCPWRAPPERS=NO为ENABLE_TCPWRAPPERS=YES。编辑/etc/hosts.allow和/etc/hosts.deny两个文件vi /etc/hosts.allow增加一行 : 允许访问的IP；举例如下：sshd:192.168.1.:allow #允许192.168.1的整个网段使用ssh访问in.telnetd:192.168.1. #允

25、许192.168.1网段的IP通过telnet登录。vi /etc/hosts.deny增加如下：in.telnetd:all #拒绝所有IP通过telnet访问sshd:all #拒绝所有IP通过ssh访问重启进程或服务：#pkill -HUP inetd#/etc/init.d/inetsvc stop#/etc/init.d/inetsvc start2、补充操作说明solaris9 for x86下，更改/etc/inetd.conf文件后，重启inetd的命令是：#pkill -HUP inetd#/etc/init.d/inetsvc stop#/etc/init.d/inetsv

26、c startsolaris 10 X86下，可以用如下命令重启inetd:svcadm enable svc:/network/inetd如果hosts.allow和hosts.deny中的条目有冲突，hosts.allow优先。以下是一示例，只有192.168.1.1能telnet登录设备，但是其他IP可以使用其他服务，如ftp等：cat /etc/hosts.allowin.telnetd:192.168.1.1 #设置192.168.1.1可以telnetcat /etc/hosts.denyin.telnetd:all #设置其他IP均不能telnet类似可以设置in.ftpd、ss

27、hd等。基线符合性判定依据1、判定条件被允许的服务和IP范围可以登录到该设备，其它的都被拒绝。2、检测操作查看/etc/hosts.allow和/etc/hosts.deny两个文件cat /etc/hosts.allowcat /etc/hosts.deny3、补充说明如果在hosts.allow中设置了all:192.168.4.44类似条目，在hosts.deny中设置了all:all条目，则除了条目中的IP地址外，其他地址均不能访问系统的任何服务（通过tcp控制的服务），如telnet、ftp等。tcpwrapper又称TCPD, 是网络服务的访问控制工具，也就是能过滤客户端的各种se

28、rver的一个前台程序。不过有一个不好的地方就是：不适合用于UDP服务！TCPD有两个访问控制文件：/etc/hosts.allow /etc/hosts.deny/etc/hosts.allow决定谁有资格使用哪些服务。/etc/hosts.deny则决定哪些客户端应该被阻挡在外。每当有客户端试图访问TCPD所代理的服务，它会优先评估/etc/hosts.allow所设定的条件，如果符合，则开放访问;若客户端不符合/etc/hosts.allow所描述的任何条件，则以/etc/hosts.deny来审核客户端的资格。若客户端符合/etc/hosts.deny所描述的资格，则会被拒绝访问。反之

29、，客户端依然可以访问被保护的网络服务。备注手工检查8.2.5系统路由转发控制*安全基线项目名称操作系统Solaris 系统路由转发控制安全基线要求项安全基线编号SBL-Solaris-04-01-05 安全基线项说明 对于不做路由功能的系统，应该关闭数据包转发功能。检测操作步骤1、参考配置操作2、vi /etc/init.d/inetinit：IP Forwarding (IP转发) a. 关闭IP转发 ndd -set /dev/ip ip_forwarding 0 b. 严格限定多主宿主机,如果是多宿主机，还可以加上更严格的限定防止ip spoof的攻击 ndd -set /dev/ip ip_strict_dst_multihoming 1 c. 转发包广播由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭