Solaris系统安全加固建议书.docx

1、Solaris系统安全加固建议书Solaris系统安全加固建议书本规范所指的设备为采用SOLARIS操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用SOLARIS操作系统的设备。本规范从运行SOLARIS操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。1.1 账号管理、认证授权1.1.1 账号编号： 安全要求-设备-SOLARIS-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useradd usern

2、ame #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号： 安全要求-设备-SOLARIS-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。操作指南1、参考配置操作删除用户：

3、#userdel username; 锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检

4、测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。编号： 安全要求-设备-SOLARIS-配置-3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、 参考配置操作编辑/etc/default/login，加上：CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.此项只能限制roo

5、t用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。Solaris 8上没有该路径/usr/local/etc下有该文件Solaris 9上有该路径/文件检测方法1、判定条件root远程登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；

6、root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。编号： 安全要求-设备-SOLARIS-配置-4-可选要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作创建帐户组：#groupadd g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod g group user

7、name #将用户username分配到group组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；检测方法1、判定条件可以查看到用户账号分

8、配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#id username 2、检测操作查看组文件：cat /etc/group 3、补充说明文件中的格式说明：group_name:GID:user_list 编号： 安全要求-设备-SOLARIS-配置-5-可选要求内容对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。操作指南1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除账号：#userdel username;2、补充操作说明禁止交互登录的系统账号

9、，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等检测方法1、判定条件被禁止账号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出；3、补充说明1.1.2 口令编号： 安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作 vi /etc/default/passwd ，修改设置如下PASSLENGTH

10、= 6 #设定最小用户密码长度为6位MINALPHA=2；MINNONALPHA=1 #表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。当用root帐户给用户设定口令的时候不受任何限制，只要不超长。2、补充操作说明Solaris10默认如下各行都被注释掉，并且数值设置和解释如下：MINDIFF=3 # Minimum differences required between an old and a new password.MINALPHA=2 # Minimum number of alpha character required.MINNONALPHA=1 # Minimum

11、 number of non-alpha (including numeric and special) required.MINUPPER=0 # Minimum number of upper case letters required.MINLOWER=0 # Minimum number of lower case letters required.MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters.MINSPECIAL=0 # Minimum number of special (no

12、n-alpha and non-digit) characters required.MINDIGIT=0 # Minimum number of digits required.WHITESPACE=YESSolaris8默认没有这部分的数值设置需要手工添加NIS系统无法生效，非NIS系统或NIS+系统能够生效。 检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数

13、字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明对于Solaris 8以前的版本，PWLEN对应PASSLENGTH等，需根据/etc/default/passwd文件说明确定。NIS系统无法生效，非NIS系统或NIS+系统能够生效。编号： 安全要求-设备-通用-配置-5要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。操作指南1、参考配置操作vi /etc/default/passwd文件：MAXWEEKS=13密码的最大生存周期为13周；（Solaris 8&10）P

14、WMAX= 90 #密码的最大生存周期；（Solaris 其它版本）2、补充操作说明对于Solaris 8以前的版本，PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等，需根据/etc/default/passwd文件说明确定。NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件登录不成功；2、检测操作使用超过90天的帐户口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；NIS系统无法生效，非NIS系统或NIS+系统能够生效。编号： 安全要求-设备-通用-配置-6-可选要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次

15、（含5次）内已使用的口令。操作指南1、参考配置操作vi /etc/default/passwd ，修改设置如下HISTORY52、补充操作说明#HISTORY sets the number of prior password changes to keep and# check for a user when changing passwords. Setting the HISTORY# value to zero (0), or removing/commenting out the flag will# cause all users prior password history to

16、 be discarded at the# next password change by any user. No password history will# be checked if the flag is not present or has zero value.# The maximum value of HISTORY is 26.NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件设置密码不成功2、检测操作cat /etc/default/passwd ，设置如下HISTORY53、补充说明默认没有HISTORY的标记，即不记录以前的密码NIS系统无法

17、生效，非NIS系统或NIS+系统能够生效。编号： 安全要求-设备-通用-配置-7-可选要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：vi /etc/user_attrvi /etc/security/policy.conf设置LOCK_AFTER_RETRIES=YES设置重试的次数：vi /etc/default/login在文件中将RETRIES行前的#去掉，并将其值修改为RETRIES7。保存文件退出。2、补充操作说明默认值为：LOC

18、K_AFTER_RETRIESNOlock_after-retriesnoRETRIES= 5，即等于或大于5次时被锁定。root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件帐户被锁定，不再提示让再次登录；2、检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）；2、 补充说明root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。NIS系统无法生效，非NIS系统或NIS+系统能够生效。1.1.3

19、授权编号： 安全要求-设备-通用-配置-9要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明etc/passwd 必须所有用户都可读，root用户可写 rw-rr /etc/shadow 只有root可读 r- /etc/group 必须所有用户都可读，root用户可写 rw-rr使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）

20、执行命令#chmod -R go-w /etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并分别

21、尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。3、补充说明编号： 安全要求-设备-SOLARIS-配置-12-可选要求内容控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。操作指南1、 参考配置操作设置默认权限：vi /etc/default/login在末尾增加umask 027修改文件或目录的权限，操作举例如下：#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的

22、umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/default/login 查看是否有umask 027内容3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要

23、的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。编号： 安全要求-设备-SOLARIS-配置-13-可选要求内容控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。操作指南1、参考配置操作a. 限制某些系统帐户不准ftp登录:通过修改ftpusers文件，增加帐户#vi /etc/ftpusers #Solaris 8#vi /etc/ftpd/ftpusers #Solaris 10b. 限制用户可使用FTP不能用Telnet，假如用户为ftpxll创建一个/etc/shel

24、ls文件, 添加一行 /bin/true;修改/etc/passwd文件，ftpxll:x:119:1:/home/ftpxll:/bin/true注：还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能够登录ftpc. 限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess，加入如下一行restricted-uid *(限制所有)，restricted-uid username（特定用户） ftpaccess文件与ftpusers文件在同一目录 d. 设置ftp用户登录后对文件目录的存取权限，可编辑/etc/ftpd/ftpaccess。chmod no g

25、uest,anonymous delete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous2、补充操作说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#more /etc/ftpus

26、ers #Solaris 8#more /etc/ftpd/ftpusers #Solaris 10#more /etc/passwd#more /etc/ftpaccess #Solaris 8#more /etc/ftpd/ftpaccess #Solaris 103、补充说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody41.2 日志配置要求本部分对SOLARIS操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件

27、后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。编号： 安全要求-设备-通用-配置-12要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作修改文件：vi /etc/default/login ，设置SYSLOG=YES。,SOLAR

28、IS10是wtmpx文件,Solaris8 是wtmp,wtmps,文件中记录着所有登录过主机的用户，时间，来源等内容，这两个文件不具可读性，可用last命令来看。2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。2、检测操作查看文件：more /etc/default/login 中的SYSLOG=YES/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户，时间，来源等内容，该文件不具可读性，可用last命令来看。# last 3、补充说明如果/var/adm/wtmpx或者wtmp,wtmps文件会增长很快，大小

29、达到2G以上，可先压缩，FTP出来后，删除该文件，再创建空文件，一定要创建空文件，否则可能出现系统无法启动。编号： 安全要求-设备-SOLARIS-配置-15-可选要求内容设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下/usr/lib

30、/acct/accton /var/adm/pacct，执行读取命令lastcomm user name。2、补充操作说明检测方法1、判定条件能够显示出包含配置内容中所要求的全部内容。2、检测操作# lastcomm user name3、补充说明编号： 安全要求-设备-通用-配置-24-可选要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。2、补充操作说明检测方法1、判定条件查看/var/adm/messages，记录有需要的设备相关的安全事件。2、检测操作修改配置文件vi /etc/syslog.conf，配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。3