SOLARIS操作系统安全配置规范.docx

1、SOLARIS操作系统安全配置规范2008-01-01实施2007-12-19发布Solaris操作系统安全配置规范安全配置规范Specification for Solaris OS Configuration Used in China Mobile版本号：1.0.0网络与信息安全规范编号:【网络与信息安全规范】【第四层：技术规范Solaris操作系统】【第4505号】目录1 概述 11.1 适用范围 11.2 内部适用性说明 11.3 外部引用说明 31.4 术语和定义 31.5 符号和缩略语 32 Solaris设备安全配置要求 32.1 账号管理、认证授权 32.1.1 账号 32.

2、1.2 口令 62.1.3 授权 92.2 日志配置要求 122.3 IP协议安全配置要求 152.3.1 IP协议安全 152.3.2 路由协议安全 182.4 设备其他安全配置要求 202.4.1 屏幕保护 202.4.2 文件系统及访问权限 212.4.3 物理端口及EEPROM的口令设置 222.4.4 补丁管理 232.4.5 服务 242.4.6 内核调整 272.4.7 启动项 27前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部。本标准解释单位：同提出单位。1 概述1.1 适用范围本规范适用于中国移

3、动通信网、业务系统和支撑系统中使用SOLARIS操作系统的设备。本规范明确了SOLARIS操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的SOLARIS操作系统版本。1.2 内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的Solaris操作系统安全配置要求。以下分项列出本规范对通用规范设备配置要求的修订情况：编号采纳意见补充说明安全要求-设备-通用-配置-1-可选增强要求安全要求-设备-SOLARIS-配置-1安全要求-设备-通用-配置-2-可选增强要求安全要求-设备-SOLARIS-配置-2安全要求-设备-

4、通用-配置-3-可选增强要求安全要求-设备-SOLARIS-配置-3安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-6-可选完全采纳安全要求-设备-通用-配置-7-可选完全采纳安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选部分采纳,需要应用系统的支持安全要求-设备-SOLARIS-配置-15-可选安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选不采纳需要采用第三方产品支持安全要求-设备-通

5、用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选完全采纳安全要求-设备-通用-配置-20-可选完全采纳安全要求-设备-通用-配置-27-可选完全采纳本规范新增的安全配置要求，如下：安全要求-设备-SOLARIS-配置-4-可选安全要求-设备-SOLARIS-配置-5-可选安全要求-设备-SOLARIS-配置-6安全要求-设备-SOLARIS-配置-12-可选安全要求-设备-SOLARIS-配置-13-可选安全要求-设备-SOLARIS-配置-18-可选安全要求-设备-SOLARIS-配置-19-可选安全要求-设备-Solaris-配置-21-可选安全要求-设备-Solaris

6、-配置-22-可选安全要求-设备-SOLARIS-配置-23-可选安全要求-设备-SOLARIS-配置-24-可选安全要求-设备-Solaris-配置-27-可选安全要求-设备-SOLARIS-配置- 28-可选安全要求-设备-SOLARIS-配置-30-可选安全要求-设备-SOLARIS-配置-31-可选安全要求-设备-Solaris-配置-32-可选安全要求-设备-Solaris-配置-33安全要求-设备-Solaris-配置-34-可选安全要求-设备-Solaris-配置-35-可选安全要求-设备-Solaris-配置-36-可选安全要求-设备-Solaris-配置-PZ -37本规范还

7、针对直接引用通用规范的配置要求，给出了在Solaris操作系统上的具体配置方法和检测方法。1.3 外部引用说明中国移动通用安全功能和配置规范1.4 术语和定义1.5 符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述2 Solaris设备安全配置要求本规范所指的设备为采用SOLARIS操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用SOLARIS操作系统的设备。本规范从运行SOLARIS操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。2.1 账号管理、认证授权2.1.1 账号编

8、号： 安全要求-设备-SOLARIS-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进

9、行一些常用操作；3、补充说明编号： 安全要求-设备-SOLARIS-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。操作指南1、参考配置操作删除用户：#userdel username; 锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效，登录需输入新密码，修

10、改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。编号： 安全要求-设备-SOLARIS-配置-3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、 参考配置操作编

11、辑/etc/default/login，加上：CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。Solaris 8上没有该路径/usr/local/etc下有该文件Solaris 9上有该路径/文件检测方法1、

12、判定条件root远程登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。编号： 安全要求-设备-SOLARIS-配置-4-可选要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐

13、户组。操作指南1、参考配置操作创建帐户组：#groupadd g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod g group username #将用户username分配到group组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。当group_name字段长

14、度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#id username 2、检测操作查看组文件：cat /etc/group 3、补充说明文件中的格式说明：group_name:GID:user_list 编号： 安全要求-设备-SOLARIS-配置-5-可选要求内容对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。操作指南1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除账号：#userdel username;2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等检测方法1、判定条件被禁止账号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户