金蝶EAS Cloud 操作系统_Solaris系统安全加固实施文档.doc

Solaris系统安全加固实施文档本规范所指的设备为采用SOLARIS操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用SOLARIS操作系统的设备。本规范从运行SOLARIS操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。1.1账号管理、认证授权1.1.1账号编号：安全要求-设备-SOLARIS-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useraddusername#创建账号#passwdusername#设置密码修改权限：#chmod750directory#其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号：安全要求-设备-SOLARIS-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。操作指南1、参考配置操作删除用户：#userdelusername;锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。编号：安全要求-设备-SOLARIS-配置-3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/default/login，加上：CONSOLE=/dev/console#IfCONSOLEisset,rootcanonlyloginonthatdevice.此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。Solaris8上没有该路径/usr/local/etc下有该文件Solaris9上有该路径/文件检测方法1、判定条件root远程登录不成功，提示“Notonsystemconsole”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。编号：安全要求-设备-SOLARIS-配置-4-可选要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作创建帐户组：#groupadd–gGIDgroupname#创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod–ggroupusername#将用户username分配到group组中。查询被分配到的组的GID：#idusername可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用-g选项设定新组的GID。0到499之间的值留给root、bin、mail这样的系统账号，因此最好指定该值大于499。如果新组名或者GID已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrpsys即把当前用户以sys组身份运行；检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#idusername2、检测操作查看组文件：cat/etc/group3、补充说明文件中的格式说明：group_name::GID:user_list编号：安全要求-设备-SOLARIS-配置-5-可选要求内容对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。操作指南1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除账号：#userdelusername;2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等检测方法1、判定条件被禁止账号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示loginincorrect，如果root用户没设密码没有任何提示信息直接退出；3、补充说明1.1.2口令编号：安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作vi/etc/default/passwd，修改设置如下PASSLENGTH=6#设定最小用户密码长度为6位MINALPHA=2；MINNONALPHA=1#表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。当用root帐户给用户设定口令的时候不受任何限制，只要不超长。2、补充操作说明Solaris10默认如下各行都被注释掉，并且数值设置和解释如下：MINDIFF=3#Minimumdifferencesrequiredbetweenanoldandanewpassword.MINALPHA=2#Minimumnumberofalphacharacterrequired.MINNONALPHA=1#Minimumnumberofnon-alpha(includingnumericandspecial)required.MINUPPER=0#Minimumnumberofuppercaselettersrequired.MINLOWER=0#Minimumnumberoflowercaselettersrequired.MAXREPEATS=0#Maximumnumberofallowableconsecutiverepeatingcharacters.MINSPECIAL=0#Minimumnumberofspecial(non-alphaandnon-digit)charactersrequired.MINDIGIT=0#Minimumnumberofdigitsrequired.WHITESPACE=YESSolaris8默认没有这部分的数值设置需要手工添加NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i.配置口令的最小长度；ii.将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明对于Solaris8以前的版本，PWLEN对应PASSLENGTH等，需根据/etc/default/passwd文件说明确定。NIS系统无法生效，非NIS系统或NIS+系统能够生效。编号：安全要求-设备-通用-配置-5要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。操作指南1、参考配置操作vi/etc/default/passwd文件：MAXWEEKS=13密码的最大生存周期为13周；（Solaris8&10）PWMAX=90#密码的最大生存周期；（Solaris其它版本）2、补充操作说明对于Solaris8以前的版本，PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等，需根据/etc/default/passwd文件说明确定。NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件登录不成功；2、检测操作使用超过90天的帐户口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；NIS系统无法生效，非NIS系统或NIS+系统能够生效。编号：安全要求-设备-通用-配置-6-可选要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作vi/etc/default/passwd，修改设置如下HISTORY＝52、补充操作说明#HISTORYsetsthenumberofpriorpasswordchangestokeepand#checkforauserwhenchangingpasswords.SettingtheHISTORY#valuetozero(0),orremoving/commentingouttheflagwill#causeallusers'priorpasswordhistorytobediscardedatthe#nextpasswordchangebyanyuser.Nopasswordhistorywill#becheckediftheflagisnotpresentorhaszerovalue.#ThemaximumvalueofHISTORYis26.NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件设置密码不成功2、检测操作cat/etc/default/passwd，设置如下HISTORY＝53、补充说明默认没有HISTORY的标记，即不记录以前的密码NIS系统无法生效，非NIS系统或NIS+系统能够生效。编号：安全要求-设备-通用-配置-7-可选要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：vi/etc/user_attrvi/etc/security/policy.conf设置LOCK_AFTER_RETRIES=YES设置重试的次数：vi/etc/default/login在文件中将RETRIES行前的#去掉，并将其值修改为RETRIES＝7。保存文件退出。2、补充操作说明默认值为：LOCK_AFTER_RETRIES＝NOlock_after-retries＝noRETRIES=5，即等于或大于5次时被锁定。root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件帐户被锁定，不再提示让再次登录；2、检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）；2、补充说明root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。NIS系统无法生效，非NIS系统或NIS+系统能够生效。1.1.3授权编号：安全要求-设备-通用-配置-9要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明etc/passwd必须所有用户都可读，root用户可写–rw-r—r—/etc/shadow只有root可读–r--------/etc/group必须所有用户都可读，root用户可写–rw-r—r—使用如下命令设置：chmod644/etc/passwdchmod600/etc/shadowchmod644/etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod-Rgo-w/etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。3、补充说明编号：安全要求-设备-SOLARIS-配置-12-可选要求内容控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。操作指南1、参考配置操作设置默认权限：vi/etc/default/login在末尾增加umask027修改文件或目录的权限，操作举例如下：#chmod444dir;#修改目录dir的权限为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls-ldir;#查看目录dir的权限#cat/etc/default/login查看是否有umask027内容3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。编号：安全要求-设备-SOLARIS-配置-13-可选要求内容控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。操作指南1、参考配置操作a.限制某些系统帐户不准ftp登录:通过修改ftpusers文件，增加帐户#vi/etc/ftpusers#Solaris8#vi/etc/ftpd/ftpusers#Solaris10b.限制用户可使用FTP不能用Telnet，假如用户为ftpxll创建一个/etc/shells文件,添加一行/bin/true;修改/etc/passwd文件，ftpxll:x:119:1::/home/ftpxll:/bin/true注：还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能够登录ftpc.限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess，加入如下一行restricted-uid*(限制所有)，restricted-uidusername（特定用户）ftpaccess文件与ftpusers文件在同一目录d.设置ftp用户登录后对文件目录的存取权限，可编辑/etc/ftpd/ftpaccess。chmodnoguest,anonymousdeletenoguest,anonymousoverwritenoguest,anonymousrenamenoguest,anonymousumasknoanonymous2、补充操作说明查看#catftpusers说明:在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#more/etc/ftpusers#Solaris8#more/etc/ftpd/ftpusers#Solaris10#more/etc/passwd#more/etc/ftpaccess#Solaris8#more/etc/ftpd/ftpaccess#Solaris103、补充说明查看#catftpusers说明:在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody41.2日志配置要求本部分对SOLARIS操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。编号：安全要求-设备-通用-配置-12要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作修改文件：vi/etc/default/login，设置SYSLOG=YES。,SOLARIS10是wtmpx文件,Solaris8是wtmp,wtmps,文件中记录着所有登录过主机的用户，时间，来源等内容，这两个文件不具可读性，可用last命令来看。2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。2、检测操作查看文件：more/etc/default/login中的SYSLOG=YES/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户，时间，来源等内容，该文件不具可读性，可用last命令来看。#last3、补充说明如果/var/adm/wtmpx或者wtmp,wtmps文件会增长很快，大小达到2G以上，可先压缩，FTP出来后，删除该文件，再创建空文件，一定要创建空文件，否则可能出现系统无法启动。编号：安全要求-设备-SOLARIS-配置-15-可选要求内容设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下/usr/lib/acct/accton/var/adm/pacct，执行读取命令lastcomm[username]。2、补充操作说明检测方法1、判定条件能够显示出包含配置内容中所要求的全部内容。2、检测操作#lastcomm[username]3、补充说明编号：安全要求-设备-通用-配置-24-可选要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1、参考配置操作修改配置文件vi/etc/syslog.conf，配置如下类似语句：*.err;kern.debug;daemon.notice;/var/adm/messages定义为需要保存的设备相关安全事件。2、补充操作说明检测方法1、判定条件查看/var/adm/messages，记录有需要的设备相关的安全事件。2、检测操作修改配置文件vi/etc/syslog.conf，配置如下类似语句：*.err;kern.debug;daemon.notice;/var/adm/messages定义为需要保存的设备相关安全事件。3、补充说明编号：安全要求-设备-通用-配置-14-可选要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。操作指南1、参考配置操作修改配置文件vi/etc/syslog.conf，加上这一行：*.*@192.168.0.1可以将"*.*"替换为你实际需要的日志信息。比如：kern.*/mail.*等等。可以将此处192.168.0.1替换为实际的IP或域名。重新启动syslog服务，依次执行下列命令：/etc/init.d/syslogstop/etc/init.d/syslogstart2、补充操作说明注意：*.*和@之间为一个Tab适用于Solaris9之前版本，Solaris10测试未成功；检测方法1、判定条件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。3、补充说明编号：安全要求-设备-SOLARIS-配置-18-可选要求内容设备应配置日志功能，记录用户使用SU命令的情况，记录不良的尝试记录。操作指南1、参考配置操作修改文件：vi/etc/default/su设置SYSLOG=YES.使用以下方法使尝试登录失败记录有效：touch/var/log/loginlog;chmod600/var/log/loginlog;chgrpsys/var/log/loginlog查看sulog日志，记载着普通用户尝试su成为其它用户的纪录，more/var/adm/sulog2、补充操作说明它的格式为：发生时间+/-(成功/失败)pts号当前用户欲su成的用户检测方法1、判定条件有类似如下格式记录：SU01/0100:30+consoleroot-root或SU08/2013:44+pts/2xll-root2、检测操作查看sulog日志，记载着普通用户尝试su成为其它用户的纪录more/var/adm/sulog3、补充说明它的格式为：发生时间+/-(成功/失败)pts号当前用户欲su成的用户编号：安全要求-设备-SOLARIS-配置-19-可选要求内容系统上运行的应用/服务也应该配置相应日志选项，比如cron。操作指南1、参考配置操作对所有的cron行为进行审计：在/etc/default/cron里设置"CRONLOG=yes"来记录corn的动作。2、补充操作说明检测方法1、判定条件日志中能够列出相应的应用/服务的详细日志信息；2、检测操作查看日志存放文件，如cron的日志：more/var/cron/log3、补充说明1.3IP协议安全配置要求1.3.1IP协议安全编号：安全要求-设备-通用-配置-17-可选要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。操作指南1、参考配置操作Solaris10以前的版本需另外安装，才能使用SSH。Solaris10启用SSH的命令：svcadmenablesshSolaris10禁用Telnet的命令：svcadmdisabletelnetSolaris8如果安装openssh正常可以通过#/etc/init.d/sshdstart来启动SSH;通过#/etc/init.d/sshdstop来停止SSH2、补充操作说明查看SSH服务状态：#ps–elf|grepsshSolaris10还可以通过命令：#svcs-a|grepssh若为online，即为生效。检测方法1、判定条件#ps–elf|grepssh是否有ssh进程存在Solaris10还可以通过命令#svcs-a|grepsshSSH服务状态查看结果为：onlinetelnet服务状态查看结果为：disabled2、检测操作查看SSH服务状态：#ps–elf|grepssh查看telnet服务状态：#ps–elf|greptelnet3、补充说明查看SSH服务状态：Solaris10还可以使用#svcs-a|grepssh查看telnet服务状态：Solaris10还可以使用#svcs-a|greptelnet编号：安全要求-设备-SOLARIS-配置-21-可选要求内容设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。操作指南1、参考配置操作开放的服务列表SOLARIS8&9命令:#cat/etc/inetd.confSOLARIS10命令:inetadm开放的端口列表命令:#netstat-an服务端口和进程对应表：命令：cat/etc/services2、补充操作说明ftp-data20/tcpftp21/tcpssh22/tcptelnet23/tcpsmtp25/tcppop2109/tcppop3110/tcpimap143/tcpldap389/udptftp69/udprje77/tcpfinger79/tcplink87/tcpsupdup95/tcpiso-tsap102/tcpx400103/tcpx400-snd104/tcpntp123/tcplogin513/tcpshell514/tcpsyslog514/udp检测方法1、判定条件能够列出端口和服务对应表。2、检测操作开放的服务列表命令:#cat/etc/inetd.confinetdadm开放的端口列表命令:#netstat-an服务端口和进程对应表：命令：cat/etc/services3、补充说明编号：安全要求-设备-SOLARIS-配置-22-可选要求内容对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定。操作指南1、参考配置操作编辑/etc/hosts.allow和/etc/hosts.deny两个文件vi/etc/hosts.allow增加一行:允许访问的IP；举例如下：all:192.168.4.44:allow#允许单个IP；ssh:192.168.1.:allow#允许192.168.1的整个网段vi/etc/hosts.deny增加一行all:all重启进程：#pkill-HUPinetd2、补充操作说明solaris9forx86下，更改/etc/inetd.conf文件后，重启inetd的命令是：#pkill-HUPinetd#/etc/init.d/inetsvcstartsolaris10X86下，可以用如下命令重启inetd:svcadmenablesvc:/network/inetd检测方法1、判定条件被允许的服务和IP范围可以登录到该设备，其它的都被拒绝。2、检测操作查看/etc/hosts.allow和/etc/hosts.deny两个文件cat/etc/hosts.allowcat/etc/hosts.deny3、补充说明1.3.2路由协议安全编号：安全要求-设备-SOLARIS-配置-23-可选要求内容主机系统应该禁止ICMP重定向，采用静态路由。操作指南1、参考配置操作禁止系统发送ICMP重定向包：在/etc/rc2.d/S??inet中做如下参数调整，ndd-set/dev/ipip_send_redirects=0#defaultis1设置in.routed运行在静态路由模式：创建文件/usr/sbin/in.routed为以下内容:#!/bin/sh/usr/sbin/in.routed–q改变文件属性：chmod0755/usr/sbin/in.routed2、补充操作说明检测方法1、判定条件在/etc/rc2.d/S??inet搜索看是否有ndd-set/dev/ipip_send_redirects=0内容/etc/rc2.d/S69inet中包含的是ndd-set/dev/ipip6_send_redirects=02、检测操作查看当前的路由信息：#netstat-rn3、补充说明编号：安全要求-设备-SOLARIS-配置-24-可选要求内容对于不做路由功能的系统，应该关闭数据包转发功能。操作指南1、参考配置操作vi/etc/init.d/inetinitIPForwarding(IP转发)a.关闭IP转发ndd-set/dev/ipip_forwarding0b.严格限定多主宿主机,如果是多宿主机，还可以加上更严格的限定防止ipspoof的攻击ndd-set/dev/ipip_strict_dst_multihoming1c.转发包广播由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭这一特性ndd-set/dev/ipip_forward_directed_broadcasts0路由：a.关闭转发源路由包ndd-set/dev/ipip_forward_src_routed02、补充操作说明注意：启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。对于Solaris2.4(或者更低版本)，在/etc/init.d/inetinit文件的最后增加一行ndd-set/dev/ipip_forwarding0对于Solaris2.5(或者更高版本),在/etc目录下创建一个叫notrouter的空文件，touch/etc/notrouter检测方法1、判定条件2、检测操作查看/etc/init.d/inetinit文件cat/etc/init.d/inetinit3、补充说明注意：启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。1.4设备其他安全配置要求本部分作为对于SOLARIS操作系统设备除账号认证、日志、协议等方面外的安全配置要求的补充，对SOLARIS操作系统设备提出上述安全功能需求。包括补丁升级、文件系统管理等其他方面的安全能力，该部分作为前几部分安全配置要求的补充。1.4.1屏幕保护编号：安全要求-设备-通用-配置-19-可选要求内容对于具备字符交互界面的设备，应配置定时帐户自动登出。操作指南1、参考配置操作可以在用户的.profile文件中"HISTFILESIZE="后面增加如下行：vi/etc/profile$TMOUT=180;exportTMOUT改变这项设置后，重新登录才能有效。2、补充操作说明若修改了login文件，如下：vi/etc/default/login#TIMEOUTsetsthenumberofseconds(between0and900)towaitbefore#abandoningaloginsession.TIMEOUT=180这里的超时设置针对登录过程，而不是登录成功后的shell会话超时设置。检测方法1、判定条件若在设定时间内没有操作动作，能够自动退出，即为符合；2、检测操作用root帐户登录后，在设定时间内不进行任何操作，检查帐户是否登出。3、补充说明编号：安全要求-设备-通用-配置-20-可选要求内容对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。操作指南1、参考配置操作在CDE面板中(打印机右边)，打开stylemanager；或者使用命令#/usr/dt/bin/dtstyle可以调出stylemanager；选中ScreenScreenSaver------onScreenLock------on2、补充操作说明手动锁屏幕方法：直接点击桌面上的锁图标。检测方法1、判定条件登录后，在设定时间内不进行任何操作，检查屏幕被锁定即为符合。2、检测操作登录后，在设定时间内不进行任何操作，检查屏幕是否被锁定。3、补充说明1.4.2文件系统及访问权限编号：安全要求-设备-SOLARIS-配置-27-可选要求内容涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改。操作指南1、参考配置操作查看重要文件和目录权限：ls–l更改权限：对于重要目录，建议执行如下类似操作：#chmod-R750/etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本。2、补充操作说明检测方法1、判定条件用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作不能够成功即为符合。2、检测操作查看重要文件和目录权限：ls–l用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作3、补充说明编号：安全要求-设备-SOLARIS-配置-28-可选要求内容应该从应用层面进行必要的安全访问控制，比如FTP服务器应该限制ftp可以使用的目录范围。操作指南1、参考配置操作限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess，加入如下一行restricted-uid*(限制所有用户)，restricted-uidusername（特定用户）2、补充操作说明ftpaccess文件与ftpusers文件在同一目录,Solaris8为/etc/,Solaris10为/etc/ftpd/3、补充说明检测方法1、判定条件访问被禁止或被限制；2、检测操作root帐户从远程访问3、补充说明1.4.3物理端口及EEPROM的口令设置编号：安全要求-设备-通用-配置-27-可选要求内容对于具备console口的设备，限制root用户只能从console口本地登录操作指南1、参考配置操作连接CONSOLE物理端口,使用命令setupplatform(菜单式操作),根据提示设置passwd,即可.2、补充操作说明此项只能对SUNFire产品系列生效，对于SUNEnterprise产品系列不适用。检测方法1、判定条件登录提示需要输入用户及密码2、检测操作连接CONSOLE物理端口，需输入用户及密码才能进入。3、补充说明此项只能对SUNFire产品系列生效，对于SUNEnterprise产品系列不适用。编号：安全要求-设备-SOLARIS-配置-30-可选要求内容设置eeprom安全密码。操作指南1、参考配置操作增加eeprom硬件口令保护：#/usr/sbin/eeprom(显示当前eeprom配置)#/usr/sbin/eepromsecurity-mode=command(可选的有command,full,none)#eepromsecurity-password命令给openboot设置强壮口令2、补充操作说明警告：安全模式设置到command，至少可以正常启动系统。于是只要记得root口令或者还有其他机会获得root权限，就可以通过设置安全模式为none而挽救回来。如果设置了eeprom为security-mode=full，设置了保护口令而又忘记，会带来很多麻烦，务必小心。说明：none不需要任何口令；command除了boot和go之外的所有命令都需要口令；Full除了go命令之外的所有openboot命令都需要openboot口令。检测方法1、判定条件显示的级别配置为：security-mode=command对于一般用户，从硬盘启动，不需要输入密码；如果选择从光盘启动，则需要密码。2、检测操作#/usr/sbin/eeprom(显示当前eeprom配置)3、补充说明1.4.4补丁管理编号：安全要求-设备-SOLARIS-配置-31-可选要求内容在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装。操作指南1、参考配置操作查询/etc/release文件，看版本发布日期。执行下列命令，查看版本及大补丁号。#uname–a执行下列命令，查看各包的补丁号#pkginfo2、补充操作说明检测方法1、判定条件查询/etc/release文件，看版本发布日期。#uname–a查看版本及大补丁号#showrev–p命令检补丁号2、检测操作在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装。3、补充说明编号：安全要求-设备-SOLARIS-配置-32-可选要求内容应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。操作指南1、参考配置操作#showrev–p命令检补丁号；patchadd命令给系统打补丁；更新更安全的补丁在http://sunsolve.sun.com/2、补充操作说明检测方法1、判定条件查看最新的补丁号，确认已打上了最新补丁；2、检测操作#showrev–p命令检补丁号3、补充说明1.4.5服务编号：安全要求-设备-SOLARIS-配置-33-可选要求内容列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。操作指南1、参考配置操作查看所有开启的服务：#ps–eaf#svcs–a‘solaris10在inetd.conf中关闭不用的服务首先复制/etc/inet/inetd.conf。#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.backup然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务,即可。对于Solaris10，直接关闭某个服务，如telnet,可用如下命令:svcadmdisablesvc:/network/telnet重新启用该服务，使用命令：svcadmenablesvc:/network/telnetSolaris8修改/etc/inet/inetd.conf和/etc/inet/services文件,注释掉对应的服务以及TCP/IP端口重启inetd进程>kill–HUP2、补充操作说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。timeechodiscarddaytimechargenfsdtspcexeccomsattalkfingeruucpnamexaudionetstatufsdrexdsystatsun-druuidgenkrb5_prop注意：改变了“inetd.conf”文件之后，需要重新启动inetd。对必须提供的服务采用tcpwapper来保护检测方法1、判定条件所需的服务都列出来；没有不必要的服务；2、检测操作Solaris10查看所有开启的服务：svcs–aSolaris8查看所有开启的服务:cat/etc/inet/inetd.conf,cat/etc/inet/services3、补充说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。timeechodiscarddaytimechargenfsdtspcexeccomsattalkfingeruucpnamexaudionetstatufsdrexdsystatsun-druuidgenkrb5_prop注意：改变了“inetd.conf”文件之后，需要重新启动inetd。对必须提供的服务采用tcpwapper来保护编号：安全要求-设备-SOLARIS-配置-34-可选要求内容如果网络中存在信任的NTP服务器，应该配置系统使用NTP服务保持时间同步。操作指南1、参考配置操作ntp的配置文件：/etc/inet/ntp.conf#vi/etc/inet/ntp.confserverIP地址（提供ntp服务的机器）#touch/var/ntp/ntp.drift（建drift文件及相关目录，这个文件是用于在ntp重起的时候快速的和服务器进行同步）SOLARIS8启动ntp进程#/etc/init.d/xntpdstartSolaris10：检查ntp依赖：#svcs-lsvc:/network/ntp:default然后#svcadmenablesvc:/network/ntp#svcadmrefreshsvc:/network/ntp#svcadmrestartsvc:/network/ntp2、补充操作说明/etc/inet/ntp.conf默认是没有的，需要做server的话，就把ntp.server拷贝一份成ntp.conf。如果做client的话，就把ntp.client拷贝一份到ntp.conf检测方法1、判定条件与NTP服务器保持时间同步；2、检测操作查看ntp的配置文件：#cat/etc/inet/ntp.conf查看xntpd进程：#ps–elf|grepntp检查ntp依赖：#svcs-lsvc:/network/ntp:default(适用于Solaris10)3、补充说明编号：安全要求-设备-SOLARIS-配置-35-可选要求内容NFS服务：如果没有必要，需要停止NFS服务；如果需要NFS服务，需要限制能够访问NFS服务的IP范围。操作指南1、参考配置操作禁止nfs服务杀掉如下NFS进程:lockd,nfsd,statd,mountdNFS是由/etc/dfs/dfstab文件控制，为了禁止NFS服务的后台程序将/etc/rc2.d/S15nfs.server文件改名K15nfs.server将/etc/rc2.d/S73nfs.client文件改名K13nfs.client/etc/dfs/dfstab文件有几个选项share–Fnfs–o[rw/ro]/目录名client端有读写权限，ro是client端只有读权限[建议使用ro选项]如必须使用，则设置nfs特殊tcp,udp端口ndd-set/dev/tcptcp_extra_priv_ports_add2049ndd-set/dev/udpudp_extra_priv_ports_add2049或者限制能够访问NFS服务的IP范围：编辑文件：vi/etc/hosts.allow增加一行:nfs:允许访问的IP2、补充操作说明检测方法1、判定条件NFS状态显示为：disabled；或者只有规定的IP范围可以访问NFS服务；2、检测操作查看nfs服务：#ps–elf|grepnfsSolaris10还可以#svcs-a|grepnfs若需要NFS服务，查看能够访问NFS服务的IP范围：查看文件：cat/etc/hosts.allow3、补充说明1.4.6内核调整编号：安全要求-设备-SOLARIS-配置-36-可选要求内容防止堆栈缓冲溢出操作指南1、参考配置操作对/etc/system文件做备份。#cp/etc/system/etc/system.backup用vi编辑器编辑system文件，在system文件的最后加如下2行内容。setnoexec_user_stack=1setnoexec_user_stack_log=1保存文件，退出编辑器。然后改变文件权限：#chmod750/etc/system2、补充操作说明系统的内核参数都在此，一但改错系统无法正常启动，需要光盘引到。内核参数改动后需要重启服务器才生效。检测方法1、判定条件能够防止堆栈缓冲溢出2、检测操作查看/etc/system文件：cat/etc/system；是否有如下两行：setnoexec_user_stack=1setnoexec_user_stack_log=1查看文件权限：#chmod750/etc/system3、补充说明1.4.7启动项编号：安全要求-设备-SOLARIS-配置-37-可选要求内容列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。操作指南1、参考配置操作检查/etc/rc2.d和/etc/rc3.d目录下的所有"S"打头的脚本文件，将那些启动不必要服务的脚本文件改名，确认新文件名不以"S"打头。重启动确认这些变动生效，检查/var/adm/messages日志文件，用ps-elf检查是否还有无关进程启动。2、补充操作说明在/etc/init.d/一般需要关闭的服务有：sendmaillprpcsnmpdxkeyservnscdvolmgtuucpdmiautoinstall检测方法1、判定条件所列进程和服务都是必需的；2、检测操作检查/etc/rc2.d和/etc/rc3.d目录下的所有"S"打头的脚本文件，确认不必要启动的服务的脚本文件名不以"S"打头；检查/var/adm/messages日志文件；用ps-elf检查是否还有无关进程启动。3、补充说明在/etc/init.d/一般需要关闭的服务有：sendmaillprpcsnmpdxkeyservnscdvolmgtuucpdmiautoinstall