1、Solaris操作系統安全防護基線配置要求一、賬號編號：OS-Solaris-賬號-01要求內容：應按照不同的用戶分配不同的賬號操作指南：為用戶創建賬號：#useradd username# 創建賬號#passwd username #設置密碼修改權限：#chmod 750 directory #其中750為設置的權限，可根據實際情況設置相應的權限,directory是要更改權限的目錄。使用該命令為不同的用戶分配不同的賬號，設置不同的口令及權限信息等。檢測方法：使用不同的賬號進行登錄并進行一些常用操作。判定條件:能夠登錄成功并且可以進行常用操作。編號：OS-Solaris-賬號-02要求內容：

2、應刪除或鎖定與設備運行、維護等工作無關的賬號，刪除過期賬號操作指南：刪除用戶：#userdel username;鎖定用戶：1）修改/etc/shadow文件，用戶名后加*LK*2）將/etc/passwd文件中的shell域設置成/bin/false3）#passwd -l username只有具備超級用戶權限的使用者方可使用，#passwd-l username鎖定用戶，用#passwd d usernam e解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。 檢測方法：使用刪除或鎖定的與工作無關的賬號登錄系統。判定條件:被刪除或鎖定的賬號無法登錄成功。補充說

3、明：需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。編號：OS-Solaris-賬號-03要求內容：限制具備超級管理員權限的用戶遠程登錄。遠程執行管理員權限操作，應先以普通權限用戶遠程登錄后，再切換到超級管理員權限賬號后執行相應操作操作指南：限制root遠程telnet登錄：編輯/etc/default/login，加上：CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.限制root遠程ssh登錄：修改/etc/ssh/sshd_con

4、fig文件，將PermitRootLogin yes改為PermitRootLogin no,重啟 sshd服務。Solaris 8上沒有該路徑/usr/local/etc下有該文件Solaris 9上有該路徑/文件重啟sshd服務：Solaris! 0 以前：#/etc/init.d/sshd stop#/etc/init.d/sshd startSolaris10：#svcadm disable ssh#svcadm enable ssh檢測方法：root從遠程使用t elnet登錄；普通用戶從遠程使用t elnet登錄；root從遠程使用ssh登錄；普通用戶從遠程使用s sh登錄。判定條

5、件:root遠程登錄不成功，提示“Not on system console”普通用戶可以登錄成功，而且可以切換到。七用戶；補充說明:Solaris8上默認是沒有安裝ssh的，需要安裝軟件包。二、授權編號：OS-Solaris-授權-01要求內容：在設備權限配置能力內，根據用戶的業務需要，配置其所需的最小權限操作指南：通過c hmod命令對目錄的權限進行實際設置。檢測方法：1）利用管理員賬號登錄系統，并創建2個不同的用戶；2）創建用戶時查看系統是否提供了用戶權限級別以及可訪問系統資源和命令的選項；3）為兩個用戶分別配置不同的權限，2個用戶的權限差異應能夠分別在用戶權限級別、可訪問系統資源以及可

6、用命令等方面予以體現；4）分別利用2個新建的賬號訪問設備系統，并分別嘗試訪問允許訪問的內容和不允許訪問的 內容，查看權限配置策略是否生效。判定條件:1）設備系統能夠提供用戶權限的配置選項，并記錄對用戶進行權限配置是否必須在用戶創 建時進行；2）記錄能夠配置的權限選項內容；3）所配置的權限規則應能夠正確應用，即用戶無法訪問授權范圍之外的系統資源，而可以 訪問授權范圍之內的系統資源。補充說明:etc/passwd必須所有用戶都可讀，root戶可寫-rw-rr/etc/shadow 只有r。七可讀-r/etc/group必須所有用戶都可讀，roo戶可寫-rw-rr使用如下命令設置：chmod 644

7、 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有寫權限，就需移去組及其它用戶對/etc的寫權限（特殊情況除外）。執行命令 #chmod -R go-w /etc編號：OS-Solaris-授權-02 要求內容：控制用戶缺省訪問權限，當在創建新文件或目錄時應屏蔽掉新文件或目錄不應有的訪問允 許權限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制操作指南：設置默認權限：vi /etc/default/login在 末尾增加 umask 027修改文件或目錄的權限，操作舉例如下：#chmod 444 dir ; #修

8、改目錄dir的權限為所有人都為只讀。根據實際情況設置權限。檢測方法：查看新建的文件或目錄的權限，操作舉例如下：#ls -l dir ;#查看目錄dir的權限#cat /etc/default/login 查看是否有umask 027內容。判定條件:權限設置符合實際需要；不應有的訪問允許權限被屏蔽掉。補充說明:如果用戶需要使用一個不同于默認全局系統設置的umask，可以在需要的時候通過命令行設 置，或者在用戶的shell啟動文件中配置。umask的默認設置一般為022，這給新創建的文件默認權限755（777-022=755），這會給文件 所有者讀、寫權限，但只給組成員和其他用戶讀權限。umask

9、的計算：umask是使用八進制數據代碼設置的，對于目錄，該值等于八進制數據代碼 777減去需要的默認權限對應的八進制數據代碼值；對于文件，該值等于八進制數據代碼666 減去需要的默認權限對應的八進制數據代碼值。編號：OS-Solaris-授權-03要求內容：控制FTP進程缺省訪問權限，當通過FTP服務創建新文件或目錄時應屏蔽掉新文件或目錄不應有的訪問允許權限操作指南：1）限制某些系統帳戶不準ftp登錄：通過修改ftpusers文件，增加帳戶#vi /etc/ftpusers #Solaris 8#vi /etc/ftpd/ftpusers #Solaris 102）限制用戶可使用FTP不能用T

10、elnet，假如用戶為ftpxll創建一個/etc/shells文件，添加一行/bin/true；修改/etc/passwd文件，ftpxll:x:119:1:/home/ftpxll:/bin/true注：還需要把真實存在的shel】目錄加入/etc/shells文件，否則沒有用戶能夠登錄ftp。3）限制ftp用戶登陸后在自己當前目錄下活動編輯ftpaccess，加入如下一行r estricted-uid *（限制所有），restricted-uid username （特定用戶）ftpaccess文件與ftpusers文件在同一目錄。4）設置ftp用戶登錄后對文件目錄的存取權限，可編輯/e

11、 tc/ftpd/ftpaccess。chmodno guest,anonymousdelete no guest,anonymousoverwrite no guest,anonymousrenameno guest,anonymousumaskno anonymous檢測方法：查看新建的文件或目錄的權限，操作舉例如下：#more /etc/ftpusers #Solaris 8#more /etc/ftpd/ftpusers #Solaris 10#more /etc/passwd#more /etc/ftpaccess #Solaris 8#more /etc/ftpd/ftpacces

12、s #Solaris 10判定條件:權限設置符合實際需要；不應有的訪問允許權限被屏蔽掉。補充說明:查看# cat ftpusers說明：在這個列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4三、口令編號：OS-Solaris-口令-01要求內容：對于采用靜態口令認證技術的設備，口令長度至少8位，并包括數字、小寫字母、大寫字母 和特殊符號4類中至少3類操作指南：vi /etc/default/passwd，修改設置如下PASSLENGTH = 8 #設定最小用戶密碼長度為8位。MINALPHA

13、=2； MINNONALPHA=1 #表示至少包括兩個字母和一個非字母；具體設置可以 參看補充說明。當用roo t帳戶給用戶設定口令的時候不受任何限制，只要不超長。檢測方法：檢查口令強度配置選項是否可以進行如下配置：配置口令的最小長度；將口令配置為強口令。創建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數字的簡單口令以 及長度短于8位的口令，查看系統是否對口令強度要求進行提示；輸入帶有特殊符號的復雜 口令、普通復雜口令，查看系統是否可以成功設置。判定條件:不符合密碼強度的時候，系統對口令強度要求進行提示；符合密碼強度的時候，可以成功設置。補充說明:Solaris10默認如下各行都被

14、注釋掉，并且數值設置和解釋如下：MINDIFF=3 # Minimum differences required between an old and a new password.MINALPHA=2 # Minimum number of alpha character required.MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required.MINUPPER=1 # Minimum number of upper case letters required.MINLOWER=

15、1 # Minimum number of lower case letters required.MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters.MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required.MINDIGIT=8 # Minimum number of digits required.WHITESPACE=YESSolaris8默認沒有這部分的數值設置需要手工添加

16、。NIS系統無法生效，非NIS系統或NIS+系統能夠生效。對于Solaris 8以前的版本，PWLEN對應PASSLENGTH等，需根據/etc/default/passwd文件說 明確定。編號：OS-Solaris-口令-02要求內容：對于采用靜態口令認證技術的設備，帳戶口令的生存期一般不長于90天，最長不超過180天。操作指南：vi /etc/default/passwd文 件：MAXWEEKS=13密碼的最大生存周期為13周；（Solaris 8&10）PWMAX= 90 #密碼的最大生存周期；（Solaris其它版本）檢測方法：使用超過90天的帳戶口令登錄；測試時可以將90天的設置縮短

17、來做測試；NIS系統無法生效，非NIS系統或NIS+系統能夠生效。判定條件:登陸不成功補充說明:對于Solaris 8以前的版本，PWMIN對應MINWEEKS,PWMAX對應MAXWEEKS等，需根據 /etc/default/passwd文 件說明確定。NIS系統無法生效，非NIS系統或NIS+系統能夠生效。編號：OS-Solaris-口令-03要求內容：對于采用靜態口令認證技術的設備，應配置設備，使用戶不能重復使用最近5次（含5次）內已使用的口令操作指南：vi /etc/default/passwd，修改設置如下：HISTORY=5檢測方法：cat /etc/default/passwd

18、，設置如下：HISTORY=5判定條件:設置密碼不成功補充說明:2、補充操作說明#HISTORY sets the number of prior password changes to keep and# check for a user when changing passwords. Setting the HISTORYvalue to zero (0), or removing/commenting out the flag willcause all users prior password history to be discarded at thenext password c

19、hange by any user. No password history willbe checked if the flag is not present or has zero value.The maximum value of HISTORY is 26.NIS系統無法生效，非NIS系統或NIS+系統能夠生效。默認沒有HISTORY的標記，即不記錄以前的密碼；編號：OS-Solaris-口令-04要求內容：對于采用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過5次（不含6次），鎖定該用戶使用的賬號操作指南：指定當本地用戶登陸失敗次數等于或者大于允許的重試次數則賬號被鎖定：

20、vi /etc/user_attrvi /etc/security/policy.conf設置 LO CK_AFTER_RETRIES=YES設置重試的次數：vi /etc/default/login在文件中將RETRIES行前的#去掉，并將其值修改為RETRIES = 7。保存文件退出。檢測方法：創建一個普通賬號，為其配置相應的口令；并用新建的賬號通過錯誤的口令進行系統登錄6次以上（不含6次）。判定條件:帳戶被鎖定，不再提示讓再次登錄。補充說明:默認值為：LOCK_AFTER_RETRIES=NOlock_after-retries=noRETRIES=5，即等于或大于5次時被鎖定。roo

21、t賬號也在鎖定的限制范圍內，一旦的。七被鎖定，就需要光盤引導，因此該配置要慎用。NIS系統無法生效，非NIS系統或NIS+系統能夠生效。四、日志 編號：OS-Solaris-日志-01要求內容：設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的小地址操作指南：查看文件：more /etc/default/login 中的SYSLOG=YES/var/adm/wtmpx或者wtmp,wtmps文件中記錄著所有登錄過主機的用戶，時間，來源等內容， 該文件不具可讀性，可用l ast命令來看：# last檢測方法：查看文件：mor

22、e /etc/default/login 中的SYSLOG=YES/var/adm/wtmpx或者wtmp,wtmps文件中記錄著所有登錄過主機的用戶，時間，來源等內容，該文件不具可讀性，可用last命令來看：# last判定條件:列出用戶賬號、登錄是否成功、登錄時間、遠程登錄時的小地址。補充說明:如果/var/adm/wtmpx或者可回?網回?、文件會增長很快，大小達到2G以上，可先壓縮，FTP出 來后，刪除該文件，再創建空文件，一定要創建空文件，否則可能出現系統無法啟動。編號：OS-Solaris-日志-02要求內容：啟用記錄cron行為日志功能（可選）操作指南：對所有的cron行為進行審

23、計：在/etc/default/cron里設置”CRONLOG=yes”來記錄corn的動作。檢測方法：運行 cat /etc/default/cron 查看CRONLOG狀態，并記錄。判定條件:CRONLOG=YES編號：OS-Solaris-日志-03要求內容：設備應配置權限，控制對日志文件讀取、修改和刪除等操作操作指南：修改文件權限：chmod 644 /var/adm/messageschmod 644 /var/adm/utmpxchmod 644 /var/adm/wmtpxchmod 600 /var/adm/sulog檢測方法：查看syslog.conf文件中配置的日志存放文件

24、：more /etc/syslog.conf使用lsl/var/adm查看的目錄下日志文件的權限，messages、utmpx、wmtpx的權限應為644,如下所示：-rw-r-r-1 rootrootmessage-rw-r-r-1 rootbinutmpx-rw-r-r-1 admadmwtmpxsulog的權限應為600，如下所示：-rw1 rootrootsulog判定條件：沒有相應權限的用戶不能查看或刪除日志文件。補充說明:對于其他日志文件，也應該設置適當的權限，如登錄失敗事件的日志、操作日志，具體文件 查看syslog.conf中的配置。五、遠程維護編號：OS-Solaris-遠程

25、維護-01要求內容：對于使用IP協議進行遠程維護的設備，設備應配置使用SSH等加密協議，禁止使用telnet等明文傳輸協議進行遠程維護操作指南：Solaris 10以前的版本需另外安裝，才能使用SSH。Solaris 10啟用 SSH的命令：svcadm enable sshSolaris 10禁用 Telnet的命令：svcadm disable telnetSolaris 8 如果安裝openssh正常可以通過 #/etc/init.d/sshd start來 啟動 SSH;通過 #/etc/init.d/sshd stop來 停止 SSH查看SSH服務狀態：# ps -elflgrep

26、ssh查看 11眼1;服務狀態：# ps -elflgrep telnet判定條件:pselflgrep ssh是否有s sh進程存在Solaris 10 還可以通過命令# svcs -a Igrep sshSSH服務狀態查看結果為：onlinetelnet服務狀態查看結果為：disabled補充說明:查看SSH服務狀態：# pself|grep sshSolaris 10還可以通過命令：# svcs -a |grep ssh 若為online，即為生效。查看SSH服務狀態Solaris 10還可以使用# svcs -a |grep ssh查看te1net服務狀態，Solaris 10還可以使

27、用 # svcs -a |grep telnet六、安全補丁編號：OS-Solaris-安全補丁-01要求內容：在保證業務可用性的前提下，經過分析測試后，可以選擇更新使用最新版本的補丁；操作指南：Solaris提供了兩個命令來管理補丁，Patchadd和patchrm。這兩個命令是在Solaris 2.6版本開始提供的，在2.6以前的版本中，每個補丁包中都提供了一 個installpatc程序和一個backoutpatch程序來完成補丁的安裝和卸載。注意：由于在安裝Patch時需要更新文件，故此Solari s官方推薦在安裝補丁時進入單用戶模 式安裝。例如：cd /var/tmppatchad

28、d 110668-04檢測方法：#showrevp命令檢補丁號。判定條件:查看最新的補丁號，確認已打上了最新補丁。七、不必要的服務要求內容：關閉不必要的服務操作指南：查看所有開啟的服務：#pseaf#svcsa Solaris 10在inetd.conf中關閉不用的服務首先復制/etc/inet/inetd.conf。#cp /etc/inet/inetd.conf/etc/inet/inetd.conf.backup然后用vi編輯器編輯inetd.conf文件，對于需要注釋掉的服務在相應 行開頭標記#字符，重啟inetd服務，即可。對于Solaris 10，直接關閉某個服務，如t elnet

29、,可用如下命令：svcadm disable svc:/network/telnet重新啟用該服務，使用命令：svcadm enable svc:/network/telnetSolaris8 修改 /etc/inet/inetd.conf和 /etc/inet/services文 件，注釋掉對應的服務以及 TCP/IP 端口，重啟 inetd進程：kill -HUP 檢測方法：Solaris10查看所有開啟的服務：svcsaSolaris8 查看所有開啟的服務:cat /etc/inet/inetd.conf,cat /etc/inet/services判定條件:所需的服務都列出來；沒有不必

30、要的服務。補充說明:可根據具體應用情況參考附表3,篩選不必要的服務。并在/etc/inetd.conf文件中建議禁止不必要的基本網絡服務。注意：改變了 “inetd.conf”文件之后，需要重新啟動inetd。對必須提供的服務采用坪可2?。1來保護。在/etc/inetd.conf文件中禁止不必要的基本網絡服務。八、系統Banner設置編號：OS-Solaris-系統Banner設置-01要求內容：修改系統banner，避免泄漏操作系統名稱，版本號，主機名稱等，并且給出登陸告警信息操作指南：用。七用戶登陸SOLARIS系統，使用vi編輯器編輯/etc/motd文件，在motd文件里的刪除系統

31、明感的信息。判斷 /etc/motd文 件。九、FTP設置編號：OS-Solaris- FTP設置-01要求內容：禁止root登陸FTP操作指南：在文件/etc/ftpusers中增加超級用戶，然后讓inetd重新讀配置文件。檢測方法：查看/etc/ftpusers文件中是否存在root。編號：OS-Solaris- FTP設置-02要求內容：禁止匿名ftp操作指南：不要使用匿名ftp，只需在文件/etc/passwd中把ftp用戶注釋掉即可。檢測方法：查看/etc/passwd文件中是否存在FTP 編號：OS-Solaris- FTP設置-03要求內容：修改FTP banner信息操作指南：如果系統存在/etc/default/ftpd文件，把ftpd文件里的BANNER=字段設置為空或其它不明感 的字符。如果/etc/default/ftpd文件不存在，創建/etc/default/ftpd文件，在ftpd文件里寫入 BANNER=。檢測方法：BANNER=內容不包括FTP或版本的敏感信息。判定條件