没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
Solaris 系统安全加固建议书
本规范所指的设备为采用 SOLARIS 操作系统的设备。本规范提出的安全配
置要求,在未特别说明的情况下,均适用于采用 SOLARIS 操作系统的设备。
本规范从运行 SOLARIS 操作系统设备的认证授权功能、安全日志功能、IP
网络安全功能,其他自身安全配置功能四个方面提出安全配置要求。
1.1 账号管理、认证授权
1.1.1 账号
编号: 安全要求-设备-SOLARIS-配置-1
要求内容 应按照不同的用户分配不同的账号,避免不同用户间共享账号,
避免用户账号和设备间通信使用的账号共享。
操作指南 1、参考配置操作
为用户创建账号:
#useradd username #创建账号
#passwd username #设置密码
修改权限:
#chmod 750 directory #其中 755 为设置的权限,可根据实际情况设
置相应的权限,directory 是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权
限信息等。
2、补充操作说明
检测方法 1、判定条件
能够登录成功并且可以进行常用操作;
2、检测操作
使用不同的账号进行登录并进行一些常用操作;
3、补充说明
编号: 安全要求-设备-SOLARIS-配置-2
要求内容 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在
不
可删除的内置账号,包括 root,bin 等。
操作指南 1、参考配置操作
删除用户:#userdel username;
锁定用户:
1)修改/etc/shadow 文件,用户名后加*LK*
2)将/etc/passwd 文件中的 shell 域设置成/bin/false
3)#passwd -l username
只有具备超级用户权限的使用者方可使用,#passwd -l username 锁
定用户,用#passwd –d username 解锁后原有密码失效,登录需输入
新密码,修改/etc/shadow 能保留原有密码。
2、补充操作说明
需 要 锁 定 的 用 户 :
listen,gdm,webservd,nobody,nobody4、noaccess。
检测方法 1、判定条件
被删除或锁定的账号无法登录成功;
2、检测操作
使用删除或锁定的与工作无关的账号登录系统;
3、补充说明
需 要 锁 定 的 用 户 :
listen,gdm,webservd,nobody,nobody4、noaccess。
编号: 安全要求-设备-SOLARIS-配置-3
要求内容 限制具备超级管理员权限的用户远程登录。远程执行管理员权限
操作,应先以普通权限用户远程登录后,再切换到超级管理员权
限账号后执行相应操作。
操作指南 1、 参考配置操作
编辑/etc/default/login,加上:
CONSOLE=/dev/console # If CONSOLE is set, root can only login on
that device.
此项只能限制 root 用户远程使用 telnet 登录。用 ssh 登录,修改此
项不会看到效果的
2、补充操作说明
如果限制 root 从远程 ssh 登录,修改/etc/ssh/sshd_config 文件,将
PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 服务。
Solaris 8上没有该路径
/usr/local/etc下有该文件
Solaris 9上有该路径/文件
检测方法 1、判定条件
root 远程登录不成功,提示“Not on system console”;
普通用户可以登录成功,而且可以切换到 root 用户;
2、检测操作
root 从远程使用 telnet 登录;
普通用户从远程使用 telnet 登录;
root 从远程使用 ssh 登录;
普通用户从远程使用 ssh 登录;
3、补充说明
限 制 root 从 远 程 ssh 登 录 , 修 改 /etc/ssh/sshd_config 文 件 , 将
PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 服务。
编号: 安全要求-设备-SOLARIS-配置-4-可选
要求内容 根据系统要求及用户的业务需求,建立多帐户组,将用户账号分
配到相应的帐户组。
操作指南 1、参考配置操作
创建帐户组:
#groupadd –g GID groupname #创建一个组,并为其设置 GID 号,
若不设 GID,系统会自动为该组分配一个 GID 号;
#usermod –g group username # 将 用 户 username 分配到 group 组
中。
查询被分配到的组的 GID:#id username
可以根据实际需求使用如上命令进行设置。
2、补充操作说明
可 以使 用 -g 选 项 设 定 新 组 的 GID 。 0 到 499 之 间 的 值 留 给
root、bin、mail 这样的系统账号,因此最好指定该值大于 499。如
果新组名或者 GID 已经存在,则返回错误信息。
当 group_name 字段长度大于八个字符,groupadd 命令会执行失
败;
当用户希望以其他用户组成员身份出现时,需要使用 newgrp 命令
进行更改,如#newgrp sys 即把当前用户以 sys 组身份运行;
检测方法 1、判定条件
可以查看到用户账号分配到相应的帐户组中;
或都通过命令检查账号是否属于应有的组:
#id username
2、检测操作
查看组文件:cat /etc/group
3、补充说明
文件中的格式说明:
group_name::GID:user_list
编号: 安全要求-设备-SOLARIS-配置-5-可选
要求内容 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使
用,不应直接由该账号登录系统。如果系统没有应用这些守护进
程或服务,应删除这些账号。
操作指南 1、参考配置操作
禁止账号交互式登录:
修改/etc/shadow 文件,用户名后密码列为 NP;
删除账号:#userdel username;
2、补充操作说明
禁 止 交 互 登 录 的 系 统 账 号 , 比 如
daemon,bin,sys、adm、lp、uucp、nuucp、smmsp 等等
检测方法 1、判定条件
被禁止账号交互式登录的帐户远程登录不成功;
2、检测操作
用 root 登录后,新建一账号,密码不设,从远程用此帐户登录,
登录会显示 login incorrect,如果 root 用户没设密码没有任何提示
信息直接退出;
3、补充说明
1.1.2 口令
编号: 安全要求-设备-通用-配置-4
要求内容 对于采用静态口令认证技术的设备,口令长度至少 6 位,并包括
数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。
操作指南 1、参考配置操作
vi /etc/default/passwd ,修改设置如下
PASSLENGTH = 6 #设定最小用户密码长度为 6 位
MINALPHA=2;MINNONALPHA=1 #表示至少包括两个字母和一
个非字母;具体设置可以参看补充说明。
当用 root 帐户给用户设定口令的时候不受任何限制,只要不超
长。
2、补充操作说明
Solaris10 默认如下各行都被注释掉,并且数值设置和解释如下:
MINDIFF=3 # Minimum dierences required between an old
and a new password.
MINALPHA=2 # Minimum number of alpha character
required.
MINNONALPHA=1 # Minimum number of non-alpha
(including numeric and special) required.
MINUPPER=0 # Minimum number of upper case letters
required.
MINLOWER=0 # Minimum number of lower case letters
required.
MAXREPEATS=0 # Maximum number of allowable
consecutive repeating characters.
MINSPECIAL=0 # Minimum number of special (non-alpha
and non-digit) characters required.
MINDIGIT=0 # Minimum number of digits required.
WHITESPACE=YES
Solaris8 默认没有这部分的数值设置需要手工添加
NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。
检测方法 1、判定条件
不符合密码强度的时候,系统对口令强度要求进行提示;
符合密码强度的时候,可以成功设置;
2、检测操作
1
、检查口令强度配置选项是否可以进行如下配置:
i.
配置口令的最小长度;
ii.
将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含
字符或数字的简单口令以及长度短于 6 位的口令,查看系统是否
对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通
复杂口令,查看系统是否可以成功设置。
3、补充说明
对于 Solaris 8 以前的版本,PWLEN 对应 PASSLENGTH 等,需根
据/etc/default/passwd 文件说明确定。
NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。
编号: 安全要求-设备-通用-配置-5
要求内容 对于采用静态口令认证技术的设备,帐户口令的生存期不长于 90
天。
操作指南 1、参考配置操作
vi /etc/default/passwd 文件:
MAXWEEKS=13 密码的最大生存周期为 13 周;( Solaris 8&10)
PWMAX= 90 #密码的最大生存周期;( Solaris 其它版本)
2、补充操作说明
对于 Solaris 8 以前的版本,PWMIN 对应 MINWEEKS,PWMAX 对
应 MAXWEEKS 等,需根据/etc/default/passwd 文件说明确定。
NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。
检测方法 1、判定条件
登录不成功;
2、检测操作
使用超过 90 天的帐户口令登录;
3、补充说明
测试时可以将 90 天的设置缩短来做测试;
剩余25页未读,继续阅读
资源评论
智慧安全方案
- 粉丝: 3774
- 资源: 59万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 点云实例分割-Softgroup-训练自己数据集程序
- 基于SpringBoot+Vue.JS前后端分离的图书进销存管理系统 源码+数据库+论文(毕业设计)
- 人工智能-项目实践-朴素贝叶斯分类器-朴素贝叶斯文本分类器源码+实验报告(大作业&课设)
- unity 射击游戏的特效资源包,从网站下载
- 基于SpringBoot+Vue.JS前后端分离的大创管理系统 源码+数据库+论文(毕业设计)
- 基于MicroPython的ESP32控制SSD1306 OLED屏幕显示软硬件方案Wokwi仿真实现
- 机器学习大作业,人脸识别-卷积神经网络实现性别检测+源代码+文档说明(满分)
- 机器学习作业,机器学习和深度学习方法实现的入侵检测+源代码+文档说明+数据集
- web服务器性能测试用例模板
- web服务器性能测试计划模板
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功