没有合适的资源？快使用搜索试试~ 我知道了~

文库首页安全技术网络安全Solaris系统安全加固建议书.doc

Solaris系统安全加固建议书.doc

1.该资源内容由用户上传，如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款（资源遇到问题，请及时私信上传者）

版权申诉

0 下载量 94 浏览量 2022-06-25 10:43:21 上传评论收藏 266KB DOC 举报

温馨提示

试读

26页

Solaris系统安全加固建议书.doc

资源推荐

资源详情

资源评论

Solaris 系统安全加固建议书

本规范所指的设备为采用 SOLARIS 操作系统的设备。本规范提出的安全配

置要求，在未特别说明的情况下，均适用于采用 SOLARIS 操作系统的设备。

本规范从运行 SOLARIS 操作系统设备的认证授权功能、安全日志功能、IP

网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。

1.1 账号管理、认证授权

1.1.1 账号

编号：安全要求-设备-SOLARIS-配置-1

要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，

避免用户账号和设备间通信使用的账号共享。

操作指南 1、参考配置操作

为用户创建账号：

#useradd username #创建账号

#passwd username #设置密码

修改权限：

#chmod 750 directory #其中 755 为设置的权限，可根据实际情况设

置相应的权限，directory 是要更改权限的目录)

使用该命令为不同的用户分配不同的账号，设置不同的口令及权

限信息等。

2、补充操作说明

检测方法 1、判定条件

能够登录成功并且可以进行常用操作；

2、检测操作

使用不同的账号进行登录并进行一些常用操作；

3、补充说明

编号：安全要求-设备-SOLARIS-配置-2

要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在

不

可删除的内置账号，包括 root,bin 等。

操作指南 1、参考配置操作

删除用户：#userdel username;

锁定用户：

1)修改/etc/shadow 文件，用户名后加*LK*

2)将/etc/passwd 文件中的 shell 域设置成/bin/false

3)#passwd -l username

只有具备超级用户权限的使用者方可使用，#passwd -l username 锁

定用户,用#passwd –d username 解锁后原有密码失效，登录需输入

新密码，修改/etc/shadow 能保留原有密码。

2、补充操作说明

需要锁定的用户：

listen,gdm,webservd,nobody,nobody4、noaccess。

检测方法 1、判定条件

被删除或锁定的账号无法登录成功；

2、检测操作

使用删除或锁定的与工作无关的账号登录系统；

3、补充说明

需要锁定的用户：

listen,gdm,webservd,nobody,nobody4、noaccess。

编号：安全要求-设备-SOLARIS-配置-3

要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限

操作，应先以普通权限用户远程登录后，再切换到超级管理员权

限账号后执行相应操作。

操作指南 1、参考配置操作

编辑/etc/default/login，加上：

CONSOLE=/dev/console # If CONSOLE is set, root can only login on

that device.

此项只能限制 root 用户远程使用 telnet 登录。用 ssh 登录，修改此

项不会看到效果的

2、补充操作说明

如果限制 root 从远程 ssh 登录，修改/etc/ssh/sshd_config 文件，将

PermitRootLogin yes 改为 PermitRootLogin no，重启 sshd 服务。

Solaris 8上没有该路径

/usr/local/etc下有该文件

Solaris 9上有该路径/文件

检测方法 1、判定条件

root 远程登录不成功，提示“Not on system console”；

普通用户可以登录成功，而且可以切换到 root 用户；

2、检测操作

root 从远程使用 telnet 登录；

普通用户从远程使用 telnet 登录；

root 从远程使用 ssh 登录；

普通用户从远程使用 ssh 登录；

3、补充说明

限制 root 从远程 ssh 登录，修改 /etc/ssh/sshd_config 文件，将

PermitRootLogin yes 改为 PermitRootLogin no，重启 sshd 服务。

编号：安全要求-设备-SOLARIS-配置-4-可选

要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分

配到相应的帐户组。

操作指南 1、参考配置操作

创建帐户组：

#groupadd –g GID groupname #创建一个组，并为其设置 GID 号，

若不设 GID，系统会自动为该组分配一个 GID 号；

#usermod –g group username # 将用户 username 分配到 group 组

中。

查询被分配到的组的 GID：#id username

可以根据实际需求使用如上命令进行设置。

2、补充操作说明

可以使用 -g 选项设定新组的 GID 。 0 到 499 之间的值留给

root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如

果新组名或者 GID 已经存在，则返回错误信息。

当 group_name 字段长度大于八个字符，groupadd 命令会执行失

败；

当用户希望以其他用户组成员身份出现时，需要使用 newgrp 命令

进行更改，如#newgrp sys 即把当前用户以 sys 组身份运行；

检测方法 1、判定条件

可以查看到用户账号分配到相应的帐户组中；

或都通过命令检查账号是否属于应有的组：

#id username

2、检测操作

查看组文件：cat /etc/group

3、补充说明

文件中的格式说明：

group_name::GID:user_list

编号：安全要求-设备-SOLARIS-配置-5-可选

要求内容对系统账号进行登录限制，确保系统账号仅被守护进程和服务使

用，不应直接由该账号登录系统。如果系统没有应用这些守护进

程或服务，应删除这些账号。

操作指南 1、参考配置操作

禁止账号交互式登录：

修改/etc/shadow 文件，用户名后密码列为 NP；

删除账号：#userdel username;

2、补充操作说明

禁止交互登录的系统账号，比如

daemon,bin,sys、adm、lp、uucp、nuucp、smmsp 等等

检测方法 1、判定条件

被禁止账号交互式登录的帐户远程登录不成功；

2、检测操作

用 root 登录后，新建一账号，密码不设，从远程用此帐户登录，

登录会显示 login incorrect，如果 root 用户没设密码没有任何提示

信息直接退出；

3、补充说明

1.1.2 口令

编号：安全要求-设备-通用-配置-4

要求内容对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括

数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。

操作指南 1、参考配置操作

vi /etc/default/passwd ，修改设置如下

PASSLENGTH = 6 #设定最小用户密码长度为 6 位

MINALPHA=2；MINNONALPHA=1 #表示至少包括两个字母和一

个非字母；具体设置可以参看补充说明。

当用 root 帐户给用户设定口令的时候不受任何限制，只要不超

长。

2、补充操作说明

Solaris10 默认如下各行都被注释掉，并且数值设置和解释如下：

MINDIFF=3 # Minimum dierences required between an old

and a new password.

MINALPHA=2 # Minimum number of alpha character

required.

MINNONALPHA=1 # Minimum number of non-alpha

(including numeric and special) required.

MINUPPER=0 # Minimum number of upper case letters

required.

MINLOWER=0 # Minimum number of lower case letters

required.

MAXREPEATS=0 # Maximum number of allowable

consecutive repeating characters.

MINSPECIAL=0 # Minimum number of special (non-alpha

and non-digit) characters required.

MINDIGIT=0 # Minimum number of digits required.

WHITESPACE=YES

Solaris8 默认没有这部分的数值设置需要手工添加

NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。

检测方法 1、判定条件

不符合密码强度的时候，系统对口令强度要求进行提示；

符合密码强度的时候，可以成功设置；

2、检测操作

、检查口令强度配置选项是否可以进行如下配置：

配置口令的最小长度；

ii.

将口令配置为强口令。

2、创建一个普通账号，为用户配置与用户名相同的口令、只包含

字符或数字的简单口令以及长度短于 6 位的口令，查看系统是否

对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通

复杂口令，查看系统是否可以成功设置。

3、补充说明

对于 Solaris 8 以前的版本，PWLEN 对应 PASSLENGTH 等，需根

据/etc/default/passwd 文件说明确定。

NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。

编号：安全要求-设备-通用-配置-5

要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于 90

天。

操作指南 1、参考配置操作

vi /etc/default/passwd 文件：

MAXWEEKS=13 密码的最大生存周期为 13 周；（ Solaris 8&10）

PWMAX= 90 #密码的最大生存周期；（ Solaris 其它版本）

2、补充操作说明

对于 Solaris 8 以前的版本，PWMIN 对应 MINWEEKS,PWMAX 对

应 MAXWEEKS 等，需根据/etc/default/passwd 文件说明确定。

NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。

检测方法 1、判定条件

登录不成功；

2、检测操作

使用超过 90 天的帐户口令登录；

3、补充说明

测试时可以将 90 天的设置缩短来做测试；

剩余25页未读，继续阅读

评论收藏

内容反馈

1.该资源内容由用户上传，如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款（资源遇到问题，请及时私信上传者）

版权申诉

资源评论

资源反馈

评论星级较低，若资源使用遇到问题可联系上传者，3个工作日内问题未解决可申请退款~

智慧安全方案

粉丝: 3774
资源: 59万+

上传资源快速赚钱

我的内容管理展开

我的资源快来上传第一个资源

我的收益

登录查看自己的收益

我的积分登录查看自己的积分

我的C币登录后查看C币余额

我的收藏

我的下载

下载帮助

前往需求广场，查看用户热搜

Solaris系统安全加固建议书.doc

Solaris系统基本加固方案.doc

Solaris主机操作系统安全加固规范.doc

SOLARIS操作系统安全配置规范.doc

【精品】Solaris系统安全加固实施文档.doc

操作系统、网络设备等安全加固规范合集.zip

Solaris系统安全加固实施文档

AIX5.3Solaris10新特性培训教材.doc

Solaris系统管理员培训.doc

Solaris系统管理员手册.doc

jdk-8u231-solaris-sparcv9.tar.gz

Solaris5.x系统日常巡检.doc

Oracle 10g RAC (with Oracle Clusterware) 在Solaris9 下双机安装文档.doc

SOLARIS操作系统安全配置规范.docx

各地区-互联网主要发展指标情况（2001-2022年）.xlsx

KepOPC DA2UA实现从OPCDA到OPCUA的转换及读写互操作

kkFileView-4.4.0-SNAPSHOT.tar.gz

互联网医院源码，包含在线问诊，在线开处方

2024年Java基础面试题，附带详细解析答案

腾讯QQ秀立项调研PPT

5G介绍PPT.pptx

《天涯神帖全集》下载链接（百度网盘）

海盗派测试分析.pdf

2024年最新最全面的Java后端面试资料

CHATGPT训练指令模板.docx

基于SpringBoot的个人博客系统设计与实现-论文.pdf

基于STM32智能循迹避障小车(设计报告).pdf

OMML2MML.XSL

CTF100题目-安全考题竞赛

互联网＋竞赛模版，竞赛资源，学习

最新资源