本文档涵盖Solaris操作系统在账号认证、日志、协议、补丁升级、文件系统管理等方面的43项安全配置要求,对系统的安全配置审计和加固操作具有指导意义。
目录
账号管理、认证授权 ELK-Solaris-01-01-01
设备其他安全要求 补丁管理 ELK-Solaris-04-01-01
本文档是Solaris 操作系统的对于Solaris操作系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的43项安全配置要求,对系统的安全配置审计、加固操作起到指导性作用。
账号管理、认证授权 ELK-Solaris-01-01-01
| 编号 |
ELK-Solaris-01-01-01 |
| 名称 |
为不同的管理员分配不同的账号 |
| 实施目的 |
根据不同类型用途设置不同的帐户账号,提高系统安全。 |
| 问题影响 |
账号混淆,权限不明确,存在用户越权使用的可能。 |
| 系统当前状态 |
cat /etc/passwd 记录当前用户列表 |
| 实施步骤 |
1、参考配置操作 为用户创建账号: #useradd username #创建账号 #passwd username #设置密码 修改权限: #chmod 750 directory #其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。 |
| 回退方案 |
删除新增加的帐户 |
| 判断依据 |
标记用户用途,定期建立用户列表,比较是否有非法用户 |
| 实施风险 |
高 |
| 重要等级 |
★★★ |
| 备注 |
|
ELK-Solaris-01-01-02
| 编号 |
ELK-Solaris-01-01-02 |
| 名称 |
删除或锁定无效账号 |
| 实施目的 |
删除或锁定无效的账号,减少系统安全隐患。 |
| 问题影响 |
允许非法利用系统默认账号 |
| 系统当前状态 |
cat /etc/passwd 记录当前用户列表, cat /etc/shadow 记录当前密码配置 |
| 实施步骤 |
1、参考配置操作 删除用户:#userdel username; 锁定用户: 1) 修改/etc/shadow文件,用户名后加*LK* 2) 将/etc/passwd文件中的shell域设置成/bin/false 3) #passwd -l username 只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户: Listen Gdm Webservd Nobody nobody4 noaccess。 首先对不确定的用户锁定,待确认之后删除 |
| 回退方案 |
passwd –d username解锁 或者重新建立用户 |
| 判断依据 |
如上述用户不需要,则锁定。 |
| 实施风险 |
高 |
| 重要等级 |
★★★ |
| 备注 |
|
ELK-Solaris-01-01-03
| 编号 |
ELK-Solaris-01-01-03 |
| 名称 |
限制超级管理员远程登录 |
| 实施目的 |
限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。 |
| 问题影响 |
允许root远程非法登陆 |
| 系统当前状态 |
cat /etc/default/login并记录当前配置 cat /etc/ssh/sshd_config并记录当前配置 cat /usr/local/etc 并记录当前配置 |
| 实施步骤 |
1、参考配置操作 编辑/etc/default/login,加上: CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device. 此项只能限制root用户远程使用telnet登录。用ssh登录,修改此项不会看到效果的 2、补充操作说明 如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。 Solaris 8上没有该路径 /usr/local/etc下有该文件 Solaris 9上有该路径/文件 |
| 回退方案 |
还原配置文件 /etc/default/login /etc/ssh/sshd_config /usr/local/etc |
| 判断依据 |
/etc/default/login 中 CONSOLE=/dev/console 不被注释 /etc/ssh/sshd_config 中 PermitRootLogin no |
| 实施风险 |
高 |
| 重要等级 |
★★★ |
| 备注 |
|
ELK-Solaris-01-01-04
| 编号 |
ELK-Solaris-01-01-04 |
| 名称 |
对系统账号进行登录限制 |
| 实施目的 |
对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用。 |
| 问题影响 |
可能利用系统进程默认账号登陆,账号越权使用 |
| 系统当前状态 |
cat /etc/shadow查看各账号状态。 |
| 实施步骤 |
1、参考配置操作 禁止账号交互式登录: 修改/etc/shadow文件,用户名后密码列为NP; 删除账号:#userdel username; 2、补充操作说明 禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 |
| 回退方案 |
还原/etc/shadow文件配置 |
| 判断依据 |
/etc/shadow中上述账号,如果无特殊情况,密码列为NP |
| 实施风险 |
高 |
| 重要等级 |
★ |
| 备注 |
|
ELK-Solaris-01-01-05
| 编号 |
ELK-Solaris-01-01-05 |
| 名称 |
为空口令用户设置密码 |
| 实施目的 |
禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。 |
| 问题影响 |
用户被非法利用 |
| 系统当前状态 |
cat /etc/passwd awk –F: ‘($2 == “”){print $1}’ /etc/passwd |
| 实施步骤 |
用root用户登陆Soaris系统,执行passwd命令,给用户增加口令。 例如:passwd test test。 |
| 回退方案 |
Root身份设置用户口令,取消口令 如做了口令策略则失败 |
| 判断依据 |
登陆系统判断 Cat /etc/passwd |
| 实施风险 |
高 |
| 重要等级 |
★ |
| 备注 |
|
ELK-Solaris-01-02-01
| 编号 |
ELK-Solaris-01-02-01 |
| 名称 |
缺省密码长度限制 |
| 实施目的 |
防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位。 |
| 问题影响 |
增加密码被暴力破解的成功率 |
| 系统当前状态 |
运行 cat /etc/default/passwd 查看状态,并记录。 |
| 实施步骤 |
1、参考配置操作 vi /etc/default/passwd ,修改设置如下 PASSLENGTH = 6 #设定最小用户密码长度为6位 当用root帐户给用户设定口令的时候不受任何限制,只要不超长。 2、补充操作说明 NIS系统无法生效,非NIS系统或NIS+系统能够生效。 |
| 回退方案 |
vi /etc/default/passwd ,修改设置到系统加固前状态。 |
| 判断依据 |
PASSLENGTH 值为6或更高 |
| 实施风险 |
低 |
| 重要等级 |
★★★ |
| 备注 |
|
ELK-Solaris-01-02-02
| 编号 |
ELK-Solaris-01-02-02 |
| 名称 |
缺省密码复杂度限制 |
| 实施目的 |
防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类。 |
| 问题影响 |
增加密码被暴力破解的成功率 |
| 系统当前状态 |
运行 cat /etc/default/passwd 查看状态,并记录。 |
| 实施步骤 |
1、参考配置操作 vi /etc/default/passwd ,修改设置如下 MINALPHA=2;MINNONALPHA=1 #表示至少包括两个字母和一个非字母;具体设置可以参看补充说明。 当用root帐户给用户设定口令的时候不受任何限制,只要不超长。 2、补充操作说明 Solaris10默认如下各行都被注释掉,并且数值设置和解释如下: MINDIFF=3 # Minimum differences required between an old and a new password. MINALPHA=2 # Minimum number of alpha character required. MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required. MINUPPER=0 # Minimum number of upper case letters required. MINLOWER=0 # Minimum number of lower case letters required. MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters. MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required. MINDIGIT=0 # Minimum number of digits required. WHITESPACE=YES Solaris8默认没有这部分的数值设置需要手工添加 NIS系统无法生效,非NIS系统或NIS+系统能够生效。 |
| 回退方案 |
vi /etc/default/passwd ,修改设置到系统加固前状态。 |
| 判断依据 |
MINALPHA=2 或更高 MINNONALPHA=1 或更高 solaris9 需要添加 solaris10 默认为注释 |
| 实施风险 |
低 |
| 重要等级 |
★★★ |
| 备注 |
|
ELK-Solaris-01-02-03
| 编号 |
ELK-Solaris-01-02-03 |
| 名称 |
缺省密码生存周期限制 |
| 实施目的 |
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患。 |
| 问题影响 |
密码被非法利用,并且难以管理 |
| 系统当前状态 |
运行 cat /etc/default/passwd 查看状态,并记录。 |
| 实施步骤 |
1、参考配置操作 vi /etc/default/passwd文件: MAXWEEKS=13密码的最大生存周期为13周;(Solaris 8&10) PWMAX= 90 #密码的最大生存周期;(Solaris 其它版本) 2、补充操作说明 对于Solaris 8以前的版本,PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等,需根据/etc/default/passwd文件说明确定。 NIS系统无法生效,非NIS系统或NIS+系统能够生效。 |
| 回退方案 |
vi /etc/default/passwd ,修改设置到系统加固前状态。 |
| 判断依据 |
MAXWEEKS=13 |
| 实施风险 |
低 |
| 重要等级 |
★★★ |
| 备注 |
|
ELK-Solaris-01-02-04
| 编号 |
ELK-Solaris-01-02-04 |
| 名称 |
密码重复使用限制 |
| 实施目的 |
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。 |
| 问题影响 |
密码破解的几率增加 |
| 系统当前状态 |
运行 cat /etc/default/passwd 查看状态,并记录。 |
| 实施步骤 |
1、参考配置操作 vi /etc/default/passwd ,修改设置如下 HISTORY=5 2、补充操作说明 #HISTORY sets the number of prior password changes to keep and # check for a user when changing passwords. Setting the HISTORY # value to zero (0), or removing/commenting out the flag will |
最低0.47元/天 解锁文章
扫一扫
848
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
