系统安全加固手册 - Solaris.docVIP

系统安全加固手册 – Solaris 一、安全理念1、安全的隐患更多来自于企业内部2、对于管理员的要求：不要信任任何人3、分层保护策略：假设某些安全保护层完全失效4、服务最小化5、为最坏的情况做打算二、物理安全1、记录进出机房的人员名单，考虑安装摄像机2、审查PROM是否被更换，可以通过记录hostid进行比较3、每个系统的OpenBoot口令应该不一样，口令方案不可预测4、系统安装完毕移除CD-ROM5、将版本介质放入不在本场地的介质储藏室中三、账号与口令策略1、超级用户的PATH（在/.profile中定义的）设置为：PATH = /usr/bin:/sbin:/usr/sbin任何用户的PATH或者LD_LIBRARY_PATH中都不应该包含“.”2、口令文件、影像文件、组文件/etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r—/etc/shadow 只有root可读 –r--------/etc/group 必须所有用户都可读，root用户可写 –rw-r—r--3、口令安全Solaris强制口令最少6位，但是超级用户修改口令的时候不受这个限制强迫test账号每隔30天修改一次口令#passwd –n 30 test强迫test账号在下次登录的时候修改口令#passwd –f test禁止test账号修改口令#passwd –n 2 –x 1 test封锁test账号，禁止登录#passwd –l test4、组口令用newgrp group;命令临时改变gid由于sysadmin组可执行admintool，必须要保护好，增加组口令的过程：删除不需要的成员（如果成员属于sysadmin，改变组时不需要口令）#passwd user; （通常封锁的账号）提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段封锁user账号5、修改口令策略/etc/default/passwd文件MAXWEEKS=4 口令至少每隔4星期更改一次MINWEEKS=1 口令至多每隔1星期更改一次WARNWEEKS=3 修改口令后第三个星期会收到快要修改口令的信息PASSLENGTH=6 用户口令长度不少于6个字符6、限制使用su的组（只允许sysadmin组执行su命令）#chgrp sysadmin /bin/su#chmod o-rwx /bin/su7、su的纪录/etc/default/su文件SULOG=/var/adm/sulogSYSLOG=YESCONSOLE=/dev/consolePATH=/usr/bin:SUPATH=/usr/sbin:/usr/bin8、禁止root远程登录/etc/default/login中设置CONSOLE=/dev/null在/etc/ftpusers里加上root。?在SSH 配置文件加：permitRootLogin = no（Solaris 9自带SSH，缺省就禁止root登陆,对 Solaris 9，/etc/ftpusers 不再使用，FTP配置文件都在 /etc/ftpd/ 下面。如果 ftpd 启动时存在 /etc/ftpusers，它会被移动到 /etc/ftpd/下） 四、系统加固1、为OpenBoot设置密码在Solaris中设置密码 # eeprom security-password在OpenBoot中设置密码 ok password在Solaris中设置安全级别（command） # eeprom security-mode=command在OpenBoot中设置安全级别（command） ok setenv security-mode command 在OpenBoot中设置安全级别（full） ok setenv security-mode full 2、取消不必须账号移去或者锁定那些不是必须的帐号，比如sys\uucp\nuucp\listen等等，简单的办法是在/etc/shadow的password域中放上NP字符。（简单办法是 passwd -l username） 3、文件系统/etc目录中应该没有文件是组或者其他用户可写的find /etc/ -type f –perm –g+w –print （查找组可写文件）find /etc/ -type f –perm –o+w –print （查找其他用户可写文件）chmod –R go-w /etc （改变任何错误的组/其他用户的写权限）/var/adm/utmp和/var/adm/utm