Solaris安全配置规范.doc

Solaris操作系统安全配置规范 2011年3月概述 适用范围 适用于中国电信使用SOLARIS操作系统的设备。本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同，配置操作有所不同，本规范以SOLARIS 8/10为例，给出参考配置操作。 安全配置要求 账号 编号： 1 要求内容 应按照不同的用户分配不同的账号。 操作指南 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。 2、补充操作说明 检测方法 1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 编号： 2 要求内容 应删除或锁定与设备运行、维护等工作无关的账号。 操作指南 1、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文件，用户名后加*LK*将/etc/passwd文件中的shell域设置成/bin/falspasswd -l username 只有具备超级用户权限的使用者方可使用passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccessCONSOLE=/dev/console # If CONSOLE is set, root can only login on that device. 限制root远程登录/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 Solaris 8上没有该路径 /usr/local/etc下有该文件 Solaris 9上有该路径/文件 重启sshd服务： Solaris10以前： #/etc/init.d/sshd stop #/etc/init.d/sshd start Solaris10： #svcadm disable ssh #svcadm enable ssh 2、补充操作说明 Solaris8上默认是没有安装ssh的，需要安装软件包。 检测方法 1、判定条件 root远程登录不成功，提示“Not on system console”； 普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 。 口令 编号：1 要求内容 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。 操作指南 1、参考配置操作 vi /etc/default/passwd ，修改设置如下 PASSLENGTH = 8 #设定最小用户密码长度为位MINALPHA=2；MINNONALPHA=1 #表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。 当用root帐户给用户设定口令的时候不受任何限制，只要不超长。 2、补充操作说明 Solaris10默认如下各行都被注释掉，并且数值设置和解释如下： MINDIFF=3 # Minimum differences required between an old and a new password. MINALPHA=2 # Minimum number of alpha character required. MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required. MINUPPER=1 # Minimum number of upper case letters required. MINLOWER=1 # Minimum number of lower case letters required. MAX