os_安全加固手册_solaris_v1.0.doc

应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 结果：现网已实现 应删除或锁定与设备运行、维护等工作无关的账号。 结果：现网已实现 限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。 结果：可以实现 编号： 安全要求-设备-SOLARIS-配置-3 要求内容 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。 操作指南 参考配置操作 编辑/etc/default/login，加上： CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device. 此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的 2、补充操作说明 如果限制root从远程登录/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 Solaris 8上没有该路径 /usr/local/etc下有该文件 Solaris 9上有该路径/文件 检测方法 1、判定条件 root远程登录不成功，提示“Not on system console”； 普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 限制root从远程登录/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 结果：现网已实现，可以按照下面配置修改策略 编号： 安全要求-设备-通用-配置-4 要求内容 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 操作指南 1、参考配置操作 vi /etc/default/passwd ，修改设置如下 PASSLENGTH = 6 #设定最小用户密码长度为位MINALPHA=2；MINNONALPHA=1 #表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。 当用root帐户给用户设定口令的时候不受任何限制，只要不超长。 2、补充操作说明 Solaris10默认如下各行都被注释掉，并且数值设置和解释如下： MINDIFF=3 # Minimum differences required between an old and a new password. MINALPHA=2 # Minimum number of alpha character required. MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required. MINUPPER=0 # Minimum number of upper case letters required. MINLOWER=0 # Minimum number of lower case letters required. MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters. MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required. MINDIGIT=0 # Minimum number of digits required. WHITESPACE=YES Solaris8默认没有这部分的数值设置需要手工添加 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 检测方法 1、判定条件 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： 配置口令的最小长度； 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令