Solaris10系统安全加固标准.doc

Solaris系统安全文档（for solaris 10） 禁用不需要的用户 备份：备份/etc/passwd cp /etc/passwd /etc/passwd.080903 cp /etc/shadow /etc/shadow.080903 修改： 编辑/etc/，将需要禁止帐户的**用NP代替Example:?noaccess:NP:60002:60002:No?Access?User:/:/sbin/noshell编辑/etc/，将需要帐户的用代替Example:?noaccess::60002:60002:No?Access?User:/:/sbin/noshell 或使用备份还原 cp /etc/passwd.080903 /etc/passwd cp /etc/shadow.080903 /etc/shadow 恢复： 用原始备份还原 cp /etc/group.bak.2008 /etc/group 设置用户密码安全策略（根据具体要求修改） 修改全局密码策略 备份：备份/etc/default/passwd cp /etc/default/passwd /etc/default/passwd.080903 #MINDIFF=3 #最小的差异数，新密码和旧密码的差异数。 #MINALPHA=2 #最少字母要多少 #MINNONALPHA=1 #最少的非字母，包括了数字和特殊字符。 #MINUPPER=0 #最少大写 #MINLOWER=0 #最少小写 #MAXREPEATS=0 #最大的重复数目 #MINSPECIAL=0 #最小的特殊字符 #MINDIGIT=0 #最少的数字 #WHITESPACE=YES #能使用空格吗？ 修改：（以下只针对除root用户外的其他用户） 编辑/etc/default/passwd,设置：=? 最短改变时间MAX=8? 密码最长有效时间WARN=5 密码失效前几天通知用户LENGTH=8? 最短密码长度loginID:password:lastchg:min:max:warn:inactive:expire: 例如：默认root 用户的格式为： root:lySCmJ.1txm4M:6445:::::: loginID 指 登陆用户名 password 密码选项，例如13位加密字符，或者*LK*锁定用户，或NP，无法登陆用户 lastchg 指 最后密码修改日期，从1970年1月1号开始计算 min 指 两次密码修改间隔的最少天数 max 指 密码最大有效天数 warn 指 密码过期前开始发出提醒的天数 inactive 指 如果用户未登陆超过多少天 将把用户锁定 expire 用户过期时间，即到达此日期后用户过期，将无法登陆 以上选项如为设置，留空，即代表无密码策略 如需使用/etc/shadow 设置密码策略，则/etc/default/passwd 文件中 MINWEEKS MAXWKEEKS WARNWEEKS PASSLENGTH 等选项不应设置参数。留空。 防止root远程登陆 修改： 编辑/etc/default/login，加上：CONSOLE=/dev/console?#?If?CONSOLE?is?set,?root?can?only?login?on?that?device.编辑/etc/default/login CONSOLE=/dev/console?#?If?CONSOLE?is?set,?root?can?only?login?on?that?device. 设置session超时时间编辑/etc/default/login，加上：#?TIMEOUT?sets?the?number?of?seconds?(between?0?and?900)?to?wait?before#?abandoning?a?login?session.TIMEOUT=0 恢复： 编辑/etc/default/login，：#?TIMEOUT?sets?the?number?of?seconds?(between?0?and?900)?to?wait?before#?abandoning?a?login?session.TIMEOUT=0  设置缺省umask编辑/etc/default/login，#?UMASK?sets?the?initial?shell?file?creation?mode?mask.?See?umask(1).UMASK=027 恢复： 编辑/etc/default/login，#?UMAS