Solaris系统检查步骤v1.3.docVIP

对Solaris的测试有两种测试方法： 第一种方法是上传脚本，通过上传脚本可以将《Unix安全配置检查表-solaris》检查项目的第1、2、3、4、6、7、8、9、10、11、13、14可以通过脚本方式实现，而5、12需要通过手工方式进行检查。 第二种方法是命令执行。如果我们无法运行脚本，就需要通过执行命令+拷屏（除日志外，其他所有的命令都需要全部拷屏）。我们对于每条命令都进行了说明和描述。 第一种、脚本文件上传 将脚本文件通过FTP以文本方式(asc)上传到AIX服务器的/tmp目录下。 # ftp Solaris_server_ip //以ftp方式登录到Solaris服务器上 # 根据系统提示输入用户名和密码 # asc //以ascii方式上传文件 # cd /tmp //进入tmp目录 # put script_file_name //将文件上传到tmp目录中 # ls //检查文件是否已经成功上传 script_file_name 以普通用户登录系统，然后以su切换到管理员用户。 将脚本文件的权限更改为可执行。 # cd /tmp # chmod 777 script_file_name 执行脚本。 # ./script_file_name 将执行结果ftp传回到我们的笔记本电脑上 将HOST.TIME.log(注意HOST为被测试主机的主机名，TIME为被测试主机的测试时间) ftp传回到我们的笔记本电脑上以便于分析。我们可以举一个例子，如果被测试主机的名字叫solarisfinance，我们测试的时间是2006.04.16.10:20。那么会显示我们通过脚本抓下来文件solarisfinance.142006041020.log。 二、手工检查项目 1．应定期检查和更新系统安全修补程序的检查命令 #showrev 查看服务器基本信息 #showrev –p 对于Solaris系统来说，并不是补丁版本越高越好，有时候客户需要根据自己应用的情况升级补丁，有些补丁还可能与用户的应用冲突，所以即使用户补丁并非是最新版本，也不是很大的问题，我们只需要给客户指出目前补丁状况，由客户自行决定是否需要升级。 如果该文件很大，截屏困难，可以输出到一个文件中并拷贝下来。具体做法是： # showrev -p /tmp/showrev-p.txt 2．检查，Unix服务器应安装安全的文件系统，DOS FAT、OS/2、HPFS或NTFS等文件系统不应安装在UNIX服务器上。 # cat /etc/vfstab 或 # cat /etc/mnttab 或 # mount 均可以查询所列出的solaris操作系统是否具有不合适的文件系统的格式。 3．所有对Unix服务器控制台进行的访问应经过严格的身份鉴别与验证，对每个被授权访问的用户应采取用户名及密码的认证手段，或者采取其他有效的身份鉴别与验证手段。 # cat /etc/passwd 我们可以通过查看passwd中的用户，并让操作系统管理员对其中的若干帐号实施登录，来验证每个账户是否采取了密码认证机制。 命令可以查看passwd文件存在哪些用户，以及这些用户的口令是否经过了加密。每行第一部分是用户名，冒号后的第二部分是密码部分，如果被shadow了，我们只能看到*或者!由此，我们可以判定该文件是被shadow的，符合控制要求。 4．禁止直接以root登录，而是采用su命令临时切换。除管理员外，禁止一切用户通过Unix服务器控制台进行shell级的访问。 第一步： 在SUN的Solaris系统上查看/etc/default/login（命令是#more /etc/default/login）文件，看看是否有下面这一行 ： CONSOLE=/dev/console 如果有上述记录，认定远程用户无法通过root直接登陆（默认情况下Solaris是没有此配置的），当然也包括Solaris的客户端图形界面。但使用console方式的还可以进行登录。需要执行第二步操作，确认操作系统管理员是否会直接通过root进行登录。 第二步： #more /var/adm/sulog 通过查看sulog，确定su的过程。并通过查看sulog确认系统管理员是否使用普通用户登录，再su切换到root用户。如果有root-sybase，就是先用root登录后用sybase，属于例外；如果是sybase-root，则是先用sybase后su到root登录，属于有效控制。（每天的自动备份的登录，root-sybase，以及sybase-root登录除外，可以通过询问自动备份的开始时间和时间段，并查看sulog文件确认这一点） 如果该文件很大，截屏困难，可以输