linu常规安全检查slaris.doc

主机系统Solaris测评 序号 核查项目 测评方法 访谈、检査、测试 说明 1. 应对登录操作系统和数据库 管理系统的用户进行身份标 识和鉴别 检杏、测试 斉询Solaris版木：uname -a（此命令是查 看内核版木） 版本信息:more /etc/release 査看/etc/passwd 和 /etc/shadow文件中各 用户名状态 2. 操作系统和数据库管理系统 用户身份鉴别信息应其有不 易被胃用的特点，U1令应复杂 度要求并定期更换 检查、测试 查看/etc/default/ passwd文件屮相关配置 参数 Cat /etc/default/passwd 3. 应其有登录失败处理功能，可 采取结束会话、限制非法登录 次数和自动退出等措施 检查、测试 检奔系统登陆失败处理功能 检查/etc/de faul t/lgoin中的密码相关的 安全属性: RETRIES#错误登录次数锁定账号 检查/ etc/defau 1 t/lgoin中的密码相关的 安全属性： SLEEPTTMF=4两次登录提示的间隔 4. 当对服务器进行远程管理吋， 应采取必要措施，防止鉴别信 息在网络传输过程屮被窃听 检查、测试 在root权限下，使用命令more、cat或vi 查看是否运行了 ssh服务： #ps~elf gerp ssh #ps~elf gerp telnet 查看是否存在ssh、telnet服务； #svcs - a grep ssh 杏看ssh服务是否是onl ine 补充说明：限制root从远程ssh登录，修改 /etc/ssh/sshd_config 文件，将 permitrootlogin yes改为permitrootlogin no,重启sshd服务（Solaris 8/usr/local/etc 下有该文件）。 5. 应为操作系统和数据库的不 同川户分配不同的用户名，确 保用户名具有唯一性 检查、测试 采用查看方式，在root权限下，使用命令 more、 cat或vi 资看/etc/passwd文件中用户名信息 6. 应采用两种或两种以上组合 的鉴别技术对管理用户进行 身份鉴别 访谈 访谈系统管理员，询闷系统除用户名口令外 宥无其他身份鉴别方法，如有没宥令牌、C 证书等。  访问控制 序号 核査项目 测评方法 访谈、检查、测试 说明 1. 应启用访问控制功能，依据安 全策略控制用户对资源的访 问 检查、测试 1、 检杳umask权限是否为022 2、 检齊以下敏感文件的权限，建议不超过 644 /etc/passwd 644 /ctc/group 644 /etc/shadow 644 3、 査看/etc/init.d/文件中是否禁川多余 服务： sendmai1 ]p rpc snmpdx keyserv nscd volmgt uucp dmi autoinstall 2. 应根据管理用户的角色分配 权限，实现管理用户的权限分 离，仅授予管理用户所需的? 小权限 检查 l己录系统是否有完整的安全策略，系统主要 有那些角色，每个角色的权限是否互相制 约，每个系统用户是否被赋予相应的角色 3. 应实现操作系统和数据库系 统特权用户的权限分离 检查、测试 结合系统管理员的组成情况，判断是否实现 了该项要求，操作系统和数据库是否拥有不 同的用户名及密码 4. 应严格限制默认帐户的访问 权限，重命名系统默认帐户， 并修改这些帐户的默认口令 检查、测试 1、以root身份登陆进入Solaris、査看 Solaris 密码文件内容#cat/etc/shadow id录没冇被禁用的系统默认川户名 补充说明：需要锁定的用户：listen、gdm、 webservd、 nobody、 noaccess 5. 应及时删除多余的、过期的帐 户，避免共享帐户的存在 检查、测试 1、 以root身份登陆进入Solaris 2、 査看Solaris密码文件内容 #cat/etc/passwd 记录没冇被及时删除多余的、过期的帐户， 避免共享帐户 6. 应对#:要信息资源设置敏感 标记 检查 查看操作手册，确汄有没有该功能 询问系统管理员是否设罝敏感标记  7. 应依裾安全策略严格控制用 户对冇敏感标记重耍信息资 源的操作 访谈、检查、测试 询问和查看目前的敏感标记策略的相关设 界，如：如何划分敏感标记分类，如何设定 访问权限 安全审计 序号 核查项目 测评方法 访谈、检査、测试 说明 1. 审计范围应覆盈到服务器和 熏要客户端上的每个操作系 统用户和数据库用户 检查、测试 采用查看方式，在root权限下，查看审计服 务是否启动，查看审计配罝文 件。涉及命令如下： 1、 査看 #more/etc/defaul t/login中，查看