solaris加固.docVIP

一、安全理念? 1、安全的隐患更多来自于企业内部? 2、对于管理员的需求：不要信任所有人? 3、分层保护策略：假设某些安全保护层完全失效? 4、服务最小化? 5、为最坏的情况做打算? 二、物理安全? 1、记录进出机房的人员名单，考虑安装摄像机? 2、审查PROM是否被更换，能通过记录hostid进行比较? 3、每个系统的OpenBoot口令应该不相同，口令方案不可预测? 4、系统安装完毕移除CD-ROM? 5、将版本介质放入不在本场地的介质储藏室中? 三、账号和口令策略? 1、终极用户的PATH（在/.profile中定义的）设置为：? PATH?=?/usr/bin:/sbin:/usr/sbin? 所有用户的PATH或LD_LIBRARY_PATH中都不应该包含“.”? 2、口令文件、影像文件、组文件? /etc/passwd?必须所有用户都可读，root用户可写??rw-r?r?? /etc/shadow?只有root可读??r--------? /etc/group?必须所有用户都可读，root用户可写??rw-r?r--? 3、口令安全? Solaris强制口令最少6位，不过终极用户修改口令的时候不受这个限制? 强迫test账号每隔30天修改一次口令? #passwd??n?30?test? 强迫test账号在下次登录的时候修改口令? #passwd??f?test? 禁止test账号修改口令? #passwd??n?2??x?1?test? 封锁test账号，禁止登录? #passwd??l?test? 4、组口令? 用newgrp?group命令临时改动gid? 由于sysadmin组可执行admintool，必须要保护好，增加组口令的过程：? 删除不必的成员（如果成员属于sysadmin，改动组时不必口令）? #passwd?user?（通常封锁的账号）? 提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段? 封锁user账号? 5、修改口令策略? /etc/default/passwd文件? MAXWEEKS=4?口令至少每隔4星期更改一次? MINWEEKS=1?口令至多每隔1星期更改一次? WARNWEEKS=3?修改口令后第三个星期会收到快要修改口令的信息? PASSLENGTH=6?用户口令长度不少于6个字符? 6、限制使用su的组（只允许sysadmin组执行su命令）? #chgrp?sysadmin?/bin/su? #chmod?o-rwx?/bin/su? 7、su的纪录? /etc/default/su文件? SULOG=/var/adm/sulog? SYSLOG=YES? CONSOLE=/dev/console? PATH=/usr/bin:? SUPATH=/usr/sbin:/usr/bin? 8、禁止root远程登录? /etc/default/login中设置CONSOLE=/dev/null? 在/etc/ftpusers里加上root。? 在SSH?设置文件加：permitRootLogin?=?no? （Solaris?9自带SSH，缺省就禁止root登陆,对?Solaris?9，/etc/ftpusers?不再使用，FTP设置文件都在?/etc/ftpd/?下面。如果?ftpd?启动时存在?/etc/ftpusers，他会被移动到?/etc/ftpd/下）? 四、系统加固? 1、为OpenBoot设置密码? 在Solaris中设置密码?#?eeprom?security-password? 在OpenBoot中设置密码?ok?password? 在Solaris中设置安全级别（command）?#?eeprom?security-mode=command? 在OpenBoot中设置安全级别（command）?ok?setenv?security-mode?command? 在OpenBoot中设置安全级别（full）?ok?setenv?security-mode?full? 2、取消不必须账号? 移去或锁定那些不是必须的帐号，比如sys＼uucp＼nuucp＼listen等等，简单的办法是在/etc/shadow的password域中放上NP字符。? （简单办法是?passwd?-l?username）? 3、文件系统? /etc目录中应该没有文件是组或其他用户可写的? find?/etc/?-type?f??perm??g+w??print?（查找组可写文件）?