Solaris操作系统安全配置和检查规范.docVIP

PAGE TITLE Solaris操作系统 安全配置和检查规范 ■ 版本 V1.0 ■ 密级 商业机密 ■ 发布 ■ 日期 2010-05 ?2010-2013安码科技 Solaris操作系统安全配置规范 ?2010-2013 安码科技 ■ 版本变更记录 时间 版本 说明 修改人 2010-05 V1.0 胡迪 ■ 适用性声明 本模板用于撰写安码科技各种文件，未经授权，严禁复制、编辑和传播！ 本文件用于对Solaris操作系统安全配置进行方法指导，仅适用于此种场合。 - PAGE \* ROMAN I -? - PAGE \* ROMAN I - 目录 TOC \o 1-3 \h \z \u 一. 概述 1 1.1 适用范围 1 二. 补丁安装 2 2.1 补丁安装 2 三. 口令账户 3 3.1检测密码复杂度 3 3.2检查密码有效期 3 3.3检测密码记忆次数 3 3.4检测密码锁定策略 3 3.5检查帐号超时注销 6 四. 系统服务检查 7 4.1关闭不需要的服务 7 4.2 SSH替代Telnet服务 8 4.3关闭不需要的端口 10 4.4检查SNMP团体字 11 4.5同步时间服务器 11 4.6限制远程登录主机 11 五. 路由协议安全 13 5.1 关闭ICMP重定向 13 5.2 关闭包转发 14 六. 文件系统检查 16 6.1 检查系统umask设置 16 6.2 检查重要文件权限 16 七. 日志审计 18 7.1 日志审计 18 八. 安全增强 19 8.1 禁止root远程登录 19 8.2 检查登录超时配置 19 8.3 内核调整 20 Solaris操作系统安全配置规范 - PAGE 1 -? - PAGE 1 - 概述 本规范归纳了Solaris企业版的安全配置知识，文中所有配置示例均经过测试，具有较高的操作性。 适用范围 本规范截图在Solaris8操作系统下。本规范明确了设备的基本配置安全要求，为设备工程验收和设备运行维护环节明确相关安全要求提供指南。本规范可作为编制工程验收手册、数据模板等文档的参考。 补丁安装 补丁安装 编号 02001 要求内容 补丁安装 检测方法 人工检查： 查询/etc/release文件，看版本发布日期。 # uname –a查看版本及大补丁号 #showrev –p命令检补丁号 要求说明 在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装 结果 口令账户 3.1检测密码复杂度 编号 03001 名称 密码复杂度 检测方法 cat /etc/default/passwd ，查看 vi /etc/default/passwd修改设置如下 PASSLENGTH = 8 #设定最小用户密码长度为8位 MINALPHA=2；MINNONALPHA=1 #表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。 要求说明 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置 对于采用静态口令认证技术的设备，口令长度至少6位，至少包含2个字母和1个非字母。 结果 3.2检查密码有效期 编号 03002 名称 密码有效期 检测方法 人工检查： cat /etc/default/passwd MAXWEEKS=13密码的最大生存周期为13周；（Solaris 810） PWMAX= 90 #密码的最大生存周期；（Solaris 其它版本） 要求说明 使用超过90天的帐户口令登录 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 结果 3.3检测密码记忆次数 编号 03003 名称 密码记忆次数 检测方法 人工检查： cat /etc/default/passwd ，设置如下 HISTORY＝5 要求说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。 默认没有HISTORY的标记，即不记录以前的密码； NIS系统无法生效，非NIS系统或NIS+系统能够生效。 结果 3.4检测密码锁定策略 编号 安全要求-系统-Solaris配置-3.4 名称 密码锁定策略 检测方法 人工检查： cat /etc/user_attr cat /etc/security/policy.conf 查