62.网络安全等级保护测评2.0作业指导书（Solaris 10）V1.0.xlsxVIP

序号 测评指标 控制项 检查对象 检查方法 推荐值 判断标准

1 身份鉴别 a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； Solaris 1)查看/etc/default/login的PASSREQ参数；

2)#logins-p查看是否有空口令用户；

3）#find/–name“.rhosts”，查看各个.rhosts文件；

4）查看/etc/hosts.equiv。

5）查看/etc/default/passwd文件，访谈询问当前所设置的密码复杂度及更换周期。

6）渗透测试主要服务器，进行弱口令扫描和弱口令暴力破解，探测主机操作系统是否存在弱口令。

1）PASSREQ=YES；

2）无空口令用户；

3）应删除.rhosts和/etc/hosts.equiv中的用户或主机。

4）MINWEEKS=1；MAXWEEKS=13；WARNWEEKS=4；PASSLENGTH=8；和MINALPHA=2（最少字母数）、MINDIFF=1（新旧密码差异数）等复杂度要求；

5）当前所设置的密码长度应不少于8位，具有一定的复杂度并能定期更换。 符合：如果1）-5）均为肯定，则符合；

部分符合：1）符合，2)-5）部分符合，则部分符合；

不符合：1)-5)均不符合。

2 b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； Solaris 1）查看/etc/security/policy.conf；

2）查看/etc/default/login设置。 1）LOCK_AFTER_RETRIES=YES；

2）RETRIES=5。 符合：如果1）-2）均为肯定，则符合；

部分符合：1）-2）部分符合，则部分符合；

不符合：1)-2)均不符合。

3 c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； Solaris 1)svcs|grepssh、svcs|greptelnet、svcs|grepftp查看ssh、telnet和ftp的运行情况；

2)查看/etc/ftpd/ftpusers中是否包含root用户；

3)对远程链接时的管理数据包进行嗅探，查看传输数据是否及进行了加密。 1）telnet、FTP（如确为业务所需则不建议关闭）服务未启动，远程仅可以使用SSH登录系统（显示online则已启用）；

2）ftpusers中包含root 符合：1）2）符合时结果为符合；

部分符合：1）符合，2）不符合，结果判定为部分符合；

不符合：其他为不符合。

4 d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 Solaris 1)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别；

2)应核查其中一种鉴别技术是否使用密码技术来实现 1)采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别；2)其中一种鉴别技术使用密码技术来实现 符合：如果1）-2）均为肯定，则符合；

部分符合：1）-2）部分符合，则部分符合；

不符合：1)-2)均不符合。

5 访问控制 a)应对登录的用户分配账户和权限； Solaris 1)应核查是否为用户分配了账户和权限及相关设置情况；

2)应核查是否已禁用或限制匿名、默认账户的访问权限。 1)为用户分配了账户和权限，权限设置合理；

2)已禁用或限制Guest账户的访问权限。 符合：如果1）-2）均为肯定，则符合；

部分符合：1）-2）部分符合，则部分符合；

不符合：1)-2)均不符合。

6 b)应重命名或删除默认账户，修改默认账户的默认口令； Solaris 查看控制面板－管理工具－本地安全策略－安全选项：

1、“帐户：重命名来宾帐户”；

2、“帐户：重命名系统管理员帐户”。 1)将系统管理员帐户Administrator重命名，并修改口令；

2)将来宾帐户Guest重命名，并修改口令或禁用。 符合：如果1）或2）均符合，则符合；

不符合：1)-2)均不符合。

7 c)应及时删除或停用多余的、过期的账户，避免共享账户的存在 Solaris 查看控制面板－管理工具－计算机管理－系统工具－本地用户和组－用户。 1）禁用Guest帐户，删除其他不需要的帐户；

2）现存账户均有所属人员。 符合：如果1）2）符合，则符合；

不符合：1)2）不符合。

8 d)应授予管理用户所需的最小权限，实现管理用户的权限分离； Solaris 1)应核