Solaris系统基本加固方案.docx
- 文档编号:6825008
- 上传时间:2023-01-10
- 格式:DOCX
- 页数:38
- 大小:31.47KB
Solaris系统基本加固方案.docx
《Solaris系统基本加固方案.docx》由会员分享,可在线阅读,更多相关《Solaris系统基本加固方案.docx(38页珍藏版)》请在冰豆网上搜索。
Solaris系统基本加固方案
技术文件
技术文件名称:
Solaris系统基本加固方案
技术文件编号:
版本:
V1.3.5
文件质量等级:
共29页
(包括封面)
拟制
审核
会签
标准化
批准
中兴通讯股份有限公司
修改记录
文件编号
版本号
拟制人/
修改人
拟制/修改日期
更改理由
主要更改内容
(写要点即可)
1.0
王华刚
2009/05/2
无
无
1.1
王华刚
2009/05/17
补充内容
增加对SSH、TELNET、XWindow登录的源地址限制,SNMP修改密码等内容
1.2
王华刚
2009/06/15
配置编号
配置加固项编号
1.2.1
王华刚
2009/06/18
配置编号
更新配置加固项编号
1.2.2
王华刚
2009/06/26
配置编号
更新配置加固项编号
1.2.3
王华刚
2009/08/19
更新内容
根据短信测试结果,更新ZTE-Solaris-EM03-08说明
ZTE-Solaris-EL01-04风险提示
1.3.0
王华刚
2009-9-22
增加回退操作,补充内容
ZTE-Solaris-EM03-05增加关闭cde-spc
增加加固项
ZTE-Solaris-EL03-13
ZTE-Solaris-EL03-14
完善
ZTE-Solaris-EL04-02加固项待完善
1.3.1
王华刚
2009-10-19
增加内容
修正错误
增加ZTE-Solaris-EM03-08中对Solaris9的常见关闭操作
修正禁止SNMP服务或修改其密码中命令错误
1.3.2
王华刚
2009-10-27
修正错误
修正Solaris9中ZTE-Solaris-EH01-01的配置
1.3.3
王华刚
2009-11-3
增加内容
增加需要关闭的inet小服务中的内容:
ZTE-Solaris-EM03-08
1.3.4
王华刚
2009-11-5
增加内容
修正内容
ZTE-Solaris-EL01-04中Solaris9应为MAXWEEKS
ZTE-Solaris-EH03-01中,ftpusers文件位置修正
增加限制SSHforwarding
增加ZTE-Solaris-EH03-04回退操作
1.3.5
王华刚
2009-12-9
增加内容
增加ZTE-Solaris-EL02-03说明,增加单个用户配置口令有效期操作。
增加ZTE-Solaris-EL07-03关闭服务器路由功能
注1:
每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表。
注2:
文件第一次归档时,“更改理由”、“主要更改内容”栏写“无”。
Solaris操作系统基本加固方案目录
(包括封面)1
修改记录2
1概述6
内部适用性说明6
外部引用说明6
术语和定义6
符号和缩略语6
2Solaris安全配置操作指导7
2.1ZTE-Solaris-E01帐号安全加固操作7
2.1.1ZTE-Solaris-EH01-01删除锁定无用帐号7
2.1.2ZTE-Solaris-EM01-02限制root远程登录7
2.1.3ZTE-Solaris-EM01-03确保口令复杂度,加密和密码历史8
2.1.4ZTE-Solaris-EL01-04设置口令生存期为90天(可选)8
2.1.5ZTE-Solaris-EL01-05设置eeprom安全密码9
2.2ZTE-Solaris-E02登录会话环境要求9
2.2.1ZTE-Solaris-EL02-01配置字符登录超时5分钟自动登出9
2.2.2ZTE-Solaris-EL02-02配置图形登录超时5分钟自动登出10
2.2.3ZTE-Solaris-EL02-03配置用户umask值10
2.3ZTE-Solaris-E03主机软件/网络服务要求10
2.3.1ZTE-Solaris-EH03-01限制ftp登录用户10
2.3.2ZTE-Solaris-EM03-02限制ftp用户活动目录11
2.3.3ZTE-Solaris-EL03-03限制匿名ftp用户11
2.3.4ZTE-Solaris-EH03-04限制ftp连接源地址12
2.3.5ZTE-Solaris-EM03-05关闭XWindow图形界面13
2.3.6ZTE-Solaris-EH03-06配置使用SSH远程登录,禁止使用telnet远程登录14
2.3.7ZTE-Solaris-EH03-07限制SSH登录源地址15
2.3.8ZTE-Solaris-EM03-08禁止非必要服务16
2.3.9ZTE-Solaris-EL03-09删除不必要的启动项19
2.3.10ZTE-Solaris-EL03-10禁止NFS服务20
2.3.11ZTE-Solaris-EM03-11禁止SNMP服务或修改其密码20
2.3.12ZTE-Solaris-EL03-12配置NTP服务器或客户端(可选)22
2.3.13ZTE-Solaris-EL03-13设置FTP旗标23
2.3.14ZTE-Solaris-EL03-14设置SSH旗标23
2.3.15ZTE-Solaris-EL03-15仅允许SSHv2连接24
2.3.16ZTE-Solaris-EL03-16限制SSHFORWARDING24
2.4ZTE-Solaris-E04日志记录要求25
2.4.1ZTE-Solaris-EL04-01配置登录日志25
2.4.2ZTE-Solaris-EL04-02配置操作日志(待完善)25
2.4.3ZTE-Solaris-EL04-03配置事件日志25
2.4.4ZTE-Solaris-EL04-04配置cron日志26
2.4.5ZTE-Solaris-EL04-05配置远程日志服务器(可选)26
2.5ZTE-Solaris-E06安全补丁要求27
2.5.1ZTE-Solaris-EH06-01检查是否安装经过验证的系统补丁27
2.6ZTE-Solaris-E07网络协议安全27
2.6.1ZTE-Solaris-EL07-01使用静态路由,禁止ICMP重定向27
2.6.2ZTE-Solaris-EL07-02关闭数据包转发28
2.6.3ZTE-Solaris-EL07-03关闭服务器路由功能28
2.7ZTE-Solaris-E08内核安全调整29
2.7.1ZTE-Solaris-EL08-01防止缓冲区溢出29
Solaris操作系统基本加固方案
1概述
内部适用性说明
本方案是在《业务研究院网络安全规范》中各项要求的基础上,提出Solaris操作系统基本加固方案。
外部引用说明
《中国移动设备通用安全功能和配置规范》
《中国移动操作系统安全功能规范》
《中国移动SOLARIS操作系统安全配置规范》
术语和定义
符号和缩略语
缩写
英文描述
中文描述
本文件中的字体标识如下:
蓝色斜体在具体执行时需要替换的内容
检查/加固项编码意义如下:
公司名称-操作系统-条目性质风险级别数字编号-小项数字编号
条目性质中:
S意为检查;E意为加固
风险级别中:
H意为高风险;M意为中等风险;L意为低风险,风险级别仅存于具体条目中
2Solaris安全配置操作指导
2.1ZTE-Solaris-E01帐号安全加固操作
2.1.1ZTE-Solaris-EH01-01删除锁定无用帐号
备份操作:
无
加固操作:
删除系统帐号操作
WAP网关
彩信
短信
#passwd-llisten
#passwd-lgdm
#passwd-lwebservd
#passwd-lnobody
#passwd-lnobody4
#passwd-lnoaccess
#passmgmt-m-s/bin/falselisten
#passmgmt-m-s/bin/falsegdm
#passmgmt-m-s/bin/falsewebservd
#passmgmt-m-s/bin/falsenobody
#passmgmt-m-s/bin/falsenobody4
#passmgmt-m-s/bin/falsenoaccess
回退操作:
用户解除锁定
Solaris10:
#passwd-uusername
Solaris9:
Solaris9中,passwd没有-u参数,请使用-d解除锁定:
#passwd-dusername
因为Solaris9中,passwd-l操作会清除用户密码,因此解除锁定之后,必须重新为用户配置密码
2.1.2ZTE-Solaris-EM01-02限制root远程登录
备份操作:
备份/etc/default/login、/etc/ssh/sshd_config
加固操作:
#vi/etc/default/login添加如下内容:
CONSOLE=/dev/console
#vi/etc/ssh/sshd_config修改如下内容:
将PermitRootLoginyes改为PermitRootLoginno
Solaris10:
#svcadmrestartsshd
Solaris9:
#/etc/init.d/sshdrestart
回退操作:
恢复原/etc/default/login和/etc/ssh/sshd_config,重新启动ssh:
Solaris10:
#svcadmrestartsshd
Solaris9:
#/etc/init.d/sshdrestart
2.1.3ZTE-Solaris-EM01-03确保口令复杂度,加密和密码历史
备份操作:
备份/etc/default/passwd
加固操作:
#vi/etc/default/passwd,修改设置如下
PASSLENGTH=8
MINALPHA=2;MINNONALPHA=1
HISTORY=5
回退操作:
恢复原/etc/default/passwd配置
2.1.4ZTE-Solaris-EL01-04设置口令生存期为90天(可选)
备份操作:
备份/etc/default/passwd
加固操作:
#vi/etc/default/passwd
Solaris9&10:
MAXWEEKS=13
Solaris其他版本:
PWMAX=90
如果需要对单个用户进行口令生存期配置,应使用passwd命令,参数如下:
-x:
口令生存期
-w:
口令失效前的告警时间
例子:
限制username用户口令生存期为90天,提前10天告警,口令生存期过后10天宽限期。
#passwd-x90-w10username
说明:
注意进行口令生存期配置后,如果不能按时修改密码,则会登录失败。
有取话单等访问的主机请特别注意。
回退操作:
恢复原/etc/default/passwd配置
如果加固时进行了单个用户的限制,回退命令为:
#passwd-x-1username
2.1.5ZTE-Solaris-EL01-05设置eeprom安全密码
备份操作:
#/usr/sbin/eeprom
记录下显示的当前eeprom配置
加固操作:
#/usr/sbin/eepromsecurity-mode=command(可选的有command,full,none)
#eepromsecurity-password=
(openboot设置强密码)
说明:
“=”一定要输入,否则会出现错误信息:
security-password:
datanotavailable
回退操作:
#/usr/sbin/eepromsecurity-mode=原配置
2.2ZTE-Solaris-E02登录会话环境要求
2.2.1ZTE-Solaris-EL02-01配置字符登录超时5分钟自动登出
备份操作:
无
加固操作:
#vi /etc/profile
添加如下行:
TMOUT=300;exportTMOUT
回退操作:
删除/etc/profile中TMOUT变量配置
2.2.2ZTE-Solaris-EL02-02配置图形登录超时5分钟自动登出
在CDE面板中(打印机右边),打开stylemanager;
或者使用命令:
#/usr/dt/bin/dtstyle
可以调出stylemanager;
选中Screen
ScreenSaver------on
ScreenLock------on
设置时间为5分钟
2.2.3ZTE-Solaris-EL02-03配置用户umask值
备份操作:
备份/etc/default/login
加固操作:
#vi/etc/default/login
在末尾增加umask027
注意,对于有话单等需要第三方其他帐号访问的项目,可以将话单属主用户的配置改为umask033,防止其他帐号对话单无访问权限,修改方法为修改单个用户的profile文件,在文件中修改或添加umask033
回退操作:
恢复原/etc/default/login中umask配置
2.3ZTE-Solaris-E03主机软件/网络服务要求
2.3.1ZTE-Solaris-EH03-01限制ftp登录用户
备份操作:
备份如下文件(如果文件不存在则不需要备份操作):
#vi/etc/ftpd/ftpusers
加固操作:
编辑如下文件,如果没有则创建此文件
#vi/etc/ftpd/ftpusers
确保文件中应该包含除允许ftp登录的用户之外的其他所有用户,特别注意用户名root应该在这个文件中,以禁止root的ftp登录权限。
一般情况下,除了zxin10或boss取话单用户之外,/etc/ftpd/ftpusers应包含所有用户。
业务
允许ftp登录的用户
WAP网关
zxin10
彩信
zxme
短信
回退操作:
恢复原ftpusers文件,如果原来无此文件,则可以直接删除
2.3.2ZTE-Solaris-EM03-02限制ftp用户活动目录
备份操作:
备份如下文件:
#vi/etc/ftpd/ftpaccess
加固操作:
#vi/etc/ftpd/ftpaccess
加入:
restricted-uid*
guestuserusername
注意:
username为允许ftp登录的帐号
Solaris10:
执行:
#svcadmrefreshftp
Solaris9:
执行:
#/etc/init.d/inetsvcstop;/etc/init.d/inetsvcstart
注意:
在有话单下载等业务的服务器上,进行此配置之后,可能需要对话单下载目录进行重新配置。
回退操作:
恢复原ftpaccess文件
执行命令:
Solaris10:
#svcadmrefreshftp
Solaris9:
#/etc/init.d/inetsvcstop;/etc/init.d/inetsvcstart
2.3.3ZTE-Solaris-EL03-03限制匿名ftp用户
备份操作:
备份/etc/ftpd/ftpaccess
加固操作:
默认情况下,Solaris不允许ftp匿名登录,如果检查中发现可以匿名登录ftp,请做如下操作
#vi/etc/ftpd/ftpaccess
修改ftpaccess
classguestusersguest*
classanonusersanonymous*
为
#classguestusersguest*
#classanonusersanonymous*
执行命令:
Solaris10:
#svcadmrefreshftp
Solaris9:
#/etc/init.d/inetsvcstop;/etc/init.d/inetsvcstart
回退操作:
恢复原ftpaccess文件
执行命令:
Solaris10:
#svcadmrefreshftp
Solaris9:
#/etc/init.d/inetsvcstop;/etc/init.d/inetsvcstart
2.3.4ZTE-Solaris-EH03-04限制ftp连接源地址
备份操作:
备份如下内容:
/etc/hosts.allow和/etc/hosts.deny,如果文件不存在,则不需备份
Solaris9:
保存/etc/default/inetd和/etc/inetd.conf
加固操作:
Solaris10:
#inetadm-mftptcp_wrappers=TRUE
#vi/etc/hosts.deny添加如下内容:
in.ftpd:
ALL
#vi/etc/hosts.allow添加如下内容:
in.ftpd:
192.168.1.101
此处192.168.1.101为允许ftp登录的ip地址,如果多个ip地址,请用逗号“,”间隔,如下:
in.ftpd:
192.168.1.101,192.168.1.102
执行:
#svcadmrefreshinetd
Solaris9:
#vi/etc/default/inetd修改
ENABLE_TCPWRAPPERS=YES注意去掉这行中的注释标志#,并修改值为YES
#vi/etc/inetd.conf修改
ftpstreamtcp6nowaitroot/usr/sbin/in.ftpdin.ftpd-a
为
ftpstreamtcp6nowaitroot/usr/sfw/sbin/tcpdin.ftpd-a
#vi/etc/hosts.deny添加如下内容:
in.ftpd:
ALL
#vi/etc/hosts.allow添加如下内容:
in.ftpd:
192.168.1.101
此处192.168.1.101为允许ftp登录的ip地址,如果多个ip地址,请用逗号“,”间隔,如下:
in.ftpd:
192.168.1.101,192.168.1.102
执行:
#/etc/init.d/inetsvcstop;/etc/init.d/inetsvcstart
回退操作:
恢复原/etc/hosts.allow和/etc/hosts.deny,如果原来不存在,则删除。
Solaris10:
#inetadm-mftptcp_wrappers=false
#svcadmrefreshinetd
Solaris9:
恢复原/etc/default/inetd和/etc/inetd.conf文件,之后执行命令:
#/etc/init.d/inetsvcstop;/etc/init.d/inetsvcstart
2.3.5ZTE-Solaris-EM03-05关闭XWindow图形界面
备份操作:
无
加固操作:
#/etc/init.d/dtloginstop
#/usr/dt/bin/dtconfig-d
Solaris10另外执行:
#svcadmdisablecde-login#svcadmdisablecde-spc
回退操作:
如果因为要安装或者临时运行某些软件,可以用如下命令重新启动Xwindow:
#/etc/init.d/dtloginstart
如果要恢复Xwindow重新启动自动运行,可以用如下命令:
#/usr/dt/bin/dtconfig-e
Solaris10另外执行:
#svcadmenablecde-login#svcadmenablecde-spc
2.3.6ZTE-Solaris-EH03-06配置使用SSH远程登录,禁止使用telnet远程登录
备份操作:
Solaris10:
#inetadm–ltelnet|greptcp_wrappers记录原有配置
Solaris9:
备份/etc/inetd.conf和/etc/default/inetd
加固操作:
Solaris10:
#svcadmenablesvc:
/network/ssh
#svcadmdisablesvc:
/network/telnet
Solaris9:
/etc/init.d/sshdstart
#vi/etc/inet/inetd.conf
注释掉telnet所在的行(在前面添加#符号)
执行:
#/etc/init.d/inetsvcstop;/etc/init.d/inetsvcstart
确认/etc/rc3.d目录下有S?
?
sshd
注意上文中?
?
为数字替换符,在某台Solaris机器上为S89sshd
如果不存在S?
?
sshd,请进行如下操作:
#cp/etc/init.d/sshd/etc/rc3.d/S?
?
sshd
注意上文中?
?
为数字替换符,在某台Solaris机器上为S89sshd,此处选择的数字不能与/etc/rc3.d目录下其他文件中已经存在的数字相同,建议选择当前存在的最大数字+1
#cp/etc/init.d/sshd/etc/rc0.d/K03sshd
#cp/etc/init.d/sshd/etc/rc1.d/K03sshd
#cp/etc/init.d/sshd/etc/rc2.d/K03sshd
#cp/etc/init.d/sshd/etc/rcS.d/K03sshd
对于不能关闭telnet服务的服务器,应该对允许telnet登录的源地址进行限制:
Solaris10:
#inetadm-mtelnettcp_wrappers=TRUE
#vi/etc/hosts.deny添加如下内容:
in.telnetd:
ALL
#vi/etc/hosts.allow添加如下内容:
in.telnetd:
192.168.1.101
此处192.168.1.101为允许telnet登录的i
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Solaris 系统 基本 加固 方案