Solaris系统安全加固列表






　　ps:因为当初不少Solaris安全加固列表都比拟老了，在下依据材料和本人的实际总结的Solaris系统加固列表，未免会有分歧适影响服务和毛病以及不足之处，望各位不惜赐教原来是word文档，发上来当前格局都乱了
　　多谢lgx跟ghoststone对此文的辅助
　　
　　Solaris系统安全加固列表
　　王宇
　　
　　一、安全理念
　　1、安全的隐患更多来自于企业内部
　　2、对治理员的请求：不要信赖任何人
　　3、分层掩护策略：假设某些安全保护层完整生效
　　4、服务最小化
　　5、为最坏的情况做盘算
　　
　　二、物理安全
　　1、记载进出机房的职员名单，斟酌装置摄像机
　　2、审查PROM是否被调换，可以通过记载hostid进行比较
　　3、每个系统的OpenBoot口令应当不一样，口令计划不可猜测
　　4、系统安装结束移除CDROM
　　5、将版本介质放入不在本场地的介质蕴藏室中
　　
　　三、账,与口令策略
　　1、超级用户的PATH在/.profile中定义的设置为：
　　PATH /usr/bin:/sbin:/usr/sbin
　　任何用户的PATH或者LD_LIBRARY_PATH中都不应该包括“.”
　　2、口令文件、影像文件、组文件
　　/etc/passwd 必须所有用户都可读，root用户可写 –rwr—r—
　　/etc/shadow 只有root可读 –r
　　/etc/group 必须所有用户都可读，root用户可写 –rwr—r
　　3、口令保险
　　Solaris强迫口令起码6位，然而超级用户修改口令的时候不受这个制约
　　逼迫test账,每隔30天修正一次口令
　　#passwd –n 30 test
　　强制test账,在下次登录的时候修改口令
　　#passwd –f test
　　禁止test账,修改口令
　　#passwd –n 2 –x 1 test
　　封锁test账,，禁止登录
　　#passwd –l test
　　4、组口令
　　用newgrp 命令常设转变gid
　　因为sysadmin组可执行admintool，必需要维护好，增添组口令的进程：
　　删除不需要的成员如果成员属于sysadmin，改变组时不须要口令
　　#passwd 通常封锁的账,
　　提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段
　　封闭user账,
　　5、修改口令策略
　　/etc/default/passwd文件
　　MAXWEEKS4 口令至少每隔4礼拜更改一次
　　MINWEEKS1 口令至多每隔1星期更改一次
　　WARNWEEKS3 修改口令后第三个星期会收到快要修改口令的信息
　　PASSLENGTH6 用户口令长度不少于6个字符
　　6、限度应用su的组只容许sysadmin组履行su命令
　　#chgrp sysadmin /bin/su
　　#chmod orwx /bin/su
　　7、su的纪录
　　/etc/default/su文件
　　SULOG/var/adm/sulog
　　SYSLOGYES
　　CONSOLE/dev/console
　　PATH/usr/bin:
　　SUPATH/usr/sbin:/usr/bin
　　8、制止root远程登录
　　/etc/default/login中设置CONSOLE/dev/null
　　在/etc/ftpusers里加上root。
　　在SSH 配置文件加：permitRootLogin no
　　Solaris 9自带SSH，缺省就禁止root登陆,对 Solaris 9，/etc/ftpusers 不再使用，FTP配置文件都在 /etc/ftpd/ 下面。如果 ftpd 启动时存在 /etc/ftpusers，它会被挪动到 /etc/ftpd/下
　　
　　
　　四、体系加固
　　1、为OpenBoot设置密码
　　
　　在Solaris中设置密码 # eeprom securitypassword
　　在OpenBoot中设置密码 ok password
　　在Solaris中设置安全级别mand # eeprom securitymodemand
　　在OpenBoot中设置安全级别mand ok setenv securitymode mand
　　在OpenBoot中设置平安级别full ok setenv securitymode full
　　
　　2、撤消不用须账,
　　移去或者锁定那些不是必需的帐,，比方sysuucpnuucplisten等等，简略的措施是在/etc/shadow的password域中放上NP字符。
　　简单方法是 passwd l username
　　
　　3、文件系统
　　/etc目录中应该不文件是组或者其他用户可写的
　　find /etc/ type f –perm –g+w –print 查找组可写文件
　　find /etc/ type f –perm –o+w –print 查找其余用户可写文件
　　chmod –R gow /etc 改变任何过错的组/其他用户的写权限
　　/var/adm/utmp和/var/adm/utmpx文件的权限应该是644
　　
　　4、XWindows手工锁定当管理员分开电脑的时候
　　CDE中面板上的加锁图标
　　OpenWindows中鼠标右键UtilitiesLock Screen
　　
　　5、/etc的存取权限
　　用chmod R gw /etc命令来移去组用户对/etc的写权限。
　　
　　6、翻开数据包转发
　　#ndd –set /dev/ip ip_forwarding 1 在系统作为路由器的情形中执行
　　封闭数据包转发
　　#ndd –set /dev/ip ip_forwarding 0 倡议把这条命令加入/etc/init.d/inetinit中
　　疏忽重定向数据包否则有受到DOS的隐患
　　#ndd –set /dev/ip ip_ignore_redirects 1 加入/etc/init.d/inetinit
　　不发送重定向数据包
　　#ndd –set /dev/ip ip_send_redirects 0 加入/etc/init.d/inetinit
　　禁止转发定向播送假如网桥连结则不禁止
　　#ndd –set /dev/ip ip_forward_directed_broadcasts 0 参加/etc/init.d/inetinit
　　禁止转发在数据源设置了路由的数据包
　　#ndd –set /dev/ip ip_forward_src_routed 0 加入/etc/init.d/inetinit
　　
　　7、应用/etc/notrouter关闭IP转发
　　创立/etc/notrouter文件，重启盘算机入侵者如果可以拜访根目录，能够使用ndd命令从新开启IP转发
　　/etc/inet/hosts中的配置
　　127.0.0.1 Localhost 所有系统都有这一项
　　192.168.0.13 Loghost syslog使用的
　　192.168.0.109 wy_solaris 主机IP和主机名
　　/etc/defaultrouter包含了默认路由器的名称或者IP
　　如果使用了默认路由器，在/etc/inet/hosts文件中必须包含路由器的名称，由于如果设置了路由表，系统将不会运行任何目录服务DNS、NIS或者NIS+