Solaris系统安全加固列表

安全 网站安全
一、安全理念1、安全的隐患更多来自于企业内部2、对于管理员的要求:不要信任任何人3、分层保护策略:假设某些安全保护层完全失效4、服务最小化5、为最坏的情况做打算

Solaris系统安全加固列表 ps:由于现在不少Solaris安全加固列表都比较老了,在下根据资料和自己的实践总结的Solaris系统加固列表,难免会有不合适(影响服务)和错误以及不足之处,望各位不惜赐教(本来是word文档,发上来以后格式都乱了)
多谢lgx和ghoststone对此文的帮助

Solaris系统安全加固列表
--王宇

一、安全理念

1、安全的隐患更多来自于企业内部
2、对于管理员的要求:不要信任任何人
3、分层保护策略:假设某些安全保护层完全失效
4、服务最小化
5、为最坏的情况做打算

二、物理安全

1、记录进出机房的人员名单,考虑安装摄像机
2、审查PROM是否被更换,可以通过记录hostid进行比较
3、每个系统的OpenBoot口令应该不一样,口令方案不可预测
4、系统安装完毕移除CD-ROM
5、将版本介质放入不在本场地的介质储藏室中

三、账号与口令策略

1、超级用户的PATH(在/.profile中定义的)设置为:

PATH = /usr/bin:/sbin:/usr/sbin
任何用户的PATH或者LD_LIBRARY_PATH中都不应该包含“.”

2、口令文件、影像文件、组文件

/etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r—
/etc/shadow 只有root可读 –r--------
/etc/group 必须所有用户都可读,root用户可写 –rw-r—r--

3、口令安全

Solaris强制口令最少6位,但是超级用户修改口令的时候不受这个限制
强迫test账号每隔30天修改一次口令
#passwd –n 30 test
强迫test账号在下次登录的时候修改口令
#passwd –f test
禁止test账号修改口令
#passwd –n 2 –x 1 test
封锁test账号,禁止登录
#passwd –l test

4、组口令

用newgrp ;命令临时改变gid
由于sysadmin组可执行admintool,必须要保护好,增加组口令的过程:
删除不需要的成员(如果成员属于sysadmin,改变组时不需要口令)
#passwd ; (通常封锁的账号)
提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段
封锁user账号

5、修改口令策略

/etc/default/passwd文件
MAXWEEKS=4 口令至少每隔4星期更改一次
MINWEEKS=1 口令至多每隔1星期更改一次
WARNWEEKS=3 修改口令后第三个星期会收到快要修改口令的信息
PASSLENGTH=6 用户口令长度不少于6个字符

6、限制使用su的组(只允许sysadmin组执行su命令)

#chgrp sysadmin /bin/su
#chmod o-rwx /bin/su

7、su的纪录

/etc/default/su文件
SULOG=/var/adm/sulog
SYSLOG=YES
CONSOLE=/dev/console
PATH=/usr/bin:
SUPATH=/usr/sbin:/usr/bin

8、禁止root远程登录

/etc/default/login中设置CONSOLE=/dev/null
在/etc/ftpusers里加上root。
在SSH 配置文件加:permitRootLogin = no
(Solaris 9自带SSH,缺省就禁止root登陆,对 Solaris 9,/etc/ftpusers 不再使用,FTP配置文件都在 /etc/ftpd/ 下面。如果 ftpd 启动时存在 /etc/ftpusers,它会被移动到 /etc/ftpd/下)


四、系统加固

1、为OpenBoot设置密码

在Solaris中设置密码 # eeprom security-password
在OpenBoot中设置密码 ok password
在Solaris中设置安全级别(command) # eeprom security-mode=command
在OpenBoot中设置安全级别(command) ok setenv security-mode command

【编辑推荐】

  1. Sun OpenSolaris内核Panic远程拒绝服务漏洞
  2. 在Solaris系统中的sniffer攻击实例
  3. 运用Solaris的系统安全特性进行企业审计
责任编辑:Oo小孩儿 来源: home.svn8.com
相关推荐

2009-07-06 09:23:20

2009-07-01 16:44:27

2023-10-31 09:22:49

Linux系统

2009-11-17 15:00:03

2010-11-24 14:15:00

2010-03-16 15:12:41

Linux系统

2018-03-22 13:01:58

2019-04-12 14:07:13

系统安全Linux账号安全

2011-03-23 14:11:15

安全Unix系统

2011-03-22 12:58:16

2011-05-16 10:23:21

2011-03-23 14:00:44

2011-05-16 10:13:51

Linux优化

2013-03-20 10:39:26

2009-10-15 13:21:49

网络布线系统

2017-07-06 15:50:08

2010-03-05 09:58:45

2014-06-27 14:25:45

2021-05-18 12:40:17

Linux指南安全

2011-03-22 16:45:00

点赞
收藏

51CTO技术栈公众号