Solaris操作系統(tǒng)安全防護(hù)基線配置要求

1、Solaris操作系統(tǒng)安全防護(hù)基線配置要求一、賬號(hào)編號(hào)：OS-Solaris-賬號(hào)-01要求內(nèi)容：應(yīng)按照不同的用戶分配不同的賬號(hào)操作指南：為用戶創(chuàng)建賬號(hào)：#useradd username# 創(chuàng)建賬號(hào)#passwd username #設(shè)置密碼修改權(quán)限：#chmod 750 directory #其中750為設(shè)置的權(quán)限，可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限,directory是要更改權(quán)限的目錄。使用該命令為不同的用戶分配不同的賬號(hào)，設(shè)置不同的口令及權(quán)限信息等。檢測(cè)方法：使用不同的賬號(hào)進(jìn)行登錄并進(jìn)行一些常用操作。判定條件:能夠登錄成功并且可以進(jìn)行常用操作。編號(hào)：OS-Solaris-賬號(hào)-02要求內(nèi)容：

2、應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)，刪除過(guò)期賬號(hào)操作指南：刪除用戶：#userdel username;鎖定用戶：1）修改/etc/shadow文件，用戶名后加*LK*2）將/etc/passwd文件中的shell域設(shè)置成/bin/false3）#passwd -l username只有具備超級(jí)用戶權(quán)限的使用者方可使用，#passwd-l username鎖定用戶，用#passwd d usernam e解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。 檢測(cè)方法：使用刪除或鎖定的與工作無(wú)關(guān)的賬號(hào)登錄系統(tǒng)。判定條件:被刪除或鎖定的賬號(hào)無(wú)法登錄成功。補(bǔ)充說(shuō)

3、明：需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。編號(hào)：OS-Solaris-賬號(hào)-03要求內(nèi)容：限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作操作指南：限制root遠(yuǎn)程telnet登錄：編輯/etc/default/login，加上：CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.限制root遠(yuǎn)程ssh登錄：修改/etc/ssh/sshd_con

4、fig文件，將PermitRootLogin yes改為PermitRootLogin no,重啟 sshd服務(wù)。Solaris 8上沒(méi)有該路徑/usr/local/etc下有該文件Solaris 9上有該路徑/文件重啟sshd服務(wù)：Solaris! 0 以前：#/etc/init.d/sshd stop#/etc/init.d/sshd startSolaris10：#svcadm disable ssh#svcadm enable ssh檢測(cè)方法：root從遠(yuǎn)程使用t elnet登錄；普通用戶從遠(yuǎn)程使用t elnet登錄；root從遠(yuǎn)程使用ssh登錄；普通用戶從遠(yuǎn)程使用s sh登錄。判定條

5、件:root遠(yuǎn)程登錄不成功，提示“Not on system console”普通用戶可以登錄成功，而且可以切換到。七用戶；補(bǔ)充說(shuō)明:Solaris8上默認(rèn)是沒(méi)有安裝ssh的，需要安裝軟件包。二、授權(quán)編號(hào)：OS-Solaris-授權(quán)-01要求內(nèi)容：在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限操作指南：通過(guò)c hmod命令對(duì)目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。檢測(cè)方法：1）利用管理員賬號(hào)登錄系統(tǒng)，并創(chuàng)建2個(gè)不同的用戶；2）創(chuàng)建用戶時(shí)查看系統(tǒng)是否提供了用戶權(quán)限級(jí)別以及可訪問(wèn)系統(tǒng)資源和命令的選項(xiàng)；3）為兩個(gè)用戶分別配置不同的權(quán)限，2個(gè)用戶的權(quán)限差異應(yīng)能夠分別在用戶權(quán)限級(jí)別、可訪問(wèn)系統(tǒng)資源以及可

6、用命令等方面予以體現(xiàn)；4）分別利用2個(gè)新建的賬號(hào)訪問(wèn)設(shè)備系統(tǒng)，并分別嘗試訪問(wèn)允許訪問(wèn)的內(nèi)容和不允許訪問(wèn)的 內(nèi)容，查看權(quán)限配置策略是否生效。判定條件:1）設(shè)備系統(tǒng)能夠提供用戶權(quán)限的配置選項(xiàng)，并記錄對(duì)用戶進(jìn)行權(quán)限配置是否必須在用戶創(chuàng) 建時(shí)進(jìn)行；2）記錄能夠配置的權(quán)限選項(xiàng)內(nèi)容；3）所配置的權(quán)限規(guī)則應(yīng)能夠正確應(yīng)用，即用戶無(wú)法訪問(wèn)授權(quán)范圍之外的系統(tǒng)資源，而可以 訪問(wèn)授權(quán)范圍之內(nèi)的系統(tǒng)資源。補(bǔ)充說(shuō)明:etc/passwd必須所有用戶都可讀，root戶可寫-rw-rr/etc/shadow 只有r。七可讀-r/etc/group必須所有用戶都可讀，roo戶可寫-rw-rr使用如下命令設(shè)置：chmod 644

7、 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有寫權(quán)限，就需移去組及其它用戶對(duì)/etc的寫權(quán)限（特殊情況除外）。執(zhí)行命令 #chmod -R go-w /etc編號(hào)：OS-Solaris-授權(quán)-02 要求內(nèi)容：控制用戶缺省訪問(wèn)權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問(wèn)允 許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制操作指南：設(shè)置默認(rèn)權(quán)限：vi /etc/default/login在 末尾增加 umask 027修改文件或目錄的權(quán)限，操作舉例如下：#chmod 444 dir ; #修

8、改目錄dir的權(quán)限為所有人都為只讀。根據(jù)實(shí)際情況設(shè)置權(quán)限。檢測(cè)方法：查看新建的文件或目錄的權(quán)限，操作舉例如下：#ls -l dir ;#查看目錄dir的權(quán)限#cat /etc/default/login 查看是否有umask 027內(nèi)容。判定條件:權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問(wèn)允許權(quán)限被屏蔽掉。補(bǔ)充說(shuō)明:如果用戶需要使用一個(gè)不同于默認(rèn)全局系統(tǒng)設(shè)置的umask，可以在需要的時(shí)候通過(guò)命令行設(shè) 置，或者在用戶的shell啟動(dòng)文件中配置。umask的默認(rèn)設(shè)置一般為022，這給新創(chuàng)建的文件默認(rèn)權(quán)限755（777-022=755），這會(huì)給文件 所有者讀、寫權(quán)限，但只給組成員和其他用戶讀權(quán)限。umask

9、的計(jì)算：umask是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置的，對(duì)于目錄，該值等于八進(jìn)制數(shù)據(jù)代碼 777減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值；對(duì)于文件，該值等于八進(jìn)制數(shù)據(jù)代碼666 減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值。編號(hào)：OS-Solaris-授權(quán)-03要求內(nèi)容：控制FTP進(jìn)程缺省訪問(wèn)權(quán)限，當(dāng)通過(guò)FTP服務(wù)創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問(wèn)允許權(quán)限操作指南：1）限制某些系統(tǒng)帳戶不準(zhǔn)ftp登錄：通過(guò)修改ftpusers文件，增加帳戶#vi /etc/ftpusers #Solaris 8#vi /etc/ftpd/ftpusers #Solaris 102）限制用戶可使用FTP不能用T

10、elnet，假如用戶為ftpxll創(chuàng)建一個(gè)/etc/shells文件，添加一行/bin/true；修改/etc/passwd文件，ftpxll:x:119:1:/home/ftpxll:/bin/true注：還需要把真實(shí)存在的shel】目錄加入/etc/shells文件，否則沒(méi)有用戶能夠登錄ftp。3）限制ftp用戶登陸后在自己當(dāng)前目錄下活動(dòng)編輯ftpaccess，加入如下一行r estricted-uid *（限制所有），restricted-uid username （特定用戶）ftpaccess文件與ftpusers文件在同一目錄。4）設(shè)置ftp用戶登錄后對(duì)文件目錄的存取權(quán)限，可編輯/e

11、 tc/ftpd/ftpaccess。chmodno guest,anonymousdelete no guest,anonymousoverwrite no guest,anonymousrenameno guest,anonymousumaskno anonymous檢測(cè)方法：查看新建的文件或目錄的權(quán)限，操作舉例如下：#more /etc/ftpusers #Solaris 8#more /etc/ftpd/ftpusers #Solaris 10#more /etc/passwd#more /etc/ftpaccess #Solaris 8#more /etc/ftpd/ftpacces

12、s #Solaris 10判定條件:權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問(wèn)允許權(quán)限被屏蔽掉。補(bǔ)充說(shuō)明:查看# cat ftpusers說(shuō)明：在這個(gè)列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4三、口令編號(hào)：OS-Solaris-口令-01要求內(nèi)容：對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母 和特殊符號(hào)4類中至少3類操作指南：vi /etc/default/passwd，修改設(shè)置如下PASSLENGTH = 8 #設(shè)定最小用戶密碼長(zhǎng)度為8位。MINALPHA

13、=2； MINNONALPHA=1 #表示至少包括兩個(gè)字母和一個(gè)非字母；具體設(shè)置可以 參看補(bǔ)充說(shuō)明。當(dāng)用roo t帳戶給用戶設(shè)定口令的時(shí)候不受任何限制，只要不超長(zhǎng)。檢測(cè)方法：檢查口令強(qiáng)度配置選項(xiàng)是否可以進(jìn)行如下配置：配置口令的最小長(zhǎng)度；將口令配置為強(qiáng)口令。創(chuàng)建一個(gè)普通賬號(hào)，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡(jiǎn)單口令以 及長(zhǎng)度短于8位的口令，查看系統(tǒng)是否對(duì)口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號(hào)的復(fù)雜 口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。判定條件:不符合密碼強(qiáng)度的時(shí)候，系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時(shí)候，可以成功設(shè)置。補(bǔ)充說(shuō)明:Solaris10默認(rèn)如下各行都被

14、注釋掉，并且數(shù)值設(shè)置和解釋如下：MINDIFF=3 # Minimum differences required between an old and a new password.MINALPHA=2 # Minimum number of alpha character required.MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required.MINUPPER=1 # Minimum number of upper case letters required.MINLOWER=

15、1 # Minimum number of lower case letters required.MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters.MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required.MINDIGIT=8 # Minimum number of digits required.WHITESPACE=YESSolaris8默認(rèn)沒(méi)有這部分的數(shù)值設(shè)置需要手工添加

16、。NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。對(duì)于Solaris 8以前的版本，PWLEN對(duì)應(yīng)PASSLENGTH等，需根據(jù)/etc/default/passwd文件說(shuō) 明確定。編號(hào)：OS-Solaris-口令-02要求內(nèi)容：對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期一般不長(zhǎng)于90天，最長(zhǎng)不超過(guò)180天。操作指南：vi /etc/default/passwd文 件：MAXWEEKS=13密碼的最大生存周期為13周；（Solaris 8&10）PWMAX= 90 #密碼的最大生存周期；（Solaris其它版本）檢測(cè)方法：使用超過(guò)90天的帳戶口令登錄；測(cè)試時(shí)可以將90天的設(shè)置縮短

17、來(lái)做測(cè)試；NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。判定條件:登陸不成功補(bǔ)充說(shuō)明:對(duì)于Solaris 8以前的版本，PWMIN對(duì)應(yīng)MINWEEKS,PWMAX對(duì)應(yīng)MAXWEEKS等，需根據(jù) /etc/default/passwd文 件說(shuō)明確定。NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。編號(hào)：OS-Solaris-口令-03要求內(nèi)容：對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令操作指南：vi /etc/default/passwd，修改設(shè)置如下：HISTORY=5檢測(cè)方法：cat /etc/default/passwd

18、，設(shè)置如下：HISTORY=5判定條件:設(shè)置密碼不成功補(bǔ)充說(shuō)明:2、補(bǔ)充操作說(shuō)明#HISTORY sets the number of prior password changes to keep and# check for a user when changing passwords. Setting the HISTORYvalue to zero (0), or removing/commenting out the flag willcause all users prior password history to be discarded at thenext password c

19、hange by any user. No password history willbe checked if the flag is not present or has zero value.The maximum value of HISTORY is 26.NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。默認(rèn)沒(méi)有HISTORY的標(biāo)記，即不記錄以前的密碼；編號(hào)：OS-Solaris-口令-04要求內(nèi)容：對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)5次（不含6次），鎖定該用戶使用的賬號(hào)操作指南：指定當(dāng)本地用戶登陸失敗次數(shù)等于或者大于允許的重試次數(shù)則賬號(hào)被鎖定：

20、vi /etc/user_attrvi /etc/security/policy.conf設(shè)置 LO CK_AFTER_RETRIES=YES設(shè)置重試的次數(shù)：vi /etc/default/login在文件中將RETRIES行前的#去掉，并將其值修改為RETRIES = 7。保存文件退出。檢測(cè)方法：創(chuàng)建一個(gè)普通賬號(hào)，為其配置相應(yīng)的口令；并用新建的賬號(hào)通過(guò)錯(cuò)誤的口令進(jìn)行系統(tǒng)登錄6次以上（不含6次）。判定條件:帳戶被鎖定，不再提示讓再次登錄。補(bǔ)充說(shuō)明:默認(rèn)值為：LOCK_AFTER_RETRIES=NOlock_after-retries=noRETRIES=5，即等于或大于5次時(shí)被鎖定。roo

21、t賬號(hào)也在鎖定的限制范圍內(nèi)，一旦的。七被鎖定，就需要光盤引導(dǎo)，因此該配置要慎用。NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。四、日志 編號(hào)：OS-Solaris-日志-01要求內(nèi)容：設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的小地址操作指南：查看文件：more /etc/default/login 中的SYSLOG=YES/var/adm/wtmpx或者wtmp,wtmps文件中記錄著所有登錄過(guò)主機(jī)的用戶，時(shí)間，來(lái)源等內(nèi)容， 該文件不具可讀性，可用l ast命令來(lái)看：# last檢測(cè)方法：查看文件：mor

22、e /etc/default/login 中的SYSLOG=YES/var/adm/wtmpx或者wtmp,wtmps文件中記錄著所有登錄過(guò)主機(jī)的用戶，時(shí)間，來(lái)源等內(nèi)容，該文件不具可讀性，可用last命令來(lái)看：# last判定條件:列出用戶賬號(hào)、登錄是否成功、登錄時(shí)間、遠(yuǎn)程登錄時(shí)的小地址。補(bǔ)充說(shuō)明:如果/var/adm/wtmpx或者可回?網(wǎng)回?、文件會(huì)增長(zhǎng)很快，大小達(dá)到2G以上，可先壓縮，F(xiàn)TP出 來(lái)后，刪除該文件，再創(chuàng)建空文件，一定要?jiǎng)?chuàng)建空文件，否則可能出現(xiàn)系統(tǒng)無(wú)法啟動(dòng)。編號(hào)：OS-Solaris-日志-02要求內(nèi)容：?jiǎn)⒂糜涗沜ron行為日志功能（可選）操作指南：對(duì)所有的cron行為進(jìn)行審

23、計(jì)：在/etc/default/cron里設(shè)置”CRONLOG=yes”來(lái)記錄corn的動(dòng)作。檢測(cè)方法：運(yùn)行 cat /etc/default/cron 查看CRONLOG狀態(tài)，并記錄。判定條件:CRONLOG=YES編號(hào)：OS-Solaris-日志-03要求內(nèi)容：設(shè)備應(yīng)配置權(quán)限，控制對(duì)日志文件讀取、修改和刪除等操作操作指南：修改文件權(quán)限：chmod 644 /var/adm/messageschmod 644 /var/adm/utmpxchmod 644 /var/adm/wmtpxchmod 600 /var/adm/sulog檢測(cè)方法：查看syslog.conf文件中配置的日志存放文件

24、：more /etc/syslog.conf使用lsl/var/adm查看的目錄下日志文件的權(quán)限，messages、utmpx、wmtpx的權(quán)限應(yīng)為644,如下所示：-rw-r-r-1 rootrootmessage-rw-r-r-1 rootbinutmpx-rw-r-r-1 admadmwtmpxsulog的權(quán)限應(yīng)為600，如下所示：-rw1 rootrootsulog判定條件：沒(méi)有相應(yīng)權(quán)限的用戶不能查看或刪除日志文件。補(bǔ)充說(shuō)明:對(duì)于其他日志文件，也應(yīng)該設(shè)置適當(dāng)?shù)臋?quán)限，如登錄失敗事件的日志、操作日志，具體文件 查看syslog.conf中的配置。五、遠(yuǎn)程維護(hù)編號(hào)：OS-Solaris-遠(yuǎn)程

25、維護(hù)-01要求內(nèi)容：對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，禁止使用telnet等明文傳輸協(xié)議進(jìn)行遠(yuǎn)程維護(hù)操作指南：Solaris 10以前的版本需另外安裝，才能使用SSH。Solaris 10啟用 SSH的命令：svcadm enable sshSolaris 10禁用 Telnet的命令：svcadm disable telnetSolaris 8 如果安裝openssh正?？梢酝ㄟ^(guò) #/etc/init.d/sshd start來(lái) 啟動(dòng) SSH;通過(guò) #/etc/init.d/sshd stop來(lái) 停止 SSH查看SSH服務(wù)狀態(tài)：# ps -elflgrep

26、ssh查看 11眼1;服務(wù)狀態(tài)：# ps -elflgrep telnet判定條件:pselflgrep ssh是否有s sh進(jìn)程存在Solaris 10 還可以通過(guò)命令# svcs -a Igrep sshSSH服務(wù)狀態(tài)查看結(jié)果為：onlinetelnet服務(wù)狀態(tài)查看結(jié)果為：disabled補(bǔ)充說(shuō)明:查看SSH服務(wù)狀態(tài)：# pself|grep sshSolaris 10還可以通過(guò)命令：# svcs -a |grep ssh 若為online，即為生效。查看SSH服務(wù)狀態(tài)Solaris 10還可以使用# svcs -a |grep ssh查看te1net服務(wù)狀態(tài)，Solaris 10還可以使

27、用 # svcs -a |grep telnet六、安全補(bǔ)丁編號(hào)：OS-Solaris-安全補(bǔ)丁-01要求內(nèi)容：在保證業(yè)務(wù)可用性的前提下，經(jīng)過(guò)分析測(cè)試后，可以選擇更新使用最新版本的補(bǔ)??；操作指南：Solaris提供了兩個(gè)命令來(lái)管理補(bǔ)丁，Patchadd和patchrm。這兩個(gè)命令是在Solaris 2.6版本開始提供的，在2.6以前的版本中，每個(gè)補(bǔ)丁包中都提供了一 個(gè)installpatc程序和一個(gè)backoutpatch程序來(lái)完成補(bǔ)丁的安裝和卸載。注意：由于在安裝Patch時(shí)需要更新文件，故此Solari s官方推薦在安裝補(bǔ)丁時(shí)進(jìn)入單用戶模 式安裝。例如：cd /var/tmppatchad

28、d 110668-04檢測(cè)方法：#showrevp命令檢補(bǔ)丁號(hào)。判定條件:查看最新的補(bǔ)丁號(hào)，確認(rèn)已打上了最新補(bǔ)丁。七、不必要的服務(wù)要求內(nèi)容：關(guān)閉不必要的服務(wù)操作指南：查看所有開啟的服務(wù)：#pseaf#svcsa Solaris 10在inetd.conf中關(guān)閉不用的服務(wù)首先復(fù)制/etc/inet/inetd.conf。#cp /etc/inet/inetd.conf/etc/inet/inetd.conf.backup然后用vi編輯器編輯inetd.conf文件，對(duì)于需要注釋掉的服務(wù)在相應(yīng) 行開頭標(biāo)記#字符，重啟inetd服務(wù)，即可。對(duì)于Solaris 10，直接關(guān)閉某個(gè)服務(wù)，如t elnet

29、,可用如下命令：svcadm disable svc:/network/telnet重新啟用該服務(wù)，使用命令：svcadm enable svc:/network/telnetSolaris8 修改 /etc/inet/inetd.conf和 /etc/inet/services文 件，注釋掉對(duì)應(yīng)的服務(wù)以及 TCP/IP 端口，重啟 inetd進(jìn)程：kill -HUP 檢測(cè)方法：Solaris10查看所有開啟的服務(wù)：svcsaSolaris8 查看所有開啟的服務(wù):cat /etc/inet/inetd.conf,cat /etc/inet/services判定條件:所需的服務(wù)都列出來(lái)；沒(méi)有不必

30、要的服務(wù)。補(bǔ)充說(shuō)明:可根據(jù)具體應(yīng)用情況參考附表3,篩選不必要的服務(wù)。并在/etc/inetd.conf文件中建議禁止不必要的基本網(wǎng)絡(luò)服務(wù)。注意：改變了 “inetd.conf”文件之后，需要重新啟動(dòng)inetd。對(duì)必須提供的服務(wù)采用坪可2?。1來(lái)保護(hù)。在/etc/inetd.conf文件中禁止不必要的基本網(wǎng)絡(luò)服務(wù)。八、系統(tǒng)Banner設(shè)置編號(hào)：OS-Solaris-系統(tǒng)Banner設(shè)置-01要求內(nèi)容：修改系統(tǒng)banner，避免泄漏操作系統(tǒng)名稱，版本號(hào)，主機(jī)名稱等，并且給出登陸告警信息操作指南：用。七用戶登陸SOLARIS系統(tǒng)，使用vi編輯器編輯/etc/motd文件，在motd文件里的刪除系統(tǒng)

31、明感的信息。判斷 /etc/motd文 件。九、FTP設(shè)置編號(hào)：OS-Solaris- FTP設(shè)置-01要求內(nèi)容：禁止root登陸FTP操作指南：在文件/etc/ftpusers中增加超級(jí)用戶，然后讓inetd重新讀配置文件。檢測(cè)方法：查看/etc/ftpusers文件中是否存在root。編號(hào)：OS-Solaris- FTP設(shè)置-02要求內(nèi)容：禁止匿名ftp操作指南：不要使用匿名ftp，只需在文件/etc/passwd中把ftp用戶注釋掉即可。檢測(cè)方法：查看/etc/passwd文件中是否存在FTP 編號(hào)：OS-Solaris- FTP設(shè)置-03要求內(nèi)容：修改FTP banner信息操作指南：如果系統(tǒng)存在/etc/default/ftpd文件，把ftpd文件里的BANNER=字段設(shè)置為空或其它不明感 的字符。如果/etc/default/ftpd文件不存在，創(chuàng)建/etc/default/ftpd文件，在ftpd文件里寫入 BANNER=。檢測(cè)方法：BANNER=內(nèi)容不包括FTP或版本的敏感信息。判定條件