管理信息系統(tǒng)Solaris安全配置基線

Solaris系統(tǒng)安全配置基線中國移動(dòng)通信有限公司管理信息系統(tǒng)部2009年1月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第1章概述 1目的 錯(cuò)誤!未定義書簽。適用范圍 錯(cuò)誤!未定義書簽。適用版本 錯(cuò)誤!未定義書簽。實(shí)施 錯(cuò)誤!未定義書簽。例外條款 錯(cuò)誤!未定義書簽。TOC\o"1-5"\h\z\o"CurrentDocument"第2章賬號(hào)管理、認(rèn)證授權(quán) 2\o"CurrentDocument"賬號(hào) 2\o"CurrentDocument"管理無關(guān)賬戶 2\o"CurrentDocument"限制超級(jí)用戶遠(yuǎn)程登錄 2\o"CurrentDocument"口令和認(rèn)證 3\o"CurrentDocument"口令長度 3口令生存期略 3\o"CurrentDocument"重復(fù)口令使用 4\o"CurrentDocument"認(rèn)證次數(shù) 4\o"CurrentDocument"用戶權(quán)利指派 5\o"CurrentDocument"訪問權(quán)限控制 5\o"CurrentDocument"FTP訪問權(quán)限 6\o"CurrentDocument"第3章日志配置操作 7\o"CurrentDocument"日志配置 7\o"CurrentDocument"用戶登錄記錄 7\o"CurrentDocument"日志功能配置 7\o"CurrentDocument"設(shè)備安全事件記錄 8遠(yuǎn)程日志 8\o"CurrentDocument"記錄不良嘗試 9\o"CurrentDocument"應(yīng)用或服務(wù)日志配置 9\o"CurrentDocument"第4章 IP協(xié)議安全配置 10\o"CurrentDocument"IP協(xié)議 10\o"CurrentDocument"IP安全機(jī)制 10主機(jī)系統(tǒng)禁止CMP重定向 10\o"CurrentDocument"第5章 設(shè)備其他配置操作 11\o"CurrentDocument"設(shè)備配置 11\o"CurrentDocument"對(duì)具備字符交互界面的設(shè)備配置定時(shí)帳戶自動(dòng)登.出 11\o"CurrentDocument"其他配置 11\o"CurrentDocument"從應(yīng)用層面進(jìn)行必要的安全訪問控制 11\o"CurrentDocument"限制root用戶只能從console口本地登錄。 12\o"CurrentDocument"設(shè)置eeprom安全密碼 12\o"CurrentDocument"關(guān)閉不需要服務(wù) 12\o"CurrentDocument"防止堆棧緩沖溢出. 13\o"CurrentDocument"關(guān)閉不在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載的進(jìn)程和服務(wù) 1315第6章評(píng)審與修訂15第1章概述1.1目的本文檔規(guī)定了中國移動(dòng)通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的SOLARIS操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行SOLARIS操作系統(tǒng)的安全合規(guī)性檢查和配置。1.2適用范本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動(dòng)總部和各省公司信息化部門維護(hù)管理 的SOLARIS服務(wù)器系統(tǒng)。1.3適用版本SOLARIS系列服務(wù)器；1.4實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件，說明業(yè)務(wù)需求和原因，送交中國移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。

第2章賬號(hào)管理、認(rèn)證授權(quán)2.1賬號(hào)2?1?1管理無關(guān)賬戶安全基線項(xiàng)目名稱操作系統(tǒng)Solaris無關(guān)賬戶安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-02-01-01安全基線項(xiàng)說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)。系統(tǒng)內(nèi)存在不可刪除的內(nèi)置賬號(hào)，包括root,bin等。檢測(cè)操作步驟使用刪除或鎖定的與工作無關(guān)的賬號(hào)登錄系統(tǒng)基線符合性判定依據(jù)需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。備注2.1.2限制超級(jí)用戶遠(yuǎn)程登錄安全基線項(xiàng)目名稱操作系統(tǒng)Solaris遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-02-01-02安全基線項(xiàng)說明限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作檢測(cè)操作步驟root從遠(yuǎn)程使用telnet登錄；普通用戶從遠(yuǎn)程使用telnet登錄；root從遠(yuǎn)程使用ssh登錄；普通用戶從遠(yuǎn)程使用ssh登錄基線符合性判定依據(jù)root遠(yuǎn)程登錄不成功，提示“Notonsystemconsole”；普通用戶可以登錄成功，而且可以切換到root用戶

2.2□令和認(rèn)證2.2.1口令長度安全基線項(xiàng)目名稱操作系統(tǒng)Solaris口令長度安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-02-02-01安全基線項(xiàng)說明對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少6位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類。檢測(cè)操作步驟1、檢查口令強(qiáng)度配置選項(xiàng)是否可以進(jìn)行如下配置：配置口令的最小長度；ii.將口令配置為強(qiáng)口令。2、 創(chuàng)建一個(gè)普通賬號(hào)，為用戶配置與用戶名相冋的口令、只包含字符或數(shù)字的簡單口令以及長度短于6位的口令，查看系統(tǒng)是否對(duì)口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號(hào)的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是口可以成功設(shè)置?；€符合性判定依據(jù)不符合密碼強(qiáng)度的時(shí)候，系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時(shí)候，可以成功設(shè)置；備注2.2.2口令生存期略安全基線項(xiàng)目名稱操作系統(tǒng)Solaris口令生存周期安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-02-02-02安全基線項(xiàng)說明對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長于90天。檢測(cè)操作步驟使用超過90天的帳戶口令登錄?；€符合性判定依據(jù)登錄不成功；

2.2.3重復(fù)口令使用安全基線項(xiàng)目名稱操作系統(tǒng)Solaris重復(fù)口令安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-02-02-03安全基線項(xiàng)說明對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。檢測(cè)操作步驟cat/etc/default/passwd，查看HISTORY設(shè)置?；€符合性判定依據(jù)HIST0RY=5備注2.2.4認(rèn)證次數(shù)安全基線項(xiàng)目名稱操作系統(tǒng)Solaris認(rèn)證次數(shù)安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-02-02-04安全基線項(xiàng)說明對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號(hào)。檢測(cè)操作步驟1、 當(dāng)本地用戶登陸失敗次數(shù)等于或者大于允許的重試次數(shù)則賬號(hào)被鎖定cat/etc/user_attrcat/etc/security/policy.conf查看LOCK_AFTER_RETRIES；2、 查看重試的次數(shù)：cat/etc/default/login查看RETRIESo基線符合性判定依據(jù)LOCK_AFTER_RETRIES=YESRETRIES=7

2.2.5用戶權(quán)利指派安全基線項(xiàng)目名稱操作系統(tǒng)Solaris用戶權(quán)力指派安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-02-02-05安全基線項(xiàng)說明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。檢測(cè)操作步驟1、 設(shè)備系統(tǒng)能夠提供用戶權(quán)限的配置選項(xiàng)，并記錄對(duì)用戶進(jìn)行權(quán)限配置是否必須在用戶創(chuàng)建時(shí)進(jìn)行；2、 記錄能夠配置的權(quán)限選項(xiàng)內(nèi)容；3、 所配置的權(quán)限規(guī)則應(yīng)能夠正確應(yīng)用，即用戶無法訪問授權(quán)范圍之外的系統(tǒng)資源，而可以訪問授權(quán)范圍之內(nèi)的系統(tǒng)資源?；€符合性判定依據(jù)/etc/passwd必須所有用戶都可讀，root用戶可與-rw-—r—/etc/shadow只有root可讀-r /etc/group必須所有用戶都可讀，root用戶可與-rw-—r—備注2.2.6訪問權(quán)限控制安全基線項(xiàng)目名稱操作系統(tǒng)Solaris訪問權(quán)限控制安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-02-02-06安全基線項(xiàng)說明控制用戶缺省訪問權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更咼限制。檢測(cè)操作步驟#cat/etc/default/login查看umask內(nèi)容基線符合性判定依據(jù)應(yīng)設(shè)置umask027備注

2.2.7FTP訪問權(quán)限安全基線項(xiàng)目名稱操作系統(tǒng)SolarisFTP訪問權(quán)限控制安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-02-02-07安全基線項(xiàng)說明控制FTP進(jìn)程缺省訪問權(quán)限，當(dāng)通過FTP服務(wù)創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。檢測(cè)操作步驟查看新建的文件或目錄的權(quán)限，操作舉例如下：#more/etc/ftpusers #Solaris8#more/etc/ftpd/ftpusers#Solaris10#more/etc/ftpaccess #Solaris8#more/etc/ftpd/ftpaccess#Solaris10基線符合性判定依據(jù)權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問允許權(quán)限被屏蔽掉補(bǔ)充說明查看#catftpusers說明：在這個(gè)列表里邊的用戶名是不允許ftp登陸的。應(yīng)包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4備注

第3章日志配置操作3.1日志配置3?1?1用戶登錄記錄安全基線項(xiàng)目名稱操作系統(tǒng)Solaris用戶登錄審計(jì)安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-03-01-01安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。檢測(cè)操作步驟查看文件：more/etc/default/login中的SYSLOG；/var/adm/wtmpx或者wtmp,wtmps文件中記錄著所有登錄過主機(jī)的用戶，時(shí)間，來源等內(nèi)容，該文件不具可讀性，可用last命令來看。#last基線符合性判定依據(jù)SYSLOG=YES列出用戶賬號(hào)、登錄是否成功、登錄時(shí)間、遠(yuǎn)程登錄時(shí)的IP地址備注3.1.2日志功能配置安全基線項(xiàng)目名稱操作系統(tǒng)Solaris日志功能配置安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-03-01-02安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的操作，包括但不限于以下內(nèi)容：賬號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。需記錄要包含用戶賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。檢測(cè)操作步驟#lastcomm[username]

基線符合性判定依據(jù)能夠顯示出包含配置內(nèi)容中所要求的全部內(nèi)容。備注3?1?3設(shè)備安全事件記錄安全基線項(xiàng)目名稱操作系統(tǒng)Solaris設(shè)備安全審計(jì)功能配置安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-03-01-03安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備相關(guān)的安全事件。檢測(cè)操作步驟查看配置文件vi/etc/syslog.conf.基線符合性判定依據(jù)應(yīng)配置如下類似語句：*.err;kern.debug;daemon.notice; /var/adm/messages定義為需要保存的設(shè)備相關(guān)安全事件備注3?1?4遠(yuǎn)程日志安全基線項(xiàng)目名稱操作系統(tǒng)Solaris遠(yuǎn)程日志安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-03-01-04安全基線項(xiàng)說明設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。檢測(cè)操作步驟查看配置文件vi/etc/syslog.conf.基線符合性判定依據(jù)應(yīng)配置類似一行：*.* @可以將"*.*"替換為你實(shí)際需要的日志信息。比如：kern.*/mail.*等等?？梢詫⒋颂幪鎿Q為實(shí)際的IP或域名。重新啟動(dòng)syslog服務(wù)，依次執(zhí)彳丁下列命令：/etc/init.d/syslogstop

/etc/init.d/syslogstart檢測(cè)操作查看日志服務(wù)器上的所收到的日志文件。備注3?1?5記錄不良嘗試安全基線項(xiàng)目名稱操作系統(tǒng)Solaris失敗操作申計(jì)安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-03-01-05安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，記錄用戶使用SU命令的情況，記錄不良的嘗試記錄。檢測(cè)操作步驟查看配置文件vi/etc/default/su,基線符合性判定依據(jù)SYSLOG=YES備注3?1?6應(yīng)用或服務(wù)日志配置安全基線項(xiàng)目名稱操作系統(tǒng)Solaris服務(wù)日志配置安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-03-01-06安全基線項(xiàng)說明系統(tǒng)上運(yùn)行的應(yīng)用/服務(wù)也應(yīng)該配置相應(yīng)日志選項(xiàng)，比如cron。檢測(cè)操作步驟查看配置文件vi/etc/default/cron,基線符合性判定依據(jù)應(yīng)包含設(shè)置”CRONLOG=yes"查看日志存放文件，如cron的日志：more/var/cron/log日志中能夠列出相應(yīng)的應(yīng)用/服務(wù)的詳細(xì)日志信息備注

第4章IP協(xié)議安全配置4.1IP協(xié)'議4?1?1IP安全機(jī)制安全基線項(xiàng)目名稱操作系統(tǒng)SolarisIP安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-04-01-01安全基線項(xiàng)說明對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議。檢測(cè)操作步驟查看SSH服務(wù)狀態(tài)：ps—elflgrepssh查看telnet服務(wù)狀態(tài)：ps-elflgreptelnet基線符合性判定依據(jù)SSH服務(wù)狀態(tài)查看結(jié)果為：onlinetelnet服務(wù)狀態(tài)查看結(jié)果為：disabled備注4.1.2主機(jī)系統(tǒng)禁止ICMP重定向安全基線項(xiàng)目名稱操作系統(tǒng)SolarisICMP重定向安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-04-01-02安全基線項(xiàng)說明主機(jī)系統(tǒng)應(yīng)該禁止ICMP重定向，米用靜態(tài)路由。檢測(cè)操作步驟查看/etc/rc2.d/S??inet內(nèi)容基線符合性判定依據(jù)應(yīng)包含ip_send_redirects=0備注

第5章設(shè)備其他配置操作5?1設(shè)備配置5?1?1對(duì)具備字符交互界面的設(shè)備配置定時(shí)帳戶自動(dòng)登出安全基線項(xiàng)目名稱操作系統(tǒng)Solaris自動(dòng)退出安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-05-01-01安全基線項(xiàng)說明對(duì)于具備字符交互界面的設(shè)備，應(yīng)配置定時(shí)帳戶自動(dòng)登出。檢測(cè)操作步驟查看用戶的.profile文件以及環(huán)境變量基線符合性判定依據(jù)應(yīng)包含$TMOUT=180;exportTMOUT類似配置；用root帳戶登錄后，在設(shè)定時(shí)間內(nèi)不進(jìn)行任何操作，檢查帳戶應(yīng)自動(dòng)退出。備注5.2其他配置5.2.1從應(yīng)用層面進(jìn)行必要的安全訪問控制安全基線項(xiàng)目名稱操作系統(tǒng)Solaris應(yīng)用層訪問控制安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-05-02-01安全基線項(xiàng)說明應(yīng)該從應(yīng)用層面進(jìn)行必要的安全訪問控制，比如FTP服務(wù)器應(yīng)該限制ftp可以使用的目錄范圍檢測(cè)操作步驟查看/etc/ftpaccess基線符合性判定依據(jù)應(yīng)包含restricted-uid*類似配置；root帳戶從遠(yuǎn)程訪問，訪問被禁止或被限制。備注

5.2.2限制root用戶只能從console口本地登錄。安全基線項(xiàng)目名稱操作系統(tǒng)Solarisroot訪問安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-05-02-01安全基線項(xiàng)說明對(duì)于具備console口的設(shè)備，限制root用戶只能從console口本地登錄。檢測(cè)操作步驟查看cat/etc/default/login基線符合性判定依據(jù)應(yīng)包含CONSOLE=/dev/console類似配置；備注5.2.3設(shè)置eeprom安全密碼安全基線項(xiàng)目名稱操作系統(tǒng)Solariseeprom密碼安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-05-02-03安全基線項(xiàng)說明設(shè)置eeprom安全密碼。檢測(cè)操作步驟#/usr/sbin/eeprom（顯示當(dāng)前eeprom配置）基線符合性判定依據(jù)顯示的級(jí)別配置為：security-mode=command對(duì)于一般用戶，從硬盤啟動(dòng)，不需要輸入密碼；如果選擇從光盤啟動(dòng)，則需要密碼。備注5.2.4關(guān)閉不需要服務(wù)安全基線項(xiàng)目名稱操作系統(tǒng)Solariseeprom密碼安全基線要求項(xiàng)安全基線編號(hào)SBL-Solaris-05-02-04安全基線項(xiàng)說明列出所需要服務(wù)的列表（包括所需的系統(tǒng)服務(wù)），不在此列表的服務(wù)需關(guān)閉。檢測(cè)操作步Solaris10查看所有開啟的服務(wù)：svcs-a

驟Solaris8查看所有開啟的服務(wù):cat/etc/inet/inetd.conf,cat/etc/inet/services基線符合性判定依據(jù)在/etc/in