Solaris系统加固手册

序号加固模块加固项说明操作目的1查看系统信息查看内核信息uname-a查看系统信息showrev-a查看补丁信息showrev-p查看主机名hostname查看网络配置ifconfig-a查看路由表netstat-nr查看开放端口netstat-an查看当前进程ps-eaf2账号禁用无用账号减少系统无用账号，降低风险3账号添加口令策略加强口令的复杂度等，降低被猜解的可能性4账号禁止root远程登录禁止root远程通过telnet和SSH直接登录5账号限制FTP登录禁止不必要的用户登录FTP服务，降低风险6服务关闭不必要的inetd服务关闭不必要的inetd服务，降低风险7服务关闭其他不必要的服务关闭其他不必要的服务8服务查看NFS共享查看NFS共享9服务检查SSH服务对SSH服务进行安全检查10服务检查.rhosts和/etc/hosts.equiv文件检查.rhosts和/etc/hosts.equiv文件配置错误将导致非授权的访问11内核参数内核参数防止缓冲区溢出12文件系统设置UMASK值设置默认的UMASK值，增强安全性13文件系统设置登录超时设置系统登录后，连接超时时间，增强安全性14日志系统日志查看系统是否启用日志15日志su日志查看su是否启用日志16日志cron日志查看cron是否启用日志检查方法加固方法业务影响局方配合事项使用命令“cat/etc/passwd”查看口令文件，与系统管理员确认不必要的账号，进行锁定锁定：“passwd–l用户名”如果错误禁止合法账户，可能会影响此账户的相关应用确认账户白名单或者黑名单使用命令“cat/etc/default/passwd”查看配置文件使用命令“vi/etc/default/passwd”修改配置文件，有选择的修改以下策略PASSLENGTH=6#设定密码最短6位MINALPHA=2#密码至少包含两个字母MINNONALPHA=1#密码至少包含一个非字母MAXWEEKS=13#密码最多使用13周HISTORY＝5#密码不能使用最近5次用过的更改策略后可能需修改部分帐号的口令，，而调用这些帐号和密码的程序会受此影响确认是否有部分帐号被某些程序调用使用命令“cat/etc/default/login”查看配置文件，检查是否有“CONSOLE=/dev/console”使用命令“vi/etc/default/login”修改配置文件，添加“CONSOLE=/dev/console”，禁止root远程不能通过telnet和SSH直接登录确认root不需要通过telnet和SSH直接登录使用命令“cat/etc/ftpusers”查看配置文件，确认是否包含用户名，这些用户名不允许登录FTP服务使用命令“vi/etc/ftpusers”修改配置文件，添加行，每行包含一个用户名，禁止此用户登录FTP服务影响部分用户的登录确认登录FTP账户白名单或者黑名单Solaris8、9以前使用命令“cat/etc/inetd.conf”查看配置文件，查看以“echo、discard、datetime、chargen、login(rlogin)、shell(rsh)、exec(rexec)、fingerd、comsat、talk、uucp、lp、kerbd”等开头的服务是否被注释Solaris10使用命令“inetadm”查看inetd服务Solaris8、9以前使用命令“vi/etc/inetd.conf”修改配置文件，在不需要的服务前加注释“#”，重新启动inetd服务Solaris10使用命令“inetadm–dtelnet”禁用telnet服务影响部分用户使用该服务确认不需要的服务名单Solaris8、9可以查看/etc/rc2.d/和/etc/rc3.d/目录下以字母“S”开头的服务，为系统开机启动的服务Solaris10使用命令“svcs–a|greponline”查看系统开机启动的服务Solaris8、9停止服务，设置开机不启动，修改文件前，备份该文件，例如：sendmail服务/etc/init.d/sendmailstopmv/etc/rc2.d/S88sendmail/etc/rc2.d/s88sendmailmv/etc/rc3.d/S88sendmail/etc/rc3.d/s88sendmailSolaris10svcadmdisablesendmail影响部分用户使用该服务确认不需要的服务名单使用命令“exportfs”查看NFS输出的共享目录使用命令“vi/etc/exports”编辑配置文件，用“#”号注释不必要的共享影响部分用户使用NFS服务确认是否需要使用NFS服务使用命令“cat/etc/ssh/sshd_config”查看配置文件（1）检查是否允许root直接登录检查“PermitRootLogin”的值是否为no（2）检查SSH使用的协议版本检查“Protocol”的值（3）检查允许密码错误次数，超过后断开连接检查“MaxAuthTries”的值使用命令“vi/etc/ssh/sshd_config”编辑配置文件（1）不允许root直接登录设置“PermitRootLogin”的值为no（2）修改SSH使用的协议版本设置“Protocol”的版本为2（3）修改允许密码错误次数设置“MaxAuthTries”的值为3影响root用户使用SSH登录确认是否需要root使用SSH远程登录1）使用“find/-name.rhosts-print”查找.rhosts文件，若.rhosts文件中包含远程主机名，则代表允许该主机通过rlogin等方式登录本机；如果包含两个加号，代表任何主机都可以无需用户名口令登录本机（2）使用“cat/etc/hosts.equiv”查看配置文件，若包含远程主机名，则代表允许该主机远程登录本机使用命令“vi.rhosts”和“vi/etc/hosts.equiv”修改配置文件，正确进行授权影响远程主机的访问确认信任主机名单查看文件“cat/etc/system”，检查参数setnoexec_user_stack=1使用命令“vi/etc/system”修改文件，设置上述两行参数使用命令“umask”查看值是否为027使用命令“vi/etc/default/login”修改配置文件，添加行“umask027”，即新创建的文件属主读写执行权限，同组用户读和执行权限，其他用户无权限，使用命令“umask027”应用设置影响用户访问不同组用户所创建的文件确认是否需要使用命令“set|grepTMOUT”查看TMOUT是否被设置使用命令“vi/etc/profile”修改配置文件，取消“#TMOUT=”行开头的注释，设置为“TMOUT=180”，即超时时间为3分超过时间阀值后需重新登录查看配置文件“cat/etc/default/login”，检查参数SYSLOG是否设置为YES使用命令“vi/etc/default/login”修改配置文件，设置“SYSLOG=YES”，日志将记录到/var/adm/messages查看配置文件“cat/etc/default/su”，检查参数SYSLOG是否设置为YES使用命令“vi/etc/default/su”修改配置文件，设置“SYSLOG=YES”，日志将记录到查看配置文件“cat/etc/default/cron”，检查参数CRONLOG是否设置为YES使用命令“vi/etc/default/cron”修改配置文件，设置“CRONLOG=YES”，日志将记录到/var/cron/log回退步骤备注查看系统信息，无需操作和回退解锁：“passwd–u用户名”使用命令“vi/etc/default/passwd”修改配置文件，恢复所需策略使用命令“vi/etc/default/login”修改配置文件，注释“CONSOLE=/dev/console”使用命令“vi/etc/ftpusers”修改配置文件，删除需要登录的FTP帐号名，启用此用户登录FTP服务使用命令“vi/etc/inetd.conf”修改配置文件，在所需的服务的行开头删除注释符号“#”，修改后启动inetd服务Solaris10使用命令“inetadm–etelnet”启用telnet服务Solaris8、9启明服务，设置开机启动，例如：sendmail服务/etc/init.d/sendmailstart恢复所需服务文件Solaris10svcadmrestartsendmail使用命令“vi/etc/exports”编辑配置文件，删除“#”号注释必要的共享使用命令“vi/etc/ssh/sshd_config”编辑配置文件（1）不允许root直接登录设置“PermitRootLogin”的值为yes恢复原备份的.rhosts和/etc/hosts.equiv文件使用命令“vi/etc/system”修改文件，注释上述两行参数使用命令“vi/etc/profile”修改配置文件，删除行“UMASK027”使用命令“vi/etc/profile”修改配置文件，添加“#TMOUT=”行开头的注释使用命令“vi/etc/default/login”修改配置文件，设置“SYSLOG=NO”，不进行记录使用命令“vi/etc/default/su”修改配置文件，设置“SYSLOG=NO”，不进行记录使用命令“vi/etc/default/cron”修改配置文件，设置“CRONLOG=NO”，不进行记录