鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 操作系统维护 > solaris > >

Solaris系统安全加固列表(1)

来源:互联网 作者:佚名 时间:2015-06-03 08:40
一 安全理念 安全的隐患更多来自于企业内部 对于管理员的要求 不要信任任何人 分层保护策略 假设某些安全保护层完全失效 服务最小化 为最坏的情况做打算 二 物理安全 记录进出机房的人员名单 考虑安装摄像机 审查PROM是否被更换 可以通过记录hostid进行比较

   一安全理念
安全的隐患更多来自于企业内部
对于管理员的要求不要信任任何人
分层保护策略假设某些安全保护层完全失效
服务最小化
为最坏的情况做打算

物理安全
记录进出机房的人员名单考虑安装摄像机
审查PROM是否被更换可以通过记录hostid进行比较
每个系统的OpenBoot口令应该不一样口令方案不可预测
系统安装完毕移除CDROM
将版本介质放入不在本场地的介质储藏室中

账号与口令策略
超级用户的PATH(在/profile中定义的)设置为
PATH = /usr/bin:/sbin:/usr/sbin
任何用户的PATH或者LD_LIBRARY_PATH中都不应该包含
口令文件影像文件组文件
/etc/passwd 必须所有用户都可读root用户可写 –rwr—r—
/etc/shadow 只有root可读 –r
/etc/group 必须所有用户都可读root用户可写 –rwr—r
口令安全
Solaris强制口令最少但是超级用户修改口令的时候不受这个限制
强迫test账号每隔天修改一次口令
#passwd –n test
强迫test账号在下次登录的时候修改口令
#passwd –f test
禁止test账号修改口令
#passwd –n –x test
封锁test账号禁止登录
#passwd –l test
组口令
用newgrp <group>命令临时改变gid
由于sysadmin组可执行admintool必须要保护好增加组口令的过程
删除不需要的成员(如果成员属于sysadmin改变组时不需要口令)
#passwd <user> (通常封锁的账号)
提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段
封锁user账号
修改口令策略
/etc/default/passwd文件
MAXWEEKS= 口令至少每隔星期更改一次
MINWEEKS= 口令至多每隔星期更改一次
WARNWEEKS= 修改口令后第三个星期会收到快要修改口令的信息
PASSLENGTH= 用户口令长度不少于个字符
限制使用su的组(只允许sysadmin组执行su命令)
#chgrp sysadmin /bin/su
#chmod orwx /bin/su
su的纪录
/etc/default/su文件
SULOG=/var/adm/sulog
SYSLOG=YES
CONSOLE=/dev/console
PATH=/usr/bin:
SUPATH=/usr/sbin:/usr/bin
禁止root远程登录
/etc/default/login中设置CONSOLE=/dev/null
在/etc/ftpusers里加上root
在SSH 配置文件加permitRootLogin = no
(Solaris 自带SSH缺省就禁止root登陆对 Solaris /etc/ftpusers 不再使用FTP配置文件都在 /etc/ftpd/ 下面如果 ftpd 启动时存在 /etc/ftpusers它会被移动到 /etc/ftpd/下)

网友评论
<