下载文档原格式
Solaris系统基准安全配置标准TMT中国业务中心信息管理部2006年12月5日目的通过建立系统的安全基线标准,规范TMT中国业务中心网络环境Solaris系统服务器的安全配置,并提供相应的指导;降低系统存在的安全风险,确保服务器系统安全可靠的运行。
范围适合TMT中国业务中心网络环境的所有Solaris系统服务器。
标准维护与解释1.本标准由TMT中国业务中心每年审视1次,根据审视结果修订标准,并颁布执行;2.本标准的解释权归TMT中国业务中心;3.本标准自签发之日起生效。
目录1.优化网络服务 (4)1.1.禁用不必要的系统服务 (4)1.2.卸载或禁用网络服务 (4)2.核心参数调整 (5)2.1..堆栈保护 (5)2.2.网络参数调整 (5)3.日志审计 (6)3.1.启用INETD审计 (6)3.2.启用FTP日志 (6)3.3.记录FTP和INETD连接信息 (6)3.4.记录发送到SYSLOG的MESSAGES信息 (6)3.5.创建/V AR/ADM/LOGINLOG (7)3.6.启用CRON日志记录 (7)3.7.配置系统日志文件权限 (7)4.文件和目录权限 (8)4.1.修改PASSWD、SHADOW、GROUP文件权限为600 (8)4.2.删除没有属主的文件和目录 (8)5.系统访问,认证与授权 (8)5.1.去除/ETC/PAM.CONF文件中的.RHOSTS (8)5.2.删除空的CRONTAB文件,并限制其权限 (9)5.3.只允许ROOT可配置CRON (9)5.4.设置帐号错误口令尝试次数 (9)6.用户帐号和环境 (10)6.1.确保没有空口令(/薄弱口令)帐号 (10)6.2.设置口令期限 (10)6.3.确保除ROOT以外没有其它UID为0的帐号存在 (10)6.4.确保在ROOT $PATH中没有'.'或全局可写目录 (11)6.5.删除.NETRC文件 (11)如果可以,最好将操作系统升级到最新的Solaris 10版本,以下操作说明适用于Solaris 10平台。
Oracle®Solaris10安全准则文件号码E38845–022013年6月版权所有©2011,2013,Oracle和/或其附属公司。
保留所有权利。
本软件和相关文档是根据许可证协议提供的,该许可证协议中规定了关于使用和公开本软件和相关文档的各种限制,并受知识产权法的保护。
除非在许可证协议中明确许可或适用法律明确授权,否则不得以任何形式、任何方式使用、拷贝、复制、翻译、广播、修改、授权、传播、分发、展示、执行、发布或显示本软件和相关文档的任何部分。
除非法律要求实现互操作,否则严禁对本软件进行逆向工程设计、反汇编或反编译。
此文档所含信息可能随时被修改,恕不另行通知,我们不保证该信息没有错误。
如果贵方发现任何问题,请书面通知我们。
如果将本软件或相关文档交付给美国政府,或者交付给以美国政府名义获得许可证的任何机构,必须符合以下规定:ERNMENT END USERS:Oracle programs,including any operating system,integrated software,any programs installed on the hardware,and/or documentation,delivered to U.S. Government end users are"commercial computer software"pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations.As such,use,duplication,disclosure,modification,and adaptation of the programs,including any operating system,integrated software,any programs installed on the hardware,and/or documentation,shall be subject to license terms and license restrictions applicable to the programs.No other rights are granted to the ernment.本软件或硬件是为了在各种信息管理应用领域内的一般使用而开发的。
Solaris主机操作系统加固规范2010年9月目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1SHG-Solaris-01-01-01 (1)1.1.2SHG-Solaris-01-01-02 (2)1.1.3SHG-Solaris-01-01-03 (3)1.1.4SHG-Solaris-01-01-04 (4)1.1.5SHG-Solaris-01-01-05 (5)1.2口令 (6)1.2.1SHG-Solaris-01-02-01 (6)1.2.2SHG-Solaris-01-02-02 (7)1.2.3SHG-Solaris-01-02-03 (8)1.2.4SHG-Solaris-01-02-04 (9)1.2.5SHG-Solaris-01-02-05 (10)1.3授权 (12)1.3.1SHG-Solaris-01-03-01 (12)1.3.2SHG-Solaris-01-03-02 (13)1.3.3SHG-Solaris-01-03-03 (15)1.3.4SHG-Solaris-01-03-04 (17)1.3.5SHG-Solaris-01-03-05 (18)1.3.6SHG-Solaris-01-03-06 (18)1.3.7SHG-Solaris-01-03-07 (19)2日志配置 (20)2.1.1SHG-Solaris-02-01-01 (20)2.1.2SHG-Solaris-02-01-02 (21)2.1.3SHG-Solaris-02-01-03 (22)2.1.4SHG-Solaris-02-01-04 (23)2.1.5SHG-Solaris-02-01-05 (24)2.1.6SHG-Solaris-02-01-06 (25)2.1.7SHG-Solaris-02-01-07 (26)3通信协议 (27)3.1IP协议安全 (27)3.1.1SHG-Solaris-03-01-01 (27)3.1.2SHG-Solaris-03-01-02 (28)3.1.3SHG-Solaris-03-01-03 (29)3.1.4SHG-Solaris-03-01-04 (30)3.2路由协议安全 (31)3.2.1SHG-Solaris-03-02-01 (31)3.2.2SHG-Solaris-03-02-02 (32)4设备其他安全要求 (34)4.1补丁管理 (34)4.1.1SHG-Solaris-04-01-01 (34)4.1.2SHG-Solaris-04-01-02 (35)4.2服务进程和启动 (37)4.2.1SHG-Solaris-04-02-01 (37)4.2.2SHG-Solaris-04-02-02 (39)4.2.3SHG-Solaris-04-02-03 (40)4.2.4SHG-Solaris-04-02-04 (41)4.2.5SHG-Solaris-04-02-05 (42)4.2.6SHG-Solaris-04-02-06 (43)4.2.7SHG-Solaris-04-02-07 (43)4.3B ANNER与屏幕保护 (44)4.3.1SHG-Solaris-04-03-01 (44)4.3.2SHG-Solaris-04-03-02 (45)4.4内核调整 (46)4.4.1SHG-Solaris-04-04-01 (46)4.4.2SHG-Solaris-04-04-02 (47)5附录:SOLARIS可被利用的漏洞(截止2009-3-8) (48)本文档是Solaris 操作系统的对于Solaris操作系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的43项安全配置要求,对系统的安全配置审计、加固操作起到指导性作用。
安全加固实施方案一、安全加固的必要性。
随着网络攻击手段的不断升级,传统的防御手段已经无法满足当前的安全需求。
因此,安全加固实施方案的制定和执行显得尤为重要。
通过对系统进行全面的安全加固,可以有效地提高系统的抵御能力,保护重要数据和信息不被泄露或篡改,确保系统的稳定和可靠运行。
二、安全加固实施方案的基本原则。
1.全面性,安全加固实施方案应该覆盖系统的各个方面,包括网络安全、主机安全、应用安全等,确保整个系统的安全性。
2.针对性,针对系统的实际情况和存在的安全隐患,有针对性地进行加固,避免盲目行动和资源浪费。
3.持续性,安全加固工作不是一次性的,而是一个持续的过程。
需要定期对系统进行安全检查和评估,及时发现和修复安全漏洞。
三、安全加固实施方案的具体措施。
1.网络安全加固,包括防火墙的设置、入侵检测系统的部署、安全策略的制定等,确保网络的安全可靠。
2.主机安全加固,包括对服务器的加固、操作系统的安全配置、安全补丁的安装等,保障主机的安全性。
3.应用安全加固,包括对各类应用程序的安全配置、权限管理的加固、安全加固工具的使用等,防止应用程序被攻击。
4.数据安全加固,包括对重要数据的加密、备份和恢复机制的建立等,确保数据的安全性和完整性。
四、安全加固实施方案的执行步骤。
1.安全评估,对系统的安全性进行全面评估,找出存在的安全隐患和问题。
2.制定方案,根据评估结果,制定针对性的安全加固实施方案,明确具体的加固措施和执行步骤。
3.实施措施,按照制定的方案,逐步执行安全加固措施,确保每一项措施都得到有效执行。
4.监控和评估,对加固后的系统进行监控和评估,发现问题及时处理,确保系统的安全性。
五、安全加固实施方案的效果评估。
安全加固实施方案的最终目的是提高系统的安全性,保护重要数据和信息不被泄露或篡改。
因此,在执行完安全加固实施方案后,需要对系统的安全性进行全面评估,验证加固措施的有效性和系统的安全性能。
只有在经过充分的评估和验证后,才能确保安全加固实施方案的有效性和可靠性。
中国移动公司--S o l a r i s操作系统安全配置规范S p e c i f i c a t i o n f o r S o l a r i s O SC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号:2.0.0X X X X-X X-X X发布X X X X-X X-X X实施中国移动通信有限公司网络部目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明 (1)1.3外部引用说明 (3)1.4术语和定义 (3)1.5符号和缩略语 (3)2SOLARIS设备安全配置要求 (3)2.1账号管理、认证授权 (3)2.1.1账号 (3)2.1.2口令 (6)2.1.3授权 (11)2.2日志配置要求 (14)2.3IP协议安全配置要求 (18)2.3.1IP协议安全 (18)2.3.2路由协议安全 (22)2.4设备其他安全配置要求 (24)2.4.1屏幕保护 (24)2.4.2文件系统及访问权限 (25)2.4.3物理端口及EEPROM的口令设置 (26)2.4.4补丁管理 (27)2.4.5服务 (28)2.4.6内核调整 (31)2.4.7启动项 (32)3编制历史 (33)前言本为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。
本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本标准起草单位:中国移动通信有限公司网络部、中国移动集团重庆公司。
本标准解释单位:同提出单位。
本标准主要起草人:邓光艳、陈敏时、周智、曹一生。
1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用SOLARIS操作系统的设备。
安全加固技术方案1. 引言随着互联网和信息技术的快速发展,网络安全问题愈发突出。
恶意攻击、数据泄露和网络入侵事件频繁发生,给个人和组织带来了极大的损失。
为了保障信息系统的安全性,组织需要采取有效的安全加固技术方案来提高系统的安全性和防御能力。
本文将介绍一些常见的安全加固技术方案,包括操作系统安全加固、网络安全加固和应用安全加固。
这些技术方案可以帮助组织提高信息系统的防护能力,减少安全风险。
2. 操作系统安全加固操作系统是信息系统的基础,其安全性对整个系统的安全性至关重要。
操作系统的安全加固主要包括以下几个方面:2.1 更新和打补丁及时更新操作系统和相关软件的补丁是保障系统安全的重要措施。
厂商会不断修复操作系统和软件的安全漏洞,并发布相应的补丁。
及时安装这些补丁可以修复已知的安全漏洞,提高系统的安全性。
2.2 禁用不必要的服务和功能为了减少攻击面,应禁用不必要的服务和功能。
操作系统提供了很多服务和功能,但并非所有都是必需的。
可以通过关闭不必要的服务和功能来减少潜在的安全风险。
2.3 强化账户和密码策略强化账户和密码策略是提高系统安全性的重要手段。
应采取以下措施:•禁用或删除默认账户;•使用复杂密码,并定期更改密码;•启用账户锁定功能,限制密码尝试次数;•配置账户访问权限,避免普通用户拥有管理员权限。
2.4 配置访问控制和防火墙配置适当的访问控制和防火墙规则可以防止未经授权的访问和网络攻击。
可以使用网络防火墙、主机防火墙和入侵检测系统等技术来监控和保护系统的网络流量。
3. 网络安全加固除了操作系统安全加固外,网络安全加固也是关键的一环。
以下是一些网络安全加固的技术方案:3.1 网络分段和 VLAN通过将局域网划分为多个子网,可以减少网络攻击的影响范围。
使用虚拟局域网(VLAN)可以将不同的设备划分到不同的虚拟网络中,从而进一步增强网络的安全性。
3.2 VPN(Virtual Private Network)使用VPN可以在公共网络上建立一个安全的连接,实现远程访问和数据传输的安全性。
Solaris系统安全加固的列表2007-12-22 作者:bitsCN整理来源:中国网管联盟点评投稿收藏收藏到:一、安全理念1、安全的隐患更多来自于企业内部2、对于管理员的要求:不要信任任何人3、分层保护策略:假设某些安全保护层完全失效4、服务最小化5、为最坏的情况做打算二、物理安全1、记录进出机房的人员名单,考虑安装摄像机2、审查PROM是否被更换,可以通过记录hostid进行比较3、每个系统的OpenBoot口令应该不一样,口令方案不可预测4、系统安装完毕移除CD-ROM5、将版本介质放入不在本场地的介质储藏室中三、账号与口令策略1、超级用户的PA TH(在/.profile中定义的)设置为:PATH = /usr/bin:/sbin:/usr/sbin任何用户的PATH或者LD_LIBRARY_PATH中都不应该包含“.”2、口令文件、影像文件、组文件/etc/passwd 必须所有用户都可读,root用户可写–rw-r—r—/etc/shadow 只有root可读–r--------/etc/group 必须所有用户都可读,root用户可写–rw-r—r--3、口令安全中国网管联盟solaris强制口令最少6位,但是超级用户修改口令的时候不受这个限制强迫test账号每隔30天修改一次口令#passwd –n 30 test强迫test账号在下次登录的时候修改口令#passwd –f test禁止test账号修改口令#passwd –n 2 –x 1 test封锁test账号,禁止登录#passwd –l test4、组口令用newgrp 命令临时改变gid由于sysadmin组可执行admintool,必须要保护好,增加组口令的过程:删除不需要的成员(如果成员属于sysadmin,改变组时不需要口令)#passwd (通常封锁的账号)提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段封锁user账号5、修改口令策略/etc/default/passwd文件MAXWEEKS=4 口令至少每隔4星期更改一次MINWEEKS=1 口令至多每隔1星期更改一次WARNWEEKS=3 修改口令后第三个星期会收到快要修改口令的信息PASSLENGTH=6 用户口令长度不少于6个字符6、限制使用su的组(只允许sysadmin组执行su命令)#chgrp sysadmin /bin/su#chmod o-rwx /bin/su7、su的纪录网管网/etc/default/su文件SULOG=/var/adm/sulogSYSLOG=YESCONSOLE=/dev/consolePATH=/usr/bin:SUPA TH=/usr/sbin:/usr/bin8、禁止root远程登录/etc/default/login中设置CONSOLE=/dev/null在/etc/ftpusers里加上root。
Solaris安全加固和Bind安装配置一.安全配置1 禁用系统帐号并修改相关文件的访问权限修改/etc/passwd 文件让系统帐号没有shellchmod 644 /etc/passwd600 /etc/shadow644 /etc/group644 /etc/systemchmod –R g-w /etc2 修改配置文件/etc/default/passwdPASSLENGTH=6/etc/default/loginLCONSOLE=/dev/consoleLSYSLOG= YESLTIMEOUT=120LPASSREQ=YES #确定登陆需要密码验证UMASK=027/etc/default/cronCRONLOG=YES3 配置并且限制su/etc/default/suSYSLOG=YESSULOG=/var/adm/sulogchmod 550 /bin/suchmod +s /bin/sugroupadd sugroupchown root.sugroup /bin/su4 修改/etc/inetd.conf 文件,关闭超级进程使用#注释不用的服务,只留下:ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd //telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd //如启动ssh则注释掉time stream tcp nowait root internaltime dgram udp wait root internalecho stream tcp nowait root internalecho dgram udp wait root internaldiscard stream tcp nowait root internaldiscard dgram udp wait root internaldaytime stream tcp nowait root internaldaytime dgram udp wait root internalrstatd/2-4 tli rpc/datagram_v wait root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd//性能监测也可去掉fs stream tcp wait nobody /usr/openwin/lib/fs.auto fs100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd在只需要不多图形操作的服务器或是要保证相当的安全,你也许应该关掉字体服务fs,也可以关掉系统性能监视器rstatd和tooltalk服务器ttdbserverd。
Solaris系统安全文档(for solaris 10)1.禁用不需要的用户备份:备份/etc/passwdcp /etc/passwd /etc/passwd.080903cp /etc/shadow /etc/shadow.080903修改:编辑/etc/shadow,将需要禁止帐户的**用NP代替Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell恢复:编辑/etc/shadow,将需要恢复帐户的NP用**代替Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell或使用备份还原cp /etc/passwd.080903 /etc/passwdcp /etc/shadow.080903 /etc/shadow恢复:用原始备份还原cp /etc/group.bak.2008 /etc/group2.设置用户密码安全策略(根据具体要求修改)修改全局密码策略备份:备份/etc/default/passwdcp /etc/default/passwd /etc/default/passwd.080903#MINDIFF=3 #最小的差异数,新密码和旧密码的差异数。
#MINALPHA=2 #最少字母要多少#MINNONALPHA=1 #最少的非字母,包括了数字和特殊字符。
#MINUPPER=0 #最少大写#MINLOWER=0 #最少小写#MAXREPEATS=0 #最大的重复数目#MINSPECIAL=0 #最小的特殊字符#MINDIGIT=0 #最少的数字#WHITESPACE=YES #能使用空格吗?修改:(以下只针对除root用户外的其他用户)编辑/etc/default/passwd,设置:MINWEEKS= 最短改变时间MAXWEEKS=8 密码最长有效时间WARNWEEKS=5 密码失效前几天通知用户PASSLENGTH=8 最短密码长度MINDIFF=3MINALPHA=2MINLOWER=1MINDIGIT=1恢复:用备份的原始/etc/default/passwd文件替换现有的/etc/default/passwd如需针对个别用户设置修改/etc/shadow 文件,备份:cp /etc/shadow /etc/shadow.080903shadow 文件格式如下:loginID:password:lastchg:min:max:warn:inactive:expire:例如:默认root 用户的格式为:root:lySCmJ.1txm4M:6445::::::loginID 指登陆用户名password 密码选项,例如13位加密字符,或者*LK*锁定用户,或NP,无法登陆用户lastchg 指最后密码修改日期,从1970年1月1号开始计算min 指两次密码修改间隔的最少天数max 指密码最大有效天数warn 指密码过期前开始发出提醒的天数inactive 指如果用户未登陆超过多少天将把用户锁定expire 用户过期时间,即到达此日期后用户过期,将无法登陆以上选项如为设置,留空,即代表无密码策略如需使用/etc/shadow 设置密码策略,则/etc/default/passwd 文件中MINWEEKS MAXWKEEKS WARNWEEKS PASSLENGTH 等选项不应设置参数。
留空。
3.防止root远程登陆修改:编辑/etc/default/login,加上:CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.恢复:编辑/etc/default/login,注释一下内容:# CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.4.设置session超时时间修改:编辑/etc/default/login,加上:# TIMEOUT sets the number of seconds (between 0 and 900) to wait before# abandoning a login session.TIMEOUT=300恢复:编辑/etc/default/login,删除:# TIMEOUT sets the number of seconds (between 0 and 900) to wait before# abandoning a login session.TIMEOUT=3005.设置缺省umask修改:编辑/etc/default/login,修改UMASK=027# UMASK sets the initial shell file creation mode mask. See umask(1).UMASK=027恢复:编辑/etc/default/login,注释UMASK项# UMASK sets the initial shell file creation mode mask. See umask(1).#UMASK=0276.检查是否每个用户都设置了密码检查/etc/passwd和/etc/shadow,每个用户的密码栏是否为空。
如果为空,就表示次用户没有设置密码。
必须要求次用户马上设置密码。
一、服务安全设置1.禁止所有不需要的服务以下服务应该禁止(根据需要自己决定):示例:例如需要禁用sendmail 服务可用以下操作修改:使用svcs -a | grep sendmail 查看当前状态如为online online 17:49:07 svc:/network/smtp:sendmail使用svcadm disable sendmaildisable 17:50:01 svc:/network/smtp:sendmail恢复:使用命令恢复svcadm enable sendmail二、网络环境变量安全设置1.在/etc/default/inetinit中增加下面所示设置:根据用户的具体情况确定是否要修改以下值修改:缩短ARP的cache保存时间:ndd -set /dev/arp arp_cleanup_interval 60000 /* 1 min (default is 5 min即300000*/缩短ARP表中特定条目的保持时间:ndd -set /dev/ip ip_ire_timer_interval 60000 /* 1 min (default is 20 min 即1200000*/关闭echo广播来防止ping攻击ndd -set /dev/ip ip_respond_to_echo_broadcast 0 # default is 1关闭原路由寻址ndd -set /dev/ip ip_forward_src_routed 0 # default is 1禁止系统转发IP包ndd -set /dev/ip ip_forwarding 0 # default is 1禁止系统转发定向广播包ndd -set /dev/ip ip_forward_directed_broadcasts 0 # default is 1使系统忽略重定向IP包ndd -set /dev/ip ip_ignore_redirect 1 # default is 0使系统限制多宿主机ndd -set /dev/ip ip_strict_dst_multihoming 1 # default is 0再次确保系统关闭ICMP广播响应ndd -set /dev/ip ip_respond_to_address_mask_broadcast=0 # default is 1关闭系统对ICMP时戳请求的响应ndd -set /dev/ip ip_ip_respond_to_timestamp=0 # default is 1关闭系统对ICMP时戳广播的响应ndd -set /dev/ip ip_ip_respond_to_timestamp_broadcast=0 # default is 1禁止系统发送ICMP重定向包ndd -set /dev/ip ip_send_redirects=0 # default is 1重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start在zone中只需缩短ARP的cache保存时间:即在zone 环境下编辑/etc/default/inetinit 末尾添加ndd –set /dev/arp arp_cleanup_interval 60000 /* 1 min (default is 5 min即300000*/恢复:把以上值修改会原来的default值重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start2.改变TCP序列号产生参数修改:在/etc/default/inetinit中改变TCP_STRONG_ISS=2重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start恢复:在/etc/default/inetinit中改变TCP_STRONG_ISS=1 改为原来的值重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start3.禁止路由功能修改:创建空文件notrouter:touch /etc/notrouter 恢复:删除空文件notrouter:rm /etc/notrouter。
