Solaris10系统安全加固标准
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Solaris系统安全文档(for solaris 10)
1.禁用不需要的用户
备份:备份/etc/passwd
cp /etc/passwd /etc/passwd.080903
cp /etc/shadow /etc/shadow.080903
修改:
编辑/etc/shadow,将需要禁止帐户的**用NP代替
Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell
恢复:
编辑/etc/shadow,将需要恢复帐户的NP用**代替
Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell
或使用备份还原
cp /etc/passwd.080903 /etc/passwd
cp /etc/shadow.080903 /etc/shadow
恢复:用原始备份还原
cp /etc/group.bak.2008 /etc/group
2.设置用户密码安全策略(根据具体要求修改)
修改全局密码策略
备份:备份/etc/default/passwd
cp /etc/default/passwd /etc/default/passwd.080903
#MINDIFF=3 #最小的差异数,新密码和旧密码的差异数。
#MINALPHA=2 #最少字母要多少
#MINNONALPHA=1 #最少的非字母,包括了数字和特殊字符。
#MINUPPER=0 #最少大写
#MINLOWER=0 #最少小写
#MAXREPEATS=0 #最大的重复数目
#MINSPECIAL=0 #最小的特殊字符
#MINDIGIT=0 #最少的数字
#WHITESPACE=YES #能使用空格吗?
修改:(以下只针对除root用户外的其他用户)
编辑/etc/default/passwd,设置:
MINWEEKS= 最短改变时间
MAXWEEKS=8 密码最长有效时间
WARNWEEKS=5 密码失效前几天通知用户
PASSLENGTH=8 最短密码长度
MINDIFF=3
MINALPHA=2
MINLOWER=1
MINDIGIT=1
恢复:
用备份的原始/etc/default/passwd文件替换现有的/etc/default/passwd
如需针对个别用户设置
修改/etc/shadow 文件,
备份:cp /etc/shadow /etc/shadow.080903
shadow 文件格式如下:
loginID:password:lastchg:min:max:warn:inactive:expire:
例如:默认root 用户的格式为:
root:lySCmJ.1txm4M:6445::::::
loginID 指登陆用户名
password 密码选项,例如13位加密字符,或者*LK*锁定用户,或NP,无法登陆用户
lastchg 指最后密码修改日期,从1970年1月1号开始计算
min 指两次密码修改间隔的最少天数
max 指密码最大有效天数
warn 指密码过期前开始发出提醒的天数
inactive 指如果用户未登陆超过多少天将把用户锁定
expire 用户过期时间,即到达此日期后用户过期,将无法登陆
以上选项如为设置,留空,即代表无密码策略
如需使用/etc/shadow 设置密码策略,则/etc/default/passwd 文件中MINWEEKS MAXWKEEKS WARNWEEKS PASSLENGTH 等选项不应设置参数。留空。
3.防止root远程登陆
修改:
编辑/etc/default/login,加上:
CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.
恢复:
编辑/etc/default/login,注释一下内容:
# CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.
4.设置session超时时间
修改:
编辑/etc/default/login,加上:
# TIMEOUT sets the number of seconds (between 0 and 900) to wait before
# abandoning a login session.
TIMEOUT=300
恢复:
编辑/etc/default/login,删除:
# TIMEOUT sets the number of seconds (between 0 and 900) to wait before
# abandoning a login session.
TIMEOUT=300
5.设置缺省umask
修改:
编辑/etc/default/login,修改UMASK=027
# UMASK sets the initial shell file creation mode mask. See umask(1).
UMASK=027
恢复:
编辑/etc/default/login,注释UMASK项
# UMASK sets the initial shell file creation mode mask. See umask(1).
#UMASK=027
6.检查是否每个用户都设置了密码
检查/etc/passwd和/etc/shadow,
每个用户的密码栏是否为空。如果为空,就表示次用户没有设置密码。必须要求次用户马上设置密码。
一、服务安全设置
1.禁止所有不需要的服务
以下服务应该禁止(根据需要自己决定):