Solaris10系统安全加固标准

Solaris系统安全文档（for solaris 10）
1．禁用不需要的用户
备份：备份/etc/passwd
cp /etc/passwd /etc/passwd.080903
cp /etc/shadow /etc/shadow.080903
修改：
编辑/etc/shadow，将需要禁止帐户的**用NP代替
Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell
恢复：
编辑/etc/shadow，将需要恢复帐户的NP用**代替
Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell
或使用备份还原
cp /etc/passwd.080903 /etc/passwd
cp /etc/shadow.080903 /etc/shadow
恢复：用原始备份还原
cp /etc/group.bak.2008 /etc/group
2．设置用户密码安全策略（根据具体要求修改）
修改全局密码策略
备份：备份/etc/default/passwd
cp /etc/default/passwd /etc/default/passwd.080903
#MINDIFF=3 #最小的差异数，新密码和旧密码的差异数。

#MINALPHA=2 #最少字母要多少
#MINNONALPHA=1 #最少的非字母，包括了数字和特殊字符。

#MINUPPER=0 #最少大写
#MINLOWER=0 #最少小写
#MAXREPEATS=0 #最大的重复数目
#MINSPECIAL=0 #最小的特殊字符
#MINDIGIT=0 #最少的数字
#WHITESPACE=YES #能使用空格吗？
修改：（以下只针对除root用户外的其他用户）
编辑/etc/default/passwd,设置：
MINWEEKS= 最短改变时间
MAXWEEKS=8 密码最长有效时间
WARNWEEKS=5 密码失效前几天通知用户
PASSLENGTH=8 最短密码长度
MINDIFF=3
MINALPHA=2
MINLOWER=1
MINDIGIT=1
恢复：
用备份的原始/etc/default/passwd文件替换现有的/etc/default/passwd
如需针对个别用户设置
修改/etc/shadow 文件，
备份：cp /etc/shadow /etc/shadow.080903
shadow 文件格式如下：
loginID:password:lastchg:min:max:warn:inactive:expire:
例如：默认root 用户的格式为：
root:lySCmJ.1txm4M:6445::::::
loginID 指登陆用户名
password 密码选项，例如13位加密字符，或者*LK*锁定用户，或NP，无法登陆用户
lastchg 指最后密码修改日期，从1970年1月1号开始计算
min 指两次密码修改间隔的最少天数
max 指密码最大有效天数
warn 指密码过期前开始发出提醒的天数
inactive 指如果用户未登陆超过多少天将把用户锁定
expire 用户过期时间，即到达此日期后用户过期，将无法登陆
以上选项如为设置，留空，即代表无密码策略
如需使用/etc/shadow 设置密码策略，则/etc/default/passwd 文件中MINWEEKS MAXWKEEKS WARNWEEKS PASSLENGTH 等选项不应设置参数。

留空。

3．防止root远程登陆
修改：
编辑/etc/default/login，加上：
CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.
恢复：
编辑/etc/default/login，注释一下内容：
# CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.
4．设置session超时时间
修改：
编辑/etc/default/login，加上：
# TIMEOUT sets the number of seconds (between 0 and 900) to wait before
# abandoning a login session.
TIMEOUT=300
恢复：
编辑/etc/default/login，删除：
# TIMEOUT sets the number of seconds (between 0 and 900) to wait before
# abandoning a login session.
TIMEOUT=300
5．设置缺省umask
修改：
编辑/etc/default/login，修改UMASK=027
# UMASK sets the initial shell file creation mode mask. See umask(1).
UMASK=027
恢复：
编辑/etc/default/login，注释UMASK项
# UMASK sets the initial shell file creation mode mask. See umask(1).
#UMASK=027
6．检查是否每个用户都设置了密码
检查/etc/passwd和/etc/shadow，
每个用户的密码栏是否为空。

如果为空，就表示次用户没有设置密码。

必须要求次用户马上设置密码。

一、服务安全设置
1．禁止所有不需要的服务
以下服务应该禁止（根据需要自己决定）：
示例：例如需要禁用sendmail 服务可用以下操作
修改：
使用svcs -a | grep sendmail 查看当前状态如为online online 17:49:07 svc:/network/smtp:sendmail
使用svcadm disable sendmail
disable 17:50:01 svc:/network/smtp:sendmail
恢复：
使用命令恢复
svcadm enable sendmail
二、网络环境变量安全设置
1．在/etc/default/inetinit中增加下面所示设置:
根据用户的具体情况确定是否要修改以下值
修改：
缩短ARP的cache保存时间:
ndd -set /dev/arp arp_cleanup_interval 60000 /* 1 min (default is 5 min即
300000*/
缩短ARP表中特定条目的保持时间：
ndd -set /dev/ip ip_ire_timer_interval 60000 /* 1 min (default is 20 min 即
1200000*/
关闭echo广播来防止ping攻击
ndd -set /dev/ip ip_respond_to_echo_broadcast 0 # default is 1
关闭原路由寻址
ndd -set /dev/ip ip_forward_src_routed 0 # default is 1
禁止系统转发IP包
ndd -set /dev/ip ip_forwarding 0 # default is 1
禁止系统转发定向广播包
ndd -set /dev/ip ip_forward_directed_broadcasts 0 # default is 1
使系统忽略重定向IP包
ndd -set /dev/ip ip_ignore_redirect 1 # default is 0
使系统限制多宿主机
ndd -set /dev/ip ip_strict_dst_multihoming 1 # default is 0
再次确保系统关闭ICMP广播响应
ndd -set /dev/ip ip_respond_to_address_mask_broadcast=0 # default is 1
关闭系统对ICMP时戳请求的响应
ndd -set /dev/ip ip_ip_respond_to_timestamp=0 # default is 1
关闭系统对ICMP时戳广播的响应
ndd -set /dev/ip ip_ip_respond_to_timestamp_broadcast=0 # default is 1
禁止系统发送ICMP重定向包
ndd -set /dev/ip ip_send_redirects=0 # default is 1
重启inetinit 使以上生效
# sh /etc/default/inetinit stop
# sh /etc/default/inetinit start
在zone中只需缩短ARP的cache保存时间：
即
在zone 环境下编辑/etc/default/inetinit 末尾添加
ndd –set /dev/arp arp_cleanup_interval 60000 /* 1 min (default is 5 min即300000*/
恢复：
把以上值修改会原来的default值
重启inetinit 使以上生效
# sh /etc/default/inetinit stop
# sh /etc/default/inetinit start
2．改变TCP序列号产生参数
修改：
在/etc/default/inetinit中改变
TCP_STRONG_ISS=2
重启inetinit 使以上生效
# sh /etc/default/inetinit stop
# sh /etc/default/inetinit start
恢复：
在/etc/default/inetinit中改变
TCP_STRONG_ISS=1 改为原来的值重启inetinit 使以上生效
# sh /etc/default/inetinit stop
# sh /etc/default/inetinit start
3．禁止路由功能
修改：
创建空文件notrouter：touch /etc/notrouter 恢复：
删除空文件notrouter：rm /etc/notrouter。