Solaris10系统安全加固标准

Solaris系统安全文档（for solaris 10）

1．禁用不需要的用户

备份：备份/etc/passwd

cp /etc/passwd /etc/passwd.080903

cp /etc/shadow /etc/shadow.080903

修改：

编辑/etc/shadow，将需要禁止帐户的**用NP代替

Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell

恢复：

编辑/etc/shadow，将需要恢复帐户的NP用**代替

Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell

或使用备份还原

cp /etc/passwd.080903 /etc/passwd

cp /etc/shadow.080903 /etc/shadow

恢复：用原始备份还原

cp /etc/group.bak.2008 /etc/group

2．设置用户密码安全策略（根据具体要求修改）

修改全局密码策略

备份：备份/etc/default/passwd

cp /etc/default/passwd /etc/default/passwd.080903

#MINDIFF=3 #最小的差异数，新密码和旧密码的差异数。

#MINALPHA=2 #最少字母要多少

#MINNONALPHA=1 #最少的非字母，包括了数字和特殊字符。

#MINUPPER=0 #最少大写

#MINLOWER=0 #最少小写

#MAXREPEATS=0 #最大的重复数目

#MINSPECIAL=0 #最小的特殊字符

#MINDIGIT=0 #最少的数字

#WHITESPACE=YES #能使用空格吗？

修改：（以下只针对除root用户外的其他用户）

编辑/etc/default/passwd,设置：

MINWEEKS= 最短改变时间

MAXWEEKS=8 密码最长有效时间

WARNWEEKS=5 密码失效前几天通知用户

PASSLENGTH=8 最短密码长度

MINDIFF=3

MINALPHA=2

MINLOWER=1

MINDIGIT=1

恢复：

用备份的原始/etc/default/passwd文件替换现有的/etc/default/passwd

如需针对个别用户设置

修改/etc/shadow 文件，

备份：cp /etc/shadow /etc/shadow.080903

shadow 文件格式如下：

loginID:password:lastchg:min:max:warn:inactive:expire:

例如：默认root 用户的格式为：

root:lySCmJ.1txm4M:6445::::::

loginID 指登陆用户名

password 密码选项，例如13位加密字符，或者*LK*锁定用户，或NP，无法登陆用户

lastchg 指最后密码修改日期，从1970年1月1号开始计算

min 指两次密码修改间隔的最少天数

max 指密码最大有效天数

warn 指密码过期前开始发出提醒的天数

inactive 指如果用户未登陆超过多少天将把用户锁定

expire 用户过期时间，即到达此日期后用户过期，将无法登陆

以上选项如为设置，留空，即代表无密码策略

如需使用/etc/shadow 设置密码策略，则/etc/default/passwd 文件中MINWEEKS MAXWKEEKS WARNWEEKS PASSLENGTH 等选项不应设置参数。留空。

3．防止root远程登陆

修改：

编辑/etc/default/login，加上：

CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.

恢复：

编辑/etc/default/login，注释一下内容：

# CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.

4．设置session超时时间

修改：

编辑/etc/default/login，加上：

# TIMEOUT sets the number of seconds (between 0 and 900) to wait before

# abandoning a login session.

TIMEOUT=300

恢复：

编辑/etc/default/login，删除：

# TIMEOUT sets the number of seconds (between 0 and 900) to wait before

# abandoning a login session.

TIMEOUT=300

5．设置缺省umask

修改：

编辑/etc/default/login，修改UMASK=027

# UMASK sets the initial shell file creation mode mask. See umask(1).

UMASK=027

恢复：

编辑/etc/default/login，注释UMASK项

# UMASK sets the initial shell file creation mode mask. See umask(1).

#UMASK=027

6．检查是否每个用户都设置了密码

检查/etc/passwd和/etc/shadow，

每个用户的密码栏是否为空。如果为空，就表示次用户没有设置密码。必须要求次用户马上设置密码。

一、服务安全设置

1．禁止所有不需要的服务

以下服务应该禁止（根据需要自己决定）：