管理信息系统Solaris安全配置基线.docx
- 文档编号:3512984
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:18
- 大小:21.74KB
管理信息系统Solaris安全配置基线.docx
《管理信息系统Solaris安全配置基线.docx》由会员分享,可在线阅读,更多相关《管理信息系统Solaris安全配置基线.docx(18页珍藏版)》请在冰点文库上搜索。
管理信息系统Solaris安全配置基线
Solaris系统安全配置基线
中国移动通信有限公司管理信息系统部
2009年1月
版本
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2009年1月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
2.
第1章概述
第2章
2.1目的
2.2
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SOLARIS操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行SOLARIS操作系统的安全合规性检查和配置。
适用范围
2.3
本配置标准的使用者包括:
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的SOLARIS服务器系统。
适用版本
2.4
SOLARIS系列服务器;
实施
2.5
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
例外条款
2.6
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
账号管理、认证授权
第3章
账号
3.1
3.1.1管理无关账户
安全基线项目名称
操作系统Solaris无关账户安全基线要求项
安全基线编号
SBL-Solaris-02-01-01
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的账号。
系统内存在不
可删除的内置账号,包括root,bin等。
检测操作步骤
使用删除或锁定的与工作无关的账号登录系统
基线符合性判定依据
需要锁定的用户:
listen,gdm,webservd,nobody,nobody4、noaccess。
备注
3.1.2限制超级用户远程登录
安全基线项目名称
操作系统Solaris远程登录安全基线要求项
安全基线编号
SBL-Solaris-02-01-02
安全基线项说明
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作
检测操作步骤
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录
基线符合性判定依据
root远程登录不成功,提示“Notonsystemconsole”;
普通用户可以登录成功,而且可以切换到root用户
备注
口令和认证
3.2
3.2.1口令长度
安全基线项目名称
操作系统Solaris口令长度安全基线要求项
安全基线编号
SBL-Solaris-02-02-01
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
1、检查口令强度配置选项是否可以进行如下配置:
i.配置口令的最小长度;
ii.将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
基线符合性判定依据
不符合密码强度的时候,系统对口令强度要求进行提示;
符合密码强度的时候,可以成功设置;
备注
3.2.2口令生存期略
安全基线项目名称
操作系统Solaris口令生存周期安全基线要求项
安全基线编号
SBL-Solaris-02-02-02
安全基线项说明
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
检测操作步骤
使用超过90天的帐户口令登录。
基线符合性判定依据
登录不成功;
备注
3.2.3重复口令使用
安全基线项目名称
操作系统Solaris重复口令安全基线要求项
安全基线编号
SBL-Solaris-02-02-03
安全基线项说明
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
检测操作步骤
cat/etc/default/passwd,查看HISTORY设置。
基线符合性判定依据
HISTORY=5
备注
3.2.4认证次数
安全基线项目名称
操作系统Solaris认证次数安全基线要求项
安全基线编号
SBL-Solaris-02-02-04
安全基线项说明
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
检测操作步骤
1、当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:
cat/etc/user_attr
cat/etc/security/policy.conf
查看LOCK_AFTER_RETRIES;
2、查看重试的次数:
cat/etc/default/login
查看RETRIES。
基线符合性判定依据
LOCK_AFTER_RETRIES=YES
RETRIES=7
备注
3.2.5用户权利指派
安全基线项目名称
操作系统Solaris用户权力指派安全基线要求项
安全基线编号
SBL-Solaris-02-02-05
安全基线项说明
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
检测操作步骤
1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;
2、记录能够配置的权限选项内容;
3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。
基线符合性判定依据
/etc/passwd必须所有用户都可读,root用户可写–rw-r—r—
/etc/shadow只有root可读–r--------
/etc/group必须所有用户都可读,root用户可写–rw-r—r—
备注
3.2.6访问权限控制
安全基线项目名称
操作系统Solaris访问权限控制安全基线要求项
安全基线编号
SBL-Solaris-02-02-06
安全基线项说明
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
检测操作步骤
#cat/etc/default/login查看umask内容
基线符合性判定依据
应设置umask027
备注
3.2.7FTP访问权限
安全基线项目名称
操作系统SolarisFTP访问权限控制安全基线要求项
安全基线编号
SBL-Solaris-02-02-07
安全基线项说明
控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
检测操作步骤
查看新建的文件或目录的权限,操作举例如下:
#more/etc/ftpusers#Solaris8
#more/etc/ftpd/ftpusers#Solaris10
#more/etc/ftpaccess#Solaris8
#more/etc/ftpd/ftpaccess#Solaris10
基线符合性判定依据
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉
补充说明
查看#catftpusers
说明:
在这个列表里边的用户名是不允许ftp登陆的。
应包括:
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
noaccess
nobody4
备注
日志配置操作
第4章
日志配置
4.1
4.1.1用户登录记录
安全基线项目名称
操作系统Solaris用户登录审计安全基线要求项
安全基线编号
SBL-Solaris-03-01-01
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
查看文件:
more/etc/default/login中的SYSLOG;
/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户,时间,来源等内容,该文件不具可读性,可用last命令来看。
#last
基线符合性判定依据
SYSLOG=YES
列出用户账号、登录是否成功、登录时间、远程登录时的IP地址
备注
4.1.2日志功能配置
安全基线项目名称
操作系统Solaris日志功能配置安全基线要求项
安全基线编号
SBL-Solaris-03-01-02
安全基线项说明
设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:
账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
需记录要包含用户账号,操作时间,操作内容以及操作结果。
检测操作步骤
#lastcomm[username]
基线符合性判定依据
能够显示出包含配置内容中所要求的全部内容。
备注
4.1.3设备安全事件记录
安全基线项目名称
操作系统Solaris设备安全审计功能配置安全基线要求项
安全基线编号
SBL-Solaris-03-01-03
安全基线项说明
设备应配置日志功能,记录对与设备相关的安全事件。
检测操作步骤
查看配置文件vi/etc/syslog.conf,
基线符合性判定依据
应配置如下类似语句:
*.err;kern.debug;daemon.notice;/var/adm/messages
定义为需要保存的设备相关安全事件
备注
4.1.4远程日志
安全基线项目名称
操作系统Solaris远程日志安全基线要求项
安全基线编号
SBL-Solaris-03-01-04
安全基线项说明
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
检测操作步骤
查看配置文件vi/etc/syslog.conf,
基线符合性判定依据
应配置类似一行:
*.*@192.168.0.1
可以将"*.*"替换为你实际需要的日志信息。
比如:
kern.*/mail.*等等。
可以将此处192.168.0.1替换为实际的IP或域名。
重新启动syslog服务,依次执行下列命令:
/etc/init.d/syslogstop
/etc/init.d/syslogstart
检测操作
查看日志服务器上的所收到的日志文件。
备注
4.1.5记录不良尝试
安全基线项目名称
操作系统Solaris失败操作审计安全基线要求项
安全基线编号
SBL-Solaris-03-01-05
安全基线项说明
设备应配置日志功能,记录用户使用SU命令的情况,记录不良的尝试记录。
检测操作步骤
查看配置文件vi/etc/default/su,
基线符合性判定依据
SYSLOG=YES
备注
4.1.6应用或服务日志配置
安全基线项目名称
操作系统Solaris服务日志配置安全基线要求项
安全基线编号
SBL-Solaris-03-01-06
安全基线项说明
系统上运行的应用/服务也应该配置相应日志选项,比如cron。
检测操作步骤
查看配置文件vi/etc/default/cron,
基线符合性判定依据
应包含设置"CRONLOG=yes"
查看日志存放文件,如cron的日志:
more/var/cron/log
日志中能够列出相应的应用/服务的详细日志信息
备注
IP协议安全配置
第5章
IP协议
5.1
5.1.1IP安全机制
安全基线项目名称
操作系统SolarisIP安全基线要求项
安全基线编号
SBL-Solaris-04-01-01
安全基线项说明
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
检测操作步骤
查看SSH服务状态:
#ps–elf|grepssh
查看telnet服务状态:
#ps–elf|greptelnet
基线符合性判定依据
SSH服务状态查看结果为:
online
telnet服务状态查看结果为:
disabled
备注
5.1.2主机系统禁止ICMP重定向
安全基线项目名称
操作系统SolarisICMP重定向安全基线要求项
安全基线编号
SBL-Solaris-04-01-02
安全基线项说明
主机系统应该禁止ICMP重定向,采用静态路由。
检测操作步骤
查看/etc/rc2.d/S?
?
inet内容
基线符合性判定依据
应包含ip_send_redirects=0
备注
设备其他配置操作
第6章
设备配置
6.1
6.1.1对具备字符交互界面的设备配置定时帐户自动登出
安全基线项目名称
操作系统Solaris自动退出安全基线要求项
安全基线编号
SBL-Solaris-05-01-01
安全基线项说明
对于具备字符交互界面的设备,应配置定时帐户自动登出。
检测操作步骤
查看用户的.profile文件以及环境变量
基线符合性判定依据
应包含$TMOUT=180;exportTMOUT类似配置;
用root帐户登录后,在设定时间内不进行任何操作,检查帐户应自动退出。
备注
其他配置
6.2
6.2.1从应用层面进行必要的安全访问控制
安全基线项目名称
操作系统Solaris应用层访问控制安全基线要求项
安全基线编号
SBL-Solaris-05-02-01
安全基线项说明
应该从应用层面进行必要的安全访问控制,比如FTP服务器应该限制ftp可以使用的目录范围
检测操作步骤
查看/etc/ftpaccess
基线符合性判定依据
应包含restricted-uid*类似配置;
root帐户从远程访问,访问被禁止或被限制。
备注
6.2.2限制root用户只能从console口本地登录。
安全基线项目名称
操作系统Solarisroot访问安全基线要求项
安全基线编号
SBL-Solaris-05-02-01
安全基线项说明
对于具备console口的设备,限制root用户只能从console口本地登录。
检测操作步骤
查看cat/etc/default/login
基线符合性判定依据
应包含CONSOLE=/dev/console类似配置;
备注
6.2.3设置eeprom安全密码
安全基线项目名称
操作系统Solariseeprom密码安全基线要求项
安全基线编号
SBL-Solaris-05-02-03
安全基线项说明
设置eeprom安全密码。
检测操作步骤
#/usr/sbin/eeprom(显示当前eeprom配置)
基线符合性判定依据
显示的级别配置为:
security-mode=command
对于一般用户,从硬盘启动,不需要输入密码;
如果选择从光盘启动,则需要密码。
备注
6.2.4关闭不需要服务
安全基线项目名称
操作系统Solariseeprom密码安全基线要求项
安全基线编号
SBL-Solaris-05-02-04
安全基线项说明
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。
检测操作步骤
Solaris10查看所有开启的服务:
svcs–a
Solaris8查看所有开启的服务:
cat/etc/inet/inetd.conf,cat/etc/inet/services
基线符合性判定依据
在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。
timeechodiscarddaytimechargenfsdtspcexeccomsattalkfingeruucpnamexaudionetstatufsdrexdsystatsun-druuidgenkrb5_prop
备注
6.2.5防止堆栈缓冲溢出
安全基线项目名称
操作系统Solaris缓冲区溢出安全基线要求项
安全基线编号
SBL-Solaris-05-02-05
安全基线项说明
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。
检测操作步骤
查看/etc/system文件
setnoexec_user_stack=1
setnoexec_user_stack_log=1
查看文件权限:
#chmod750/etc/system
基线符合性判定依据
应包含noexec_user_stack=1
noexec_user_stack_log=1
备注
6.2.6关闭不在系统启动时自动加载的进程和服务
安全基线项目名称
操作系统Solaris自动加载安全基线要求项
安全基线编号
SBL-Solaris-05-02-06
安全基线项说明
列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。
检测操作步骤
检查/etc/rc2.d和/etc/rc3.d目录下的所有"S"打头的脚本文件,确认不必要启动的服务的脚本文件名不以"S"打头;
检查/var/adm/messages日志文件;
用ps-elf检查是否还有无关进程启动。
基线符合性判定依据
在/etc/init.d/一般需要关闭的服务有:
sendmail
lp
rpc
snmpdx
keyserv
nscd
volmgt
uucp
dmi
autoinstall
备注
评审与修订
第7章
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 管理信息系统 Solaris 安全 配置 基线