solaris系统安全加固列表

solaris系统安全加固列表

ID:16275478

大小:24.91 KB

页数:10页

时间:2018-08-08

solaris系统安全加固列表_第1页
solaris系统安全加固列表_第2页
solaris系统安全加固列表_第3页
solaris系统安全加固列表_第4页
solaris系统安全加固列表_第5页
资源描述:

《solaris系统安全加固列表》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Solaris系统安全加固列表ps:由于现在不少Solaris安全加固列表都比较老了,在下根据资料和自己的实践总结的Solaris系统加固列表,难免会有不合适(影响服务)和错误以及不足之处,望各位不惜赐教(本来是word文档,发上来以后格式都乱了)多谢lgx和ghoststone对此文的帮助Solaris系统安全加固列表一、安全理念1、安全的隐患更多来自于企业内部2、对于管理员的要求:不要信任任何人3、分层保护策略:假设某些安全保护层完全失效4、服务最小化5、为最坏的情况做打算二、物理安全1、记录进出机房的人员名单,考虑安装

2、摄像机2、审查PROM是否被更换,可以通过记录hostid进行比较3、每个系统的OpenBoot口令应该不一样,口令方案不可预测4、系统安装完毕移除CD-ROM5、将版本介质放入不在本场地的介质储藏室中三、账号与口令策略1、超级用户的PATH(在/.profile中定义的)设置为:PATH=/usr/bin:/sbin:/usr/sbinhttp://www.ltesting.net任何用户的PATH或者LD_LIBRARY_PATH中都不应该包含“.”2、口令文件、影像文件、组文件/etc/passwd必须所有用户都可读,

3、root用户可写–rw-r—r—/etc/shadow只有root可读–r--------/etc/group必须所有用户都可读,root用户可写–rw-r—r--3、口令安全Solaris强制口令最少6位,但是超级用户修改口令的时候不受这个限制强迫test账号每隔30天修改一次口令#passwd–n30test强迫test账号在下次登录的时候修改口令#passwd–ftest禁止test账号修改口令#passwd–n2–x1test封锁test账号,禁止登录#passwd–ltest4、组口令用newgrp

4、令临时改变gid由于sysadmin组可执行admintool,必须要保护好,增加组口令的过程:删除不需要的成员(如果成员属于sysadmin,改变组时不需要口令)#passwd(通常封锁的账号)copyright领测软件测试网提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段封锁user账号5、修改口令策略/etc/default/passwd文件MAXWEEKS=4口令至少每隔4星期更改一次MINWEEKS=1口令至多每隔1星期更改一次WARNWEEKS=3

5、修改口令后第三个星期会收到快要修改口令的信息PASSLENGTH=6用户口令长度不少于6个字符6、限制使用su的组(只允许sysadmin组执行su命令)#chgrpsysadmin/bin/su#chmodo-rwx/bin/su7、su的纪录/etc/default/su文件SULOG=/var/adm/sulogSYSLOG=YESCONSOLE=/dev/consolePATH=/usr/bin:SUPATH=/usr/sbin:/usr/bin8、禁止root远程登录/etc/default/login中设置CON

6、SOLE=/dev/null在/etc/ftpusers里加上root。在SSH配置文件加:permitRootLogin=no(Solaris9自带SSH,缺省就禁止root登陆,对Solaris9,/etc/ftpusers不再使用,FTP配置文件都在/etc/ftpd/下面。如果ftpd启动时存在/etc/ftpusers,它会被移动到/etc/ftpd/下)http://www.ltesting.net四、系统加固1、为OpenBoot设置密码在Solaris中设置密码#eepromsecurity-password

7、在OpenBoot中设置密码okpassword在Solaris中设置安全级别(command)#eepromsecurity-mode=command在OpenBoot中设置安全级别(command)oksetenvsecurity-modecommand在OpenBoot中设置安全级别(full)oksetenvsecurity-modefull2、取消不必须账号移去或者锁定那些不是必须的帐号,比如sysuucpuucplisten等等,简单的办法是在/etc/shadow的password域中放上NP字符。(简

8、单办法是passwd-lusername)3、文件系统/etc目录中应该没有文件是组或者其他用户可写的find/etc/-typef–perm–g+w–print(查找组可写文件)find/etc/-typef–perm–o+w–print(查找其他用户可写文件)chmod–Rgo-w/e

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。