返回
solaris基本安全配置规范

solaris基本安全配置规范

ID:32585706

大小:104.07 KB

页数:16页

时间:2019-02-13

solaris基本安全配置规范_第1页
solaris基本安全配置规范_第2页
solaris基本安全配置规范_第3页
solaris基本安全配置规范_第4页
solaris基本安全配置规范_第5页
资源描述:

《solaris基本安全配置规范》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Solaris基本安全配置规范发布于2005-05-28被读4869次【字体:大中小】Solaris的安全配置可以从以下儿个方而来考虑:1.本地安全增强包括:限制某些强大命令的访问设置正确的文件权限应用组和用户的概念suid/sgid的文件最少rw~rw~rw的文件最少等2.网络安全增强包括:使用安全的协议来管理禁止所有不需要的服务禁止系统间的信任关系禁止不需要的帐号增强认证需耍的密码保护存在危险的网络服务限制访问等3.应用安全增强包括:限制用户的权限限制进程所有者的权限检查应用相关文件权限限制访

2、问其他系统资源应用所依赖的suid/sgid文件最少使用应用木身的安全特性删除samples和其他无用的组件4.监控与警报包括:丨1志、完整性、入侵检测等一些使用工具等下面就详细讲述具体的配置过程。一、操作系统配置1.安装1.1安装最新的补丁安装patches对系统稳定和安全十分巫要。看系统中安装了那些补丁#showrev-p更新更安全的补丁在http://sunsolvc.sun.com1.2初始安装时需耍创建/v吐分区,日志文件存在/var分区1.3安装最小的系统2・打开审计功能市计包括很多的

3、内容,可以根据需求设置。可以参考本文档中的日志和监控部分。3.系统参数配置3.1eeprom安全"eepromsecurity-command”系统将改变安全级别,并提示输入密码对于-•般用户,从硬盘启动,不需要输入密码如果选择从光盘启动,则需要密码。主要防止物理接触。此项为可选配置,视具体需求而定。3.2将coredump大小设置为0在/etc/system中加入如下行:setsys:coredumpsize=0将每次重启产生的coredump大小设置为0,不需要无用的信息。可选3.3修正堆栈错

4、误,防止溢出(只对2.6后有效)hacker进入系统后大部分是利用bufferoverflow取得rootshe!1为了防止基于堆栈的缓冲区溢出,在/etc/system文件中加入setnocxec_uscr_stack=l防止在堆栈中执行setnoexec_user_stack_log=l当某人试图运行增加一个记录然后改变文件权限:#chmod644/etc/system3.4只允许root进行电源管理(只对2.6及以后版本有效)编辑/clc/dcfaull/sy

5、s-suspcnd:将PERMS=console-owner改为PERMS=-并做^/bin/chmod0755/usr/openwin/bin/sys-suspend此项防止SYNFlood攻击3.5设置/tmp@录粘滞位,mode1777创建文件/etc/rc3.d/S79tmpfix:/bin/cat«EOF>/etc/rc3.d/S79tmpfix#!/bin/sh#identtmpfix1.095/09/14〃if[-d/tmp]then/usr/bin/chmodg-S/imp/usr

6、/bin/chmod1777/tmp/usr/bin/chgrpsys/imp/usr/bin/chownsys/tmpfiEOF改变S79tmpfix文件权限:^/usr/bin/chmod755/etc/rc3.d/S79tmpfix此项给/tmp加上粘滞位,只允许写而不允许删除。这样,当黑客往/tmp写.socket文件时不允许删除。3.6禁止stop-,A'键在/ctc/default/kbd中,改变或加入“KEYBOARD_ABORT=disablc”此项防止启动后,按stop-'A,或

7、LI-'A,得到ok提示符,使用启动盘可以进入单用户模式,防止黑客物理接触机器。但此项不禁止可以作为密码丢失时的应急处理3.用户管理4.1禁止所有不需要的系统帐户编辑/etc/passwd,将需要禁止帐户的**用NP代替Example:noaccess:NP:60002:60002:NoAccessUser:/:/sbin/noshel1需要禁止的帐户有:bin,daemon,adm,lp,smtp,sys,uucp,nuucp,nobody,nociccess4.2使用强密码4.3设置密码相关参

8、数编辑/etc/default/passwd,设置:PWMIN=1#最短改变时间PWMAX-13#密码最长有效时间PWWARN=4#密码失效前几天通知用户PWLEN=8#最短密码长度4.4防Jl:root远程登陆编辑/etc/default/login,加上:CONSOLE=/dev/console#IfCONSOLEisset,rootcanonlyloginonthatdevice.4.5记录所有root登陆尝试#SYSLOGdetermineswhetherthesyslog

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。