SUNSolaris操作系统安全评估检查表

1、solaris主机评估solaris安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注基本信息收集1查看系统 的版本信 息、主机名 及配置信 息以root权限,执行：uname -ahostnameprtconf2检査网卡 数h与状 态以rool权限，执行：if config-a查看网卡数目、网络配置、是否开启混杂监听模式。3检查系统 端口开放 情况及路 由以root权限，执行：netstat -annetstat -rn4杏看系统 已经安装以root权限，执行：pkginfo被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注了哪

2、些程 序包5了解系统 备份情况、 备份机制询问相关的管理员。重点了解备份介质，方式，人员，是否有应急恢复制度等 状况。补丁安装情况6审核补丁 安装情况# patchadd -p检査系统的补丁情况# showrev -p查看所有己经安装的patch 或# is /var/sadin/patch 或 is /var/adm/patch帐户口令安全7检查passwd 、 shadow 及 group文件cat /etc/passwd cat /etc/shadow cat /etc/group 保存后检查文件8检查有无 对于login 进行口令执行：more /etc/defalut/login，确

3、认存在女11下行 passreq=yes被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注认证检查是否执行：more /etc/default/passwd，确认是否有如卜设管：9设置了丨丨#密码最短长度缺省是6,安全起见,设置为8（再长无用）令最短长 度要求passlength=8检查是否执行：more /etc/default/passwd,确认是否有以卜设置：10设置了 口 令过期策#以天为单位,maxweeks天后密码失效,缺省为空 maxweeks=xx略#以天为单位,minweeks天后才可以修改密码,缺省minweeks=yy11无用帐号 审核查看/e

4、tc/passwd中是否存在uucp,news等帐号 以及确认拥有shell权限的帐号是否合理12为新增用 户配置安 全模板确认/usr/sadm/defadduser有以下类似配置内容：# 个用户最多属于15个组defgroup-15#缺省组defgname=users#缺隼homedefparent=/export/home被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注#缺省初始设置文件来源 defskel=/etc/skel#缺省shell defshell=/bin/bash#帐号永不过期 definact=o defexpire-13检查是否 设置資录

5、 超时查看/etc/default/login文件，确认其中存在合理的设置，f 而的举例为30秒timeout=30文件系统安全14检杳root 的搜索路 径执行：echo $path检查root的$卩人环境变量中是否出现当前h录“.”。15检查/tmp 目录的属 性执行：is -id /tmp查看执行结果是否如下：drwxrwxrwt 7 syssys496 6 月 815:41 /tmp/被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注确认有“t”的粘合位16检杏/var/adm /utmp 、/var/adm /utmpx、 /etc/gro up、/var

6、/adm /wtmp 文 件的权限/var/adm/utmp、/var/adm/utmpx、/etc/group、 /var/adm/wtmp文件的权限应该是64417检杏是否 有属+：非 有效用户 的文件/目 录执行：find / -type f -nouser（检查风险：根口录下口录及文件数量非常大，执行时1'可 会很长，建议采川系统利用率比较底的时间执行）18检查是否 有属组非 有效组的 文件/目录执行：find / -type f -nogroup（检查风险：根口录下口录及文件数量非常大，执行时1'可 会很长，建议采用系统利用率比较底的时间执行）被审核部门审核人员审核日

7、期陪同人员序号审核项目审核步骤防法审核结果补充说明备注19检杳/var/adm 目 录下是否 存在所有 人可写文 件执行:find /var/adm -type f -perm -2（检查风险：/var/adm目录下目录及文件数量非常人，执 行时间会很长，建议采用系统利用率比较底的时间执行）20检查/var/cron 目 录的属性检查/var/cron 口录权限是否为：root:sys 75521检查是否 存在所有 人可写的d录执行：find / type d -perm -2 1 xargs is laad（检查风险：根目录下目录及文件数量非常大，执行时间 会很长，建议采用系统利用率比较底的

8、时间执行）22检查属性 为777的文 件/ 0录执行：find / -type f -perm 777 1 xargs is -las（检查风险：根目录下目录及文件数量非常大，执行时间 会很长，建议采用系统利用率比较底的时间执行）23检查属性 为666的文 件/目录执行：find / -type f -perm 666 1 xargs is -las（检查风险：根廿录下kl录及文件数量非常大，执行时间 会很长，建议采用系统利用率比较底的时间执行）被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注24检杳移动 介质上的 文件系统 安全配置执行：more /etc/rm

9、mount.conf,杏看是否做了如下设置 mount cdrom hsfs nosuid mount floppy* ufs o nosuid25检查/etc目 录下所有 文件的组 可写权限执行：find /etc -type f -perm -0020 1 xargs is las（检杳风险：如果/etc目录下目录及文件数量非常大，执 行时1'可会很长，建议采川系统利川率比较底的时间执行）26检查/etc目 录下所有 文件的其 他用户可 写权限执行：find /etc -type f -perm -2 1 xargs is las（检杳风险：如果/etc目录下目录及文件数量非常大，

10、执 行时间会很长，建议采川系统利用率比较底的时间执行）27检查初始 文件权限 掩码配置查s*/etc/default/login文件中是否有如卜配置：#缺省设置是022,建议027或077umask=02728检查root 的文件权 限掩码设查看root的掩码设置，确认/ctc/profilc文件中将umask设 为077或者027被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注29杳看磁盘 分区情况执行:df-k网络服务安全30检査/etc/inetd.c onf中的各 项服务配 置行：more /etc/inetd.conf查看是否禁止了部分不必要的、危险的服

11、务。或者执行：grep -v/etc/inetd.conf检查inetd.conf文件中所有有效的行31检査telnet& ssh 服 务状况执彳?: ps -ef grep telnetd 或 ps -ef grep sshd 是否有输出telnet localhost32审核root 川户远程 telnetftp 登 录査看/etc/default/login文件,确认其中存在以下配置:console-/dev/console则telnet不允许root远程登录查看/etc/ftpusers文件，确认其中存在以下配置行：root则ftp不允许root远程登录33检查是否检杳是否安装

12、了 tcp wrapper或者有防火墙或有交换机（路被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注限制telnet 或ssh等的 登录ip由器）的acl进行保护，限制telnet或ssh等的登录ip。tep wrapper 的配置文件：/etc/hosts.deny&/etc/hosts.allow34检查ssh 的验证方 式检查sshd_config的登录方式，可能为密码，公钥等方式35检查telnetd 漏 洞是否己 经作了修 补执行:showrev -p査看telnetd相关的补丁编号patch id至少大于如下版本号os versionpatch

13、ldsunos 5.8110668-03sunos 5.8_x86110669-03sunos 5.7107475-04sunos 5.7_x86107476-04sunos 5.6106049-04sunos 5.6 x86106050-0436检查是否 采用了最 新版本的 ssh服务软 件检查是否使用了最新版本的ssh执行:telnet localhost 22获得ssh的版本信息注意，端口可能不同，版本信息可能伪造，请询问管理员 确认。被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注37检査是否 开启ftp 服务执行：ps -ef grep ftpd査看返回

14、 同时与管理员确认是否开启仕p服务。38检査是否 限制系统 帐号使用 ftp登录wu-flp 和 sun 的 ftpd 通常查看/ctc/flpuscr 或/clc/flpacccss 的配置；或者查看是否通过了/etc/shells文件限制可使用ftp服务 的用户;对于其他ftp请和管理员沟通。39检查是否 使用sftp或 ssh代替标 准 ftpd与管理员进行沟通了解（检查风险：经过严格测试后执行，建议釆用sftpo）40检查ftp服 务软件版 本是否存 在漏洞确认flp版本号，以下版本存在漏洞wu-ftpd 2.6以下版本proftpd 1.20rc4 以前版本sun ftpd41查看是

15、否 开启了tcp/udp服务查看/clc/inctd.conf的配置，以及是否启用了 incld cat /etc/inetd. conf ps ef grep inetd被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注42杳看是否 运行rpc服 务，如果 有,都有哪 些rpc服务查看是否存在/etc/rc3.d/s71rpc或者执行：rpcinfo -p localhost查看有无输出 同时也需要查看/etc/inetd.conf查看都有哪些rpc服务开启。检杳是否查看/etc/inetd.conf的配置，是否注释了如下行43运行fingerfingerstre

16、amtcpnowaitnobody服务/usr/sbin/in.fingerdin.fingerd检杳是否查看/etc/inetd.conf的配置，是否注释了如下行允许r系loginstreamtcpno waitroot列服务，是/usr/sbin/in.rlogindin.rlogind否作了合shellstreamtcpnowaitroot理限制/usr/sbin/in.rshdin.rshd44execstreamtcpno waitroot/usr/sbin/in. rexecdin. rexecdcomsatdgramudpwaitroot/usr/sbin/satsattalkd

17、gramudpwaitroot/usr/sbin/in.talkdin.talkd被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注如果允许i服务的话，是否作了合理的限制：检查/etc/hosts.equiv,确保为空；以及$home/.rhosts> .netrc 等文件。45检查nfs 的访问限 制查看nfs的配置文件/ctc/cxport的设置是否指定了访问 export目录的主机名称。46查看是否 开启了 automounte i服务执行:is -alf /etc/auto_* ,查看执行结果； 执行：is -alf /etc/rc2.d/*autof

18、s,查看执行结果47审核其他 通过rc jj 式丿1动的 服务查看 /etc/rcl.d /etc/rc2.d/ /etc/i*c3.d/卜所有文件。48检查snmp 服 务状况执tt： is -alf /etc/rc3.d/*snmp*,查看执行结果，确认是否 运行snmp服务；如果运行snmp服务，应检查补丁安装情况。showrev -p检查相关补丁 id是否至少大于如下idos versionpatch idsunos 5.8108869-16被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注sunos 5.8_x86108870-16sunos 5.7107

19、709-19sunos 5.7_x86107710-19sunos 5.6106787-18sunos 5.6 x86106872-1849检杳snmpcommunity 设置状况检杏/etc/snmp/conl7snmpd.conf 文件中 community 的设置。50审核cde 服务的开 启状况查看/etc/rc2.d/目录下是否存在s99dtlogin文件。日志审计51审核 cron 行为，审核 是否配置 了审计功 能查看所有的cron任务在/var/spool/cron/crontabs文件中你口j以找到它们。同时需要查看是否配置了审计， 执行：more /etc/default!

20、cron 确认存在如下内容被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注cronlog=yes52对root用 户的登录 进行审计执行：more /etc/default/login 确认其屮存在如下内容：syslog=yes53审核是否 対login行 为作了记 录建议执行下述操作，实现对login行为的记录： touch /var/adm/loginlogchmod 600 /var/adm/loginlogchgrp sys /var/adm/loginlog54syslog.conf 的配冒审 核主要查看/etc/syslog.conf配置文件中是否设置

21、了 loghost55审核是否 对inetd启 动的tcp 服务的配 置了口志 记录功能执彳 j: more /etc/init.d/inetsvc确认其中存在如下内容(一般在该文件最后)/usr/sbin/inetd s t &安全增强配置56审核系统(1)系统是否设置登录警告，执行：more /etc/issue被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注和各类服 务的banner 设 置状况（2）ftp 登录信息，执more/etc/default/ftpdy 确认 文件相关配置是否作了改动：banner=xxxx （xxxx可以任意改变为任何一

22、个版本信息），将该 系统版本信息屏蔽。（3）te 1 net 登录信息，执行：more/etc/default/telnetd, 确认在文件中的加进以下一项banner=xxxx （xxxx nj*以任意改变为任何一个版本信息），将该 系统版木信息屏蔽。/etc/default/telnetd文件不存在,按如下步囑操作:touch /etc/default/telnetdecho nbanner=yn,» /etc/default/telnet 修改telnetd的属性chrnod 444 /etc/default/telneta57审核堆栈 缓冲溢出 攻击防护 设置执行：more

23、/etc/system 查看文件中是否有如下设置： set noexec_user_stack = 1 set noexec user stack log = 158查看eeprom 的执行：eeprom确认eeprom状态，查看是否有如下配置：被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注状态设置security-mode-full 或 security-mode-command59stop-a设置 审核查看/etc/default/kbd是否存在如卜配置：keyboardjbort=disable或者查看在/etc/system文件是否存在如下配置：set

24、abort enable = 060检查aset 启川情况执行pkginfo查看是否安装了 aset工具 或者执行whereis asset查看有无该工具61系统完整 性保护的 审核询问管理员是否安装了 tripwire或者aide类似软件高级安全配置62检查是否 设置最安 全的tcp 初始序列 号产生方 式，以提高 抗ip欺骗 能力查看在/etc/default/inetinit中是否存在如卜配置：tcp_strong_iss=2被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注63检杏是否 进行了缩 短arp缓 存有效期 的安全配 置询问管理员是否专门做过ips

25、tack优化调整；或者执彳亍：/usr/sbin/ndd -get /dev/arp arp_cleanup_interval检查返回值（以毫秒为单位，缺省值5分钟，建议60000）64检查是否 作了 ip stack 优 化，不响应 广播icmp echo request 报 文询问管理员是否专门做过ipstack优化调整；或者执行：/usr/sbin/ndd-get /dev/ipip _respond_to_echo broadcast检查返冋值，（系统缺省设置为1，表示响应广播ping,建 议0）65检查是否 作了 ip stack 优 化，禁止ip 源路由询问管理员是否专门做过ip

26、stack优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_forward_src_routed 检查返冋值，（系统缺省设置为1,建议0, 1表示允许ip 源路由）66检査是否询问管理员是否专门做过ipstack优化调整；被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结果补充说明备注作了 ip stack 优 化，禁止ip 转发或者执行：/usr/sbin/ndd -get /dev/ip ip_forwarding检查返冋值，系统缺省设置为1,建议0,如果此主机需要 路由则应该为167检杳是否 作了 ip stack 优 化，不转发 定向广播ip

27、报文询问管理员是否专门做过ipstack优化调整；或 者 执 行 ：/usr/sbin/ndd-get/dev/ipip_forward_directed_broadcasts检查返回值，（系统缺省设置为1,建议0）68检杳是否 作了 ip stack 优 化，忽略 icmp重定 向报文询问管理员是否专门做过ipstack优化调整；或者执行:/usr/sbin/ndd -get /dev/ip ip_ignore_redirect 检查返回值，系统缺省设置为0,表示接受icmp重定向 报文，建议改为169检查是否 作了 ip stack 优 化，不响应询问管理员是否专门做过ip stack优化调整；或 者 执 彳亍 :/usr/sbin/ndd-get/dev/ipip respond to address mask broadcast被审核部门审核人员审核日期陪同人员序号审核项目审核步骤防法审核结