SOLARIS操作系统安全配置规范

1、PAGE 中国移动通信集团公司第 PAGE 2 页 共 NUMPAGES 58 页2008-01-01实施2007-12-19发布Solaris操作系统安全配置规范安全配置规范Specification for Solaris OS Configuration Used in China Mobile版本号：1.0.0网络与信息安全规范编号:【网络与信息安全规范】【第二层：技术规范网元类】【第2501号】中国移动通信集团公司 发布 中国移动SOLARIS操作系统安全配置规范目录 TOC o 1-3 h z u HYPERLINK l _Toc185822397 1概述 PAGEREF _Toc

2、185822397 h 1 HYPERLINK l _Toc185822398 1.1适用范围 PAGEREF _Toc185822398 h 1 HYPERLINK l _Toc185822399 1.2内部适用性说明 PAGEREF _Toc185822399 h 1 HYPERLINK l _Toc185822400 1.3外部引用说明 PAGEREF _Toc185822400 h 3 HYPERLINK l _Toc185822401 1.4术语和定义 PAGEREF _Toc185822401 h 3 HYPERLINK l _Toc185822402 1.5符号和缩略语 PAGE

3、REF _Toc185822402 h 3 HYPERLINK l _Toc185822403 2Solaris设备安全配置要求 PAGEREF _Toc185822403 h 3 HYPERLINK l _Toc185822404 2.1账号管理、认证授权 PAGEREF _Toc185822404 h 3 HYPERLINK l _Toc185822405 2.1.1账号 PAGEREF _Toc185822405 h 3 HYPERLINK l _Toc185822406 2.1.2口令 PAGEREF _Toc185822406 h 6 HYPERLINK l _Toc18582240

4、7 2.1.3授权 PAGEREF _Toc185822407 h 9 HYPERLINK l _Toc185822408 2.2日志配置要求 PAGEREF _Toc185822408 h 12 HYPERLINK l _Toc185822409 2.3IP协议安全配置要求 PAGEREF _Toc185822409 h 15 HYPERLINK l _Toc185822410 2.3.1IP协议安全 PAGEREF _Toc185822410 h 15 HYPERLINK l _Toc185822411 2.3.2路由协议安全 PAGEREF _Toc185822411 h 18 HYPE

5、RLINK l _Toc185822412 2.4设备其他安全配置要求 PAGEREF _Toc185822412 h 20 HYPERLINK l _Toc185822413 2.4.1屏幕保护 PAGEREF _Toc185822413 h 20 HYPERLINK l _Toc185822414 2.4.2文件系统及访问权限 PAGEREF _Toc185822414 h 21 HYPERLINK l _Toc185822415 2.4.3物理端口及EEPROM的口令设置 PAGEREF _Toc185822415 h 22 HYPERLINK l _Toc185822416 2.4.4

6、补丁管理 PAGEREF _Toc185822416 h 23 HYPERLINK l _Toc185822417 2.4.5服务 PAGEREF _Toc185822417 h 24 HYPERLINK l _Toc185822418 2.4.6内核调整 PAGEREF _Toc185822418 h 27 HYPERLINK l _Toc185822419 2.4.7启动项 PAGEREF _Toc185822419 h 27前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部。本标准解释单位：同提出单位。本标准主

7、要起草人：中国移动集团重庆公司 邓光中国移动集团公司陈敏时中国移动通信和设备通用安全配置规范PAGE 55概述适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用SOLARIS操作系统的设备。本规范明确了SOLARIS操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的SOLARIS操作系统版本。内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的Solaris操作系统安全配置要求。以下分项列出本规范对通用规范设备配置要求的修订情况：编号采纳意见补充说明安全

8、要求-设备-通用-配置-1-可选增强要求安全要求-设备-SOLARIS-配置-1安全要求-设备-通用-配置-2-可选增强要求安全要求-设备-SOLARIS-配置-2安全要求-设备-通用-配置-3-可选增强要求安全要求-设备-SOLARIS-配置-3安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-6-可选完全采纳安全要求-设备-通用-配置-7-可选完全采纳安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选部分采纳,需要应用系统的支持安全要求-设备-SOLARIS-配置-15-

9、可选安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选不采纳需要采用第三方产品支持安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选完全采纳安全要求-设备-通用-配置-20-可选完全采纳安全要求-设备-通用-配置-27-可选完全采纳本规范新增的安全配置要求，如下：安全要求-设备-SOLARIS-配置-4-可选安全要求-设备-SOLARIS-配置-5-可选安全要求-设备-SOLARIS-配置-6安全要求-设备-SOLARIS-配置-12-可选安全要求-设备-SOLARIS-配置-13

10、-可选安全要求-设备-SOLARIS-配置-18-可选安全要求-设备-SOLARIS-配置-19-可选安全要求-设备-Solaris-配置-21-可选安全要求-设备-Solaris-配置-22-可选安全要求-设备-SOLARIS-配置-23-可选安全要求-设备-SOLARIS-配置-24-可选安全要求-设备-Solaris-配置-27-可选安全要求-设备-SOLARIS-配置- 28-可选安全要求-设备-SOLARIS-配置-30-可选安全要求-设备-SOLARIS-配置-31-可选安全要求-设备-Solaris-配置-32-可选安全要求-设备-Solaris-配置-33安全要求-设备-Sol

11、aris-配置-34-可选安全要求-设备-Solaris-配置-35-可选安全要求-设备-Solaris-配置-36-可选安全要求-设备-Solaris-配置-PZ -37本规范还针对直接引用通用规范的配置要求，给出了在Solaris操作系统上的具体配置方法和检测方法。外部引用说明中国移动通用安全功能和配置规范术语和定义符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述Solaris设备安全配置要求本规范所指的设备为采用SOLARIS操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用SOLARIS操作系统的设备。本规范从运行SOLARI

12、S操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。账号管理、认证授权账号编号： 安全要求-设备-SOLARIS-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置

13、不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号： 安全要求-设备-SOLARIS-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。操作指南1、参考配置操作删除用户：#userdel username; 锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可

14、使用，#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。编号： 安全要求-设备-SOLARIS-配置-3要求内容限制具备超级管理员权限的用户远

15、程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南参考配置操作编辑/etc/default/login，加上：CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启s

16、shd服务。Solaris 8上没有该路径/usr/local/etc下有该文件Solaris 9上有该路径/文件检测方法1、判定条件root远程登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。编号

17、： 安全要求-设备-SOLARIS-配置-4-可选要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作创建帐户组：#groupadd g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod g group username #将用户username分配到group组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail

18、 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#id username 2、检测操作查看组文件：cat /etc/group 3、补充说明文件中的格式说明：group_name:GID:user_list 编号： 安全要求-设备-SOLARIS

19、-配置-5-可选要求内容对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。操作指南1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除账号：#userdel username;2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等检测方法1、判定条件被禁止账号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorre

20、ct，如果root用户没设密码没有任何提示信息直接退出；3、补充说明口令编号： 安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作 vi /etc/default/passwd ，修改设置如下PASSLENGTH = 6 #设定最小用户密码长度为6位MINALPHA=2；MINNONALPHA=1 #表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。当用root帐户给用户设定口令的时候不受任何限制，只要不超长。2、补充操作说明Solaris10默认如下各行都被注释掉，

21、并且数值设置和解释如下：MINDIFF=3 # Minimum differences required between an old and a new password.MINALPHA=2 # Minimum number of alpha character required.MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required.MINUPPER=0 # Minimum number of upper case letters required.MINLOWER=0 #

22、Minimum number of lower case letters required.MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters.MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required.MINDIGIT=0 # Minimum number of digits required.WHITESPACE=YESSolaris8默认没有这部分的数值设置需要手工添加NIS系

23、统无法生效，非NIS系统或NIS+系统能够生效。 检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：配置口令的最小长度；将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明对于Solaris 8以前的版本，PWLEN对应PASSLENGTH等，需根据/etc/default/passwd文件说明确定。

24、NIS系统无法生效，非NIS系统或NIS+系统能够生效。编号： 安全要求-设备-通用-配置-5要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。操作指南1、参考配置操作vi /etc/default/passwd文件：MAXWEEKS=13密码的最大生存周期为13周；（Solaris 8&10）PWMAX= 90 #密码的最大生存周期；（Solaris 其它版本）2、补充操作说明对于Solaris 8以前的版本，PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等，需根据/etc/default/passwd文件说明确定。NIS系统无法生效，非NIS系统或NIS

25、+系统能够生效。检测方法1、判定条件登录不成功；2、检测操作使用超过90天的帐户口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；NIS系统无法生效，非NIS系统或NIS+系统能够生效。编号： 安全要求-设备-通用-配置-6-可选要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作vi /etc/default/passwd ，修改设置如下HISTORY52、补充操作说明#HISTORY sets the number of prior password changes to keep and# check

26、for a user when changing passwords. Setting the HISTORY# value to zero (0), or removing/commenting out the flag will# cause all users prior password history to be discarded at the# next password change by any user. No password history will# be checked if the flag is not present or has zero value.# T

27、he maximum value of HISTORY is 26.NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定条件设置密码不成功2、检测操作cat /etc/default/passwd ，设置如下HISTORY53、补充说明默认没有HISTORY的标记，即不记录以前的密码NIS系统无法生效，非NIS系统或NIS+系统能够生效。编号： 安全要求-设备-通用-配置-7-可选要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被

28、锁定：vi /etc/user_attrvi /etc/security/policy.conf设置LOCK_AFTER_RETRIES=YES设置重试的次数：vi /etc/default/login在文件中将RETRIES行前的#去掉，并将其值修改为RETRIES7。保存文件退出。2、补充操作说明默认值为：LOCK_AFTER_RETRIESNOlock_after-retriesnoRETRIES= 5，即等于或大于5次时被锁定。root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。NIS系统无法生效，非NIS系统或NIS+系统能够生效。检测方法1、判定

29、条件帐户被锁定，不再提示让再次登录；2、检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）；补充说明root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。NIS系统无法生效，非NIS系统或NIS+系统能够生效。授权编号： 安全要求-设备-通用-配置-9要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明etc/passwd 必须所有用户都可读，root用户可写 rw-rr /etc/shadow 只有r

30、oot可读 r /etc/group 必须所有用户都可读，root用户可写 rw-rr使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w /etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检

31、测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。3、补充说明编号： 安全要求-设备-SOLARIS-配置-12-可选要求内容 HYPERLINK /zh_cn/5187-2211/ch07s08.html t _blank 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文

32、件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。操作指南参考配置操作设置默认权限：vi /etc/default/login在末尾增加umask 027修改文件或目录的权限，操作举例如下：#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：

33、#ls -l dir ; #查看目录dir的权限#cat /etc/default/login 查看是否有umask 027内容3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。编号： 安全要求-设备-SOLARIS-配置-13-可选要求内容 HYPERLINK /zh_

34、cn/5187-2211/ch07s08.html t _blank 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。操作指南1、参考配置操作限制某些系统帐户不准ftp登录:通过修改ftpusers文件，增加帐户#vi /etc/ftpusers #Solaris 8#vi /etc/ftpd/ftpusers #Solaris 10限制用户可使用FTP不能用Telnet，假如用户为ftpxll创建一个/etc/shells文件, 添加一行 /bin/true;修改/etc/passwd文件，ftpxll:x:119:1:/home/ft

35、pxll:/bin/true注：还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能够登录ftp限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess，加入如下一行restricted-uid *(限制所有)，restricted-uid username（特定用户） ftpaccess文件与ftpusers文件在同一目录 d. 设置ftp用户登录后对文件目录的存取权限，可编辑/etc/ftpd/ftpaccess。chmod no guest,anonymous delete no guest,anonymous overwrite no guest,ano

36、nymous rename no guest,anonymous umask no anonymous2、补充操作说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#more /etc/ftpusers #Solaris 8#more /etc/ftpd/ftpusers #Solaris 10#more /etc/pa

37、sswd#more /etc/ftpaccess #Solaris 8#more /etc/ftpd/ftpaccess #Solaris 103、补充说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4日志配置要求本部分对SOLARIS操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件

38、发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。编号： 安全要求-设备-通用-配置-12要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作修改文件：vi /etc/default/login ，设置SYSLOG=YES。,SOLARIS10是wtmpx文件,Solaris8 是wtmp,wtmps,文件中记录着所有登录过主机的用户，时间，来源等内容，这两个文件不具

39、可读性，可用last命令来看。2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。2、检测操作查看文件：more /etc/default/login 中的SYSLOG=YES/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户，时间，来源等内容，该文件不具可读性，可用last命令来看。# last 3、补充说明如果/var/adm/wtmpx或者wtmp,wtmps文件会增长很快，大小达到2G以上，可先压缩，FTP出来后，删除该文件，再创建空文件，一定要创建空文件，否则可能出现系统无法启动。编号： 安全要求-设备-S

40、OLARIS-配置-15-可选要求内容设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下/usr/lib/acct/accton /var/adm/pacct，执行读取命令lastcomm user name。2、补充操作说明检测方法1、

41、判定条件能够显示出包含配置内容中所要求的全部内容。2、检测操作# lastcomm user name3、补充说明编号： 安全要求-设备-通用-配置-24-可选要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。2、补充操作说明检测方法1、判定条件查看/var/adm/messages，记录有需要的设备相关的安全事件。2、检测操作修改配置文件vi /etc/syslo

42、g.conf，配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。3、补充说明编号： 安全要求-设备-通用-配置-14-可选要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，加上这一行：*.* 可以将*.*替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。可以将此处替换为实际的IP或域名。重新启动syslog服务，依次执行下列命令：/etc/init.d/syslog stop/

43、etc/init.d/syslog start 2、补充操作说明注意：*.*和之间为一个Tab适用于Solaris 9 之前版本，Solaris 10测试未成功；检测方法1、判定条件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。3、补充说明编号： 安全要求-设备-SOLARIS-配置-18-可选要求内容设备应配置日志功能，记录用户使用SU命令的情况，记录不良的尝试记录。操作指南1、参考配置操作修改文件：vi /etc/default/su 设置SYSLOG=YES.使用以下方法使尝试登录失败记录有效：touch /var/log

44、/loginlog;chmod 600 /var/log/loginlog;chgrp sys /var/log/loginlog查看sulog日志，记载着普通用户尝试su成为其它用户的纪录，more /var/adm/sulog 2、补充操作说明它的格式为： 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户检测方法1、判定条件有类似如下格式记录：SU 01/01 00:30 + console root-root或SU 08/20 13:44 + pts/2 xll-root2、检测操作查看sulog日志，记载着普通用户尝试su成为其它用户的纪录more /var/adm/s

45、ulog3、补充说明它的格式为： 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户编号： 安全要求-设备-SOLARIS-配置-19-可选要求内容系统上运行的应用/服务也应该配置相应日志选项，比如cron。操作指南1、参考配置操作对所有的cron行为进行审计：在 /etc/default/cron里设置CRONLOG=yes 来记录corn的动作。2、补充操作说明检测方法1、判定条件日志中能够列出相应的应用/服务的详细日志信息；2、检测操作查看日志存放文件，如cron的日志：more /var/cron/log 3、补充说明IP协议安全配置要求 IP协议安全编号： 安全要求-设

46、备-通用-配置-17-可选要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。操作指南1、参考配置操作Solaris 10以前的版本需另外安装，才能使用SSH。Solaris 10启用SSH的命令：svcadm enable sshSolaris 10禁用Telnet的命令：svcadm disable telnetSolaris 8 如果安装openssh正常可以通过#/etc/init.d/sshd start来启动SSH;通过#/etc/init.d/sshd stop来停止SSH2、补充操作说明查看SSH服务状态：# ps elf|grep sshSolaris

47、 10还可以通过命令：# svcs -a |grep ssh 若为online，即为生效。检测方法判定条件# ps elf|grep ssh是否有ssh进程存在Solaris 10还可以通过命令# svcs -a |grep sshSSH服务状态查看结果为：online telnet服务状态查看结果为：disabled2、检测操作查看SSH服务状态：# ps elf|grep ssh查看telnet服务状态：# ps elf|grep telnet3、补充说明查看SSH服务状态：Solaris 10还可以使用# svcs -a |grep ssh 查看telnet服务状态：Solaris 10

48、还可以使用# svcs -a |grep telnet编号： 安全要求-设备-SOLARIS-配置-21-可选要求内容设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。操作指南1、参考配置操作开放的服务列表SOLARIS8&9命令: # cat /etc/inetd.confSOLARIS10命令:inetadm开放的端口列表命令: # netstat -an 服务端口和进程对应表：命令：cat /etc/services2、补充操作说明ftp-data 20/tcpftp 21/tcpssh 22/tcptelnet 23/tcpsmtp 25/tcppop2 109/tcppop

49、3 110/tcpimap 143/tcpldap 389/udptftp 69/udprje 77/tcpfinger 79/tcplink 87/tcp supdup 95/tcpiso-tsap 102/tcpx400 103/tcp x400-snd 104/tcpntp 123/tcplogin 513/tcpshell 514/tcpsyslog 514/udp检测方法1、判定条件能够列出端口和服务对应表。2、检测操作开放的服务列表命令: # cat /etc/inetd.confinetdadm开放的端口列表命令: # netstat -an 服务端口和进程对应表：命令：cat

50、/etc/services3、补充说明编号： 安全要求-设备-SOLARIS-配置-22-可选要求内容对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定。操作指南参考配置操作编辑/etc/hosts.allow和/etc/hosts.deny两个文件vi /etc/hosts.allow增加一行 : 允许访问的IP；举例如下：all:4:allow #允许单个IP；ssh:192.168.1.:allow #允许192.168.1的整个网段vi /etc/hosts.deny增加一行 all:all重启进程：#pkill -HUP inetd2、补充操作说明

51、solaris9 for x86下，更改/etc/inetd.conf文件后，重启inetd的命令是：#pkill -HUP inetd#/etc/init.d/inetsvc startsolaris 10 X86下，可以用如下命令重启inetd:svcadm enable svc:/network/inetd检测方法1、判定条件被允许的服务和IP范围可以登录到该设备，其它的都被拒绝。2、检测操作查看/etc/hosts.allow和/etc/hosts.deny两个文件cat /etc/hosts.allowcat /etc/hosts.deny3、补充说明路由协议安全编号： 安全要求-设

52、备-SOLARIS-配置-23-可选要求内容主机系统应该禁止ICMP重定向，采用静态路由。操作指南1、参考配置操作禁止系统发送ICMP重定向包：在/etc/rc2.d/S?inet中做如下参数调整，ndd -set /dev/ip ip_send_redirects=0 # default is 1设置in.routed运行在静态路由模式：创建文件/usr/sbin/in.routed为以下内容:#! /bin/sh/usr/sbin/in.routed q改变文件属性：chmod 0755 /usr/sbin/in.routed2、补充操作说明检测方法1、判定条件在/etc/rc2.d/S?

53、inet搜索看是否有ndd -set /dev/ip ip_send_redirects=0内容/etc/rc2.d/S69inet中包含的是ndd -set /dev/ip ip6_send_redirects=02、检测操作查看当前的路由信息：#netstat -rn3、补充说明编号： 安全要求-设备-SOLARIS-配置-24-可选要求内容对于不做路由功能的系统，应该关闭数据包转发功能。操作指南参考配置操作vi /etc/init.d/inetinitIP Forwarding (IP转发) a. 关闭IP转发 ndd -set /dev/ip ip_forwarding 0 b. 严格

54、限定多主宿主机,如果是多宿主机，还可以加上更严格的限定防止ip spoof的攻击 ndd -set /dev/ip ip_strict_dst_multihoming 1 c. 转发包广播由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭这一特性 ndd -set /dev/ip ip_forward_directed_broadcasts 0 路由： a. 关闭转发源路由包 ndd -set /dev/ip ip_forward_src_routed 02、补充操作说明注意：启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全

55、隐患。对于Solaris 2.4(或者更低版本)，在/etc/init.d/inetinit文件的最后增加一行 ndd -set /dev/ip ip_forwarding 0 对于Solaris 2.5(或者更高版本),在/etc目录下创建一个叫notrouter的空文件，touch /etc/notrouter检测方法1、判定条件2、检测操作查看/etc/init.d/inetinit文件cat /etc/init.d/inetinit3、补充说明注意：启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。设备其他安全配置要求本部分作为对

56、于SOLARIS操作系统设备除账号认证、日志、协议等方面外的安全配置要求的补充，对SOLARIS操作系统设备提出上述安全功能需求。包括补丁升级、文件系统管理等其他方面的安全能力，该部分作为前几部分安全配置要求的补充。屏幕保护编号： 安全要求-设备-通用-配置-19-可选要求内容对于具备字符交互界面的设备，应配置定时帐户自动登出。操作指南1、参考配置操作可以在用户的.profile文件中HISTFILESIZE=后面增加如下行：vi/etc/profile$ TMOUT=180;export TMOUT 改变这项设置后，重新登录才能有效。2、补充操作说明若修改了login文件，如下：vi /et

57、c/default/login # TIMEOUT sets the number of seconds (between 0 and 900) to wait before # abandoning a login session. TIMEOUT=180 这里的超时设置针对登录过程，而不是登录成功后的shell会话超时设置。检测方法1、判定条件若在设定时间内没有操作动作，能够自动退出，即为符合；2、检测操作用root帐户登录后，在设定时间内不进行任何操作，检查帐户是否登出。3、补充说明编号： 安全要求-设备-通用-配置-20-可选要求内容对于具备图形界面（含WEB界面）的设备，应配置定时自

58、动屏幕锁定。操作指南1、参考配置操作在CDE面板中(打印机右边)，打开style manager；或者使用命令#/usr/dt/bin/dtstyle可以调出style manager；选中 ScreenScreen Saver onScreen Lock on 2、补充操作说明手动锁屏幕方法：直接点击桌面上的锁图标。检测方法1、判定条件登录后，在设定时间内不进行任何操作，检查屏幕被锁定即为符合。2、检测操作登录后，在设定时间内不进行任何操作，检查屏幕是否被锁定。3、补充说明文件系统及访问权限编号： 安全要求-设备-SOLARIS-配置-27-可选要求内容涉及账号、账号组、口令、服务等的重要文

59、件和目录的权限设置不能被任意人员删除，修改。操作指南1、参考配置操作查看重要文件和目录权限：ls l更改权限：对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本。2、补充操作说明检测方法1、判定条件用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作不能够成功即为符合。2、检测操作查看重要文件和目录权限：ls l用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作3、补充说明编号： 安全要求-设备-SOLARIS-配置-28-可选要求内容应该从应用层面进行必要的安全访问控制，比如F

60、TP服务器应该限制ftp可以使用的目录范围。操作指南1、参考配置操作限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess，加入如下一行restricted-uid *(限制所有用户)，restricted-uid username（特定用户） 2、补充操作说明ftpaccess文件与ftpusers文件在同一目录,Solaris 8为/etc/, Solaris 10为/etc/ftpd/ 3、补充说明检测方法1、判定条件访问被禁止或被限制；2、检测操作root帐户从远程访问3、补充说明物理端口及EEPROM的口令设置编号： 安全要求-设备-通用-配置-27-可选要求内容对于具备co