配置中国移动网速测试

中国移动通信集团公司第I页共37页中国移动Solaris操作系统安全配置规范SpecificationforSolarisOSConfigurationUsedinChinaMobile版本号:2.
0.
0网络与信息安全规范编号:【网络与信息安全规范】·【第二层:技术规范·网元类】·【第2501号】2008-11-10draft2008-01-01实施中国移动通信集团公司发布中国移动SOLARIS操作系统安全配置规范中国移动通信集团公司第1页共37页目录1概述.
11.
1适用范围.
11.
2内部适用性说明.
11.
3外部引用说明.
31.
4术语和定义.
31.
5符号和缩略语.
32SOLARIS设备安全配置要求32.
1账号管理、认证授权.
42.
1.
1账号42.
1.
2口令62.
1.
3授权112.
2日志配置要求.
142.
3IP协议安全配置要求192.
3.
1IP协议安全192.
3.
2路由协议安全222.
4设备其他安全配置要求.
242.
4.
1屏幕保护242.
4.
2文件系统及访问权限252.
4.
3物理端口及EEPROM的口令设置.
262.
4.
4补丁管理282.
4.
5服务292.
4.
6内核调整322.
4.
7启动项32中国移动SOLARIS操作系统安全配置规范中国移动通信集团公司第2页共37页前言前言本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册等文档的依据.
本规范是该系列规范之一,明确了中国移动SOLARIS操作系统安全配置的要求,并作为本系列其他规范的编制基础.
本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他安全要求4个方面,提出了基本安全配置要求.
同时,结合实际情况,进一步将各项安全要求分为"必选"和"可选"两类,其中必选要求XX项,可选要求XX项.
原则上,中国移动各类设备必须满足与其相关的全部必选要求,有选择的满足可选要求.
本标准由中移号文件印发.
本标准由中国移动通信有限公司网络部提出并归口.
本标准由标准提出并归口部门负责解释.
本标准起草单位:中国移动通信有限公司网络部.
本标准解释单位:同提出单位.
本标准主要起草人:中国移动集团重庆公司邓光艳13808304608中国移动集团公司陈敏时13911773802中国移动通信和IT设备通用安全配置规范11概述1.
1适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用SOLARIS操作系统的设备.
本规范明确了SOLARIS操作系统配置的基本安全要求,在未特别说明的情况下,均适用于所有运行的SOLARIS操作系统版本.
1.
2内部适用性说明本规范是在《中国移动设备通用安全功能和配置规范V2.
0》(以下简称《通用规范V2.
0》)各项设备配置要求的基础上,提出的Solaris操作系统安全配置要求.
以下分项列出本规范对《通用规范》设备配置要求的修订情况:编号说明:1-30编号和《通用规范V2.
0》是一一对应关系.
31以后的编号是SOLARIS操作系统安全配置规范中增加的项目.
编号采纳意见补充说明安全要求-设备-通用-配置-1完全采纳安全要求-设备-通用-配置-2完全采纳安全要求-设备-通用-配置-3-可选增强要求安全要求-设备-SOLARIS-配置-3(并修改内容)安全要求-设备-通用-配置-4部分采纳目前很多建立在UNIX的应用系统是支持6位的,如果支持8位的都需要进行程序修改,涉及面广.
有待进一步商讨,目前暂时对要求内容进行了修改.
安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-29-可选完全采纳安全要求-设备-通用-配置-6-可选完全采纳安全要求-设备-通用-配置-7-可选完全采纳中国移动通信和IT设备通用安全配置规范2安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选部分采纳,需要应用系统的支持安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-28完全采纳安全要求-设备-通用-配置-16-可选不采纳需要采用第三方产品支持安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19部分采纳安全要求-设备-通用-配置-19-可选通用规范为必选项目,建议改为可选.
安全要求-设备-通用-配置-20-可选完全采纳安全要求-设备-通用-配置-27部分采纳安全要求-设备-通用-配置-27-可选通用规范为必选项目,建议改为可选.
本规范新增的安全配置要求,如下:安全要求-设备-SOLARIS-配置-31-可选安全要求-设备-SOLARIS-配置-32-可选安全要求-设备-SOLARIS-配置-33-可选安全要求-设备-SOLARIS-配置-34-可选安全要求-设备-SOLARIS-配置-18-可选安全要求-设备-SOLARIS-配置-22-可选安全要求-设备-SOLARIS-配置-35-可选安全要求-设备-SOLARIS-配置-36-可选安全要求-设备-SOLARIS-配置-37-可选安全要求-设备-SOLARIS-配置-38-可选安全要求-设备-SOLARIS-配置-39-可选安全要求-设备-SOLARIS-配置-40-可选中国移动通信和IT设备通用安全配置规范3安全要求-设备-SOLARIS-配置-41-可选安全要求-设备-SOLARIS-配置-42-可选安全要求-设备-SOLARIS-配置-43-可选安全要求-设备-SOLARIS-配置-44-可选安全要求-设备-SOLARIS-配置-45-可选本规范还针对直接引用《通用规范》的配置要求,给出了在Solaris操作系统上的具体配置方法和检测方法.
1.
3外部引用说明《中国移动通用安全功能和配置规范》1.
4术语和定义1.
5符号和缩略语(对于规范出现的英文缩略语或符号在这里统一说明.
)缩写英文描述中文描述2Solaris设备安全配置要求本规范所指的设备为采用SOLARIS操作系统的设备.
本规范提出的安全配置要求,在未特别说明的情况下,均适用于采用SOLARIS操作系统的设备.
本规范从运行SOLARIS操作系统设备的认证授权功能、安全日志功能、IP中国移动通信和IT设备通用安全配置规范4网络安全功能,其他自身安全配置功能四个方面提出安全配置要求.
2.
1账号管理、认证授权2.
1.
1账号编号:安全要求-设备-SOLARIS-配置-1要求内容应按照用户分配账号.
避免不同用户间共享账号.
避免用户账号和设备间通信使用的账号共享.
操作指南1、参考配置操作为用户创建账号:#useraddusername#创建账号#passwdusername#设置密码修改权限:#chmod750directory#其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等.
2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作;2、检测操作使用不同的账号进行登录并进行一些常用操作;3、补充说明编号:安全要求-设备-SOLARIS-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号.
操作指南1、参考配置操作删除用户:#userdelusername;锁定用户:1)修改/etc/shadow文件,用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd-lusername只有具备超级用户权限的使用者方可使用,#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码.
禁止账号交互式登录:修改/etc/shadow文件,用户名后密码列为NP;2、补充操作说明需要锁定的用户:listen、gdm、webservd、nobody、nobody4、noaccess.
中国移动通信和IT设备通用安全配置规范5禁止交互登录的系统账号,比如daemon、bin、sys、adm、lp、uucp、nuucp、smmsp.
检测方法1、判定条件被删除或锁定的账号无法登录成功;禁止交互式登录的帐号远程无法登录成功.
2、检测操作使用删除或锁定的与工作无关的帐号登录系统;使用禁止交互式登录的帐号远征登录系统.
3、补充说明需要锁定的用户:listen、gdm、webservd、nobody、nobody4、noaccess.
禁止交互登录的系统账号:daemon、bin、sys、adm、lp、uucp、nuucp、smmsp等.
禁止交互式登录的帐号,在本地可以登录.
编号:安全要求-设备-SOLARIS-配置-3要求内容限制具备超级管理员权限的用户远程登录.
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作.
操作指南1、参考配置操作限制root远程telnet登录:编辑/etc/default/login,加上:CONSOLE=/dev/console#IfCONSOLEisset,rootcanonlyloginonthatdevice.
限制root远程ssh登录:修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务.
Solaris8上没有该路径/usr/local/etc下有该文件Solaris9上有该路径/文件重启sshd服务:Solaris10以前:#/etc/init.
d/sshdstop#/etc/init.
d/sshdstartSolaris10:#svcadmdisablessh#svcadmenablessh2、补充操作说明Solaris8上默认是没有安装ssh的,需要安装软件包.
检测方法1、判定条件root远程登录不成功,提示"Notonsystemconsole";普通用户可以登录成功,而且可以切换到root用户;2、检测操作root从远程使用telnet登录;普通用户从远程使用telnet登录;中国移动通信和IT设备通用安全配置规范6root从远程使用ssh登录;普通用户从远程使用ssh登录;3、补充说明编号:安全要求-设备-SOLARIS-配置-4-可选要求内容根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组.
操作指南1、参考配置操作创建帐户组:#groupadd–gGIDgroupname#创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;#usermod–ggroupusername#将用户username分配到group组中.
查询被分配到的组的GID:#idusername可以根据实际需求使用如上命令进行设置.
2、补充操作说明可以使用-g选项设定新组的GID.
0到499之间的值留给root、bin、mail这样的系统账号,因此最好指定该值大于499.
如果新组名或者GID已经存在,则返回错误信息.
当group_name字段长度大于八个字符,groupadd命令会执行失败;当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如#newgrpsys即把当前用户以sys组身份运行;检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中;或都通过命令检查账号是否属于应有的组:#idusername2、检测操作查看组文件:cat/etc/group查看密码文件:cat/etc/passwd3、补充说明文件中的格式说明:group_name::GID:user_listusername:password:uid:gid:gcos-ield:home-dir:login-shell2.
1.
2口令编号:安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类.
中国移动通信和IT设备通用安全配置规范7操作指南1、参考配置操作vi/etc/default/passwd,修改设置如下PASSLENGTH=6#设定最小用户密码长度为6位MINALPHA=2;MINNONALPHA=1#表示至少包括两个字母和一个非字母;具体设置可以参看补充说明.
当用root帐户给用户设定口令的时候不受任何限制,只要不超长.
2、补充操作说明Solaris10默认如下各行都被注释掉,并且数值设置和解释如下:MINDIFF=3#Minimumdifferencesrequiredbetweenanoldandanewpassword.
MINALPHA=2#Minimumnumberofalphacharacterrequired.
MINNONALPHA=1#Minimumnumberofnon-alpha(includingnumericandspecial)required.
MINUPPER=0#Minimumnumberofuppercaselettersrequired.
MINLOWER=0#Minimumnumberoflowercaselettersrequired.
MAXREPEATS=0#Maximumnumberofallowableconsecutiverepeatingcharacters.
MINSPECIAL=0#Minimumnumberofspecial(non-alphaandnon-digit)charactersrequired.
MINDIGIT=0#Minimumnumberofdigitsrequired.
WHITESPACE=YESSolaris8默认没有这部分的数值设置需要手工添加NIS系统无法生效,非NIS系统或NIS+系统能够生效.
检测方法1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作1、检查口令强度配置选项是否可以进行如下配置:i.
配置口令的最小长度;ii.
将口令配置为强口令.
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置.
3、补充说明对于Solaris8以前的版本,PWLEN对应PASSLENGTH等,需根据/etc/default/passwd文件说明确定.
NIS系统无法生效,非NIS系统或NIS+系统能够生效.
中国移动通信和IT设备通用安全配置规范8编号:安全要求-设备-通用-配置-5要求内容对于采用静态口令认证技术的设备,维护人员使用的帐户口令的生存期不长于90天.
操作指南1、参考配置操作vi/etc/default/passwd文件:MAXWEEKS=13密码的最大生存周期为13周;(Solaris8&10)PWMAX=90#密码的最大生存周期;(Solaris其它版本)2、补充操作说明对于Solaris8以前的版本,PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等,需根据/etc/default/passwd文件说明确定.
NIS系统无法生效,非NIS系统或NIS+系统能够生效.
检测方法1、判定条件登录不成功;2、检测操作使用超过90天的帐户口令登录;3、补充说明测试时可以将90天的设置缩短来做测试;NIS系统无法生效,非NIS系统或NIS+系统能够生效.
编号:安全要求-设备-通用-配置-29-可选要求内容对于采用静态口令认证技术的设备,设备间通信使用的账户口令的生存期不长于180天.
操作指南1、参考配置操作vi/etc/shadow文件:对需要设置过期时间的帐户,在相应列设置时间,shadow文件格式说明如下:username:password:lastchg:min:max:warn:inactive:expire:lag修改其中的expire字段为合适的时间,这个时间的相对时间是1970年1月1日,如从1970年1月1日到2008年11月1日是14184天,如果此数字设置为14364,那么该帐户到2009年4月30日过期.
2、补充操作说明Solaris8,9可通过图形化工具admintool对个别帐号进行设置.
Solairs10可通过图形化工具smc对个别帐号进行设置.
检测方法1、判定条件登录不成功;2、检测操作使用超过180天的帐户口令登录;3、补充说明测试时可以将90天的设置缩短来做测试;中国移动通信和IT设备通用安全配置规范9编号:安全要求-设备-通用-配置-6-可选要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令.
操作指南1、参考配置操作vi/etc/default/passwd,修改设置如下HISTORY=52、补充操作说明#HISTORYsetsthenumberofpriorpasswordchangestokeepand#checkforauserwhenchangingpasswords.
SettingtheHISTORY#valuetozero(0),orremoving/commentingouttheflagwill#causeallusers'priorpasswordhistorytobediscardedatthe#nextpasswordchangebyanyuser.
Nopasswordhistorywill#becheckediftheflagisnotpresentorhaszerovalue.
#ThemaximumvalueofHISTORYis26.
NIS系统无法生效,非NIS系统或NIS+系统能够生效.
检测方法1、判定条件设置密码不成功2、检测操作cat/etc/default/passwd,设置如下HISTORY=53、补充说明默认没有HISTORY的标记,即不记录以前的密码.
NIS系统无法生效,非NIS系统或NIS+系统能够生效.
编号:安全要求-设备-通用-配置-7-可选要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号.
操作指南1、参考配置操作设置帐户登录失败前允许尝试的次数:vi/etc/default/login在文件中将RETRIES行前的#去掉,并将其值修改为RETRIES=7.
设定当本地用户登陆失败次数等于或者大于允许的尝试次数时锁定帐号:vi/etc/security/policy.
conf设置LOCK_AFTER_RETRIES=YES设置哪些帐户在达到登录失败次数时锁定,如下所示,将要修改的帐户行后面加lock_after_retries=yesvi/etc/user_attrroot::::auths=solaris.
*,solaris.
grant;profiles=All;type=normal;lock_after_retries=yes为了安全可以将root和不需要锁定的帐户设置为no.
中国移动通信和IT设备通用安全配置规范102、补充操作说明默认值为:LOCK_AFTER_RETRIES=NOlock_after-retries=noRETRIES=5,即等于或大于5次时被锁定.
设定帐号锁定时间为10分钟(600秒):vi/etc/default/login在文件中将DISABLETIME行前的#去掉,并将其值修改为DISABLETIME=600.
锁定时间为600秒,600秒以后可再次登录.
root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用.
NIS系统无法生效,非NIS系统或NIS+系统能够生效.
检测方法1、判定条件帐户被锁定,不再提示让再次登录;锁定时候过后可继续登录.
2、检测操作创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录6次以上(不含6次);锁定时间过后可继续使用此帐号登录.
2、补充说明root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用.
NIS系统无法生效,非NIS系统或NIS+系统能够生效.
要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号.
操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:vi/etc/user_attrvi/etc/security/policy.
conf设置LOCK_AFTER_RETRIES=YES设置重试的次数:vi/etc/default/login在文件中将RETRIES行前的#去掉,并将其值修改为RETRIES=7.
保存文件退出.
2、补充操作说明默认值为:LOCK_AFTER_RETRIES=NOlock_after-retries=noRETRIES=5,即等于或大于5次时被锁定.
中国移动通信和IT设备通用安全配置规范11root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用.
NIS系统无法生效,非NIS系统或NIS+系统能够生效.
检测方法1、判定条件帐户被锁定,不再提示让再次登录;2、检测操作创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录6次以上(不含6次);3、补充说明root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用.
NIS系统无法生效,非NIS系统或NIS+系统能够生效.
2.
1.
3授权编号:安全要求-设备-通用-配置-9要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限.
操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置.
2、补充操作说明/etc/passwd必须所有用户都可读,root用户可写–rw-r—r—/etc/shadow只有root可读–r--------/etc/group必须所有用户都可读,root用户可写–rw-r—r—使用如下命令设置:chmod644/etc/passwdchmod400/etc/shadowchmod644/etc/group如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)执行命令#chmod-Rgo-w/etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;2、记录能够配置的权限选项内容;3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源.
2、检测操作1、利用管理员账号登录系统,并创建2个不同的用户;2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;3、为两个用户分别配置不同的权限,2个用户的权限差异应能够分中国移动通信和IT设备通用安全配置规范12别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;4、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效.
3、补充说明编号:安全要求-设备-SOLARIS-配置-31-可选要求内容控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限.
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制.
操作指南1、参考配置操作设置默认权限:vi/etc/default/login在末尾增加umask027#vi/etc/profile修改其中的umask为027修改文件或目录的权限,操作举例如下:#chmod444dir;#修改目录dir的权限为所有人都为只读.
根据实际情况设置权限;2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置.
检测方法1、判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;2、检测操作查看新建的文件或目录的权限,操作举例如下:#ls-ldir;#查看目录dir的权限#cat/etc/default/login查看是否有umask027内容#cat/etc/profile查看是否有umask027内容3、补充说明umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限.
umask的计算:umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值.
编号:安全要求-设备-SOLARIS-配置-32-可选要求内容控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限.
操作指南1、参考配置操作中国移动通信和IT设备通用安全配置规范13a.
限制某些系统帐户不准ftp登录:通过修改ftpusers文件,增加帐户#vi/etc/ftpusers#Solaris8#vi/etc/ftpd/ftpusers#Solaris10b.
限制用户可使用FTP不能用Telnet,假如用户为ftpxll创建一个/etc/shells文件,添加一行/bin/true;修改/etc/passwd文件,ftpxll:x:119:1::/home/ftpxll:/bin/true注:还需要把真实存在的shell目录加入/etc/shells文件,否则没有用户能够登录ftpc.
限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess,加入如下一行restricted-uid*(限制所有),restricted-uidusername(特定用户)ftpaccess文件与ftpusers文件在同一目录d.
设置ftp用户登录后对文件目录的存取权限,可编辑/etc/ftpd/ftpaccess.
chmodnoguest,anonymousdeletenoguest,anonymousoverwritenoguest,anonymousrenamenoguest,anonymousumasknoanonymous2、补充操作说明查看#catftpusers说明:在这个列表里边的用户名是不允许ftp登陆的,将允许登录的用户加#注释.
rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4检测方法1、判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;2、检测操作查看新建的文件或目录的权限,操作举例如下:#more/etc/ftpusers#Solaris8中国移动通信和IT设备通用安全配置规范14#more/etc/ftpaccess#Solaris8#more/etc/ftpd/ftpusers#Solaris10#more/etc/ftpd/ftpaccess#Solaris10#more/etc/passwd3、补充说明查看#catftpusers说明:在这个列表里边的用户名是不允许ftp登陆的,将允许登录的用户加#注释.
rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody42.
2日志配置要求本部分对SOLARIS操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位.
根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患.
如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化.
编号:安全要求-设备-通用-配置-12要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址.
操作指南1、参考配置操作记录用户登录登出事件,修改文件:vi/etc/default/login,设置SYSLOG=YES.
SOLARIS10是wtmpx文件,Solaris8是wtmp.
wtmp文件中记录着所有登录过主机的用户、时间、来源等内容,这两个文件不具可中国移动通信和IT设备通用安全配置规范15读性,可用last命令来看.
记录登录失败事件,修改/etc/default/login文件中的SYSLOG_FAILED_LOGINS行前的注释去掉,并设置数值;#vi/etc/default/loginSYSLOG_FAILED_LOGINS=0在/var/adm目录中创建authlog文件并设置权限:#touch/var/adm/authlog#chmod600/var/adm/authlog#chgrpsys/var/adm/authlog编辑syslog.
conf文件以记录失败的口令尝试,这些失败记录应发送到authlog文件.
在syslog.
conf文件中键入以下项:auth.
notice/var/adm/authlog重启syslog进程:solaris9之前版本:#/etc/init.
d/syslogstop#/etc/init.
d/syslogstartslaris10:#svcadmdisablesvc:/system/system-log:default#svcadmenablesvc:/system/system-log:default2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址.
2、检测操作查看文件:more/etc/default/login中的SYSLOG=YES/var/adm/wtmpx或者wtmp.
wtmp文件中记录着所有登录过主机的用户、时间、来源等内容,这两个文件不具可读性,可用last命令来看.
使用more/var/adm/authlog查看登录失败的事件.
#last3、补充说明/var/adm/wtmpx或者wtmp、wtmps文件会增长很快,大小达到2G以上,可先压缩,FTP出来后,删除该文件,再创建空文件,一定要创建空文件,否则可能出现系统无法启动.
编号:安全要求-设备-通用-配置-13-可选要求内容设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据.
需记录要包含用户账号,操作时间,操作内容以及操作结果.
操作指南1、参考配置操作通过设置日志文件可以对每个用户的每一条命令进行纪录,这一功中国移动通信和IT设备通用安全配置规范16能默认是不开放的,为了打开它,需要执行/usr/lib/acct目录下的accton文件,格式如下/usr/lib/acct/accton/var/adm/pacct,执行读取命令lastcomm[username].
2、补充操作说明检测方法1、判定条件能够显示出包含配置内容中所要求的全部内容.
2、检测操作#lastcomm[username]3、补充说明编号:安全要求-设备-通用-配置-24-可选要求内容设备应配置日志功能,记录对与设备相关的安全事件.
操作指南1、参考配置操作修改配置文件vi/etc/syslog.
conf,配置如下类似语句:*.
err;kern.
debug;daemon.
notice;/var/adm/messages定义为需要保存的设备相关安全事件.
2、补充操作说明检测方法1、判定条件查看/var/adm/messages,记录有需要的设备相关的安全事件.
2、检测操作修改配置文件vi/etc/syslog.
conf,配置如下类似语句:*.
err;kern.
debug;daemon.
notice;/var/adm/messages定义为需要保存的设备相关安全事件.
3、补充说明编号:安全要求-设备-通用-配置-14-可选要求内容设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器.
操作指南1、参考配置操作修改配置文件vi/etc/syslog.
conf,加上这一行:*.
*@192.
168.
0.
1可以将"*.
*"替换为你实际需要的日志信息.
比如:kern.
*;mail.
*等等.
可以将此处192.
168.
0.
1替换为实际的IP或域名.
重新启动syslog服务,依次执行下列命令:solaris9之前版本:#/etc/init.
d/syslogstop#/etc/init.
d/syslogstart中国移动通信和IT设备通用安全配置规范17slaris10:#svcadmdisablesvc:/system/system-log:default#svcadmenablesvc:/system/system-log:default2、补充操作说明注意:*.
*和@之间为一个Tab检测方法1、判定条件设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器.
2、检测操作查看日志服务器上的所收到的日志文件.
3、补充说明编号:安全要求-设备-通用-配置-28要求内容设备应配置权限,控制对日志文件读取、修改和删除等操作.
操作指南1、参考配置操作修改文件权限:chmod644/var/adm/messageschmod644/var/adm/utmpxchmod644/var/adm/wmtpxchmod600/var/adm/sulog2、补充操作说明检测方法1、判定条件没有相应权限的用户不能查看或删除日志文件2、检测操作查看syslog.
conf文件中配置的日志存放文件:more/etc/syslog.
conf使用ls–l/var/adm查看的目录下日志文件的权限,messages、utmpx、wmtpx的权限应为644,如下所示:-rw-r--r--1rootrootmessage-rw-r--r--1rootbinutmpx-rw-r--r--1admadmwtmpxsulog的权限应为600,如下所示:-rw-------1rootrootsulog3、补充说明对于其他日志文件,也应该设置适当的权限,如登录失败事件的日志、操作日志,具体文件查看syslog.
conf中的配置.
编号:安全要求-设备-SOLARIS-配置-33-可选中国移动通信和IT设备通用安全配置规范18要求内容设备应配置日志功能,记录用户使用SU命令的情况,记录不良的尝试记录.
操作指南1、参考配置操作修改文件:vi/etc/default/su设置SYSLOG=YES.
使用以下方法使尝试登录失败记录有效:touch/var/log/loginlog;chmod600/var/log/loginlog;chgrpsys/var/log/loginlog查看sulog日志,记载着普通用户尝试su成为其它用户的纪录,more/var/adm/sulog2、补充操作说明它的格式为:发生时间+/-(成功/失败)pts号当前用户欲su成的用户检测方法1、判定条件有类似如下格式记录:SU01/0100:30+consoleroot-root或SU08/2013:44+pts/2xll-root2、检测操作查看sulog日志,记载着普通用户尝试su成为其它用户的纪录more/var/adm/sulog3、补充说明它的格式为:发生时间+/-(成功/失败)pts号当前用户欲su成的用户编号:安全要求-设备-SOLARIS-配置-34-可选要求内容系统上运行的应用/服务也应该配置相应日志选项,比如cron.
操作指南1、参考配置操作对所有的cron行为进行审计:在/etc/default/cron里设置"CRONLOG=yes"来记录corn的动作.
2、补充操作说明检测方法1、判定条件日志中能够列出相应的应用/服务的详细日志信息;2、检测操作查看日志存放文件,如cron的日志:more/var/cron/log3、补充说明中国移动通信和IT设备通用安全配置规范192.
3IP协议安全配置要求2.
3.
1IP协议安全编号:安全要求-设备-通用-配置-17-可选要求内容对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议.
操作指南1、参考配置操作Solaris10以前的版本需另外安装,才能使用SSH.
Solaris10启用SSH的命令:svcadmenablesshSolaris10禁用Telnet的命令:svcadmdisabletelnetSolaris8如果安装openssh#/etc/init.
d/sshdstart来启动SSH#/etc/init.
d/sshdstop来停止SSH2、补充操作说明查看SSH、telnet服务状态:#ps–elf|grepssh#ps–elf|greptelnetSolaris10还可以通过命令:#svcs-a|grepssh#svcs-a|greptelnetSSH服务状态查看结果为:onlinetelnet服务状态查看结果为:disabled检测方法1、判定条件#ps–elf|grepssh是否有ssh进程存在Solaris10还可以通过命令#svcs-a|grepsshSSH服务状态查看结果为:onlinetelnet服务状态查看结果为:disabled2、检测操作查看SSH服务状态:#ps–elf|grepssh查看telnet服务状态:#ps–elf|greptelnet3、补充说明查看SSH服务状态:Solaris10:#svcs-a|grepssh#svcs-a|greptelnet编号:安全要求-设备-SOLARIS-配置-18-可选中国移动通信和IT设备通用安全配置规范20要求内容设备应支持列出对外开放的IP服务端口和设备内部进程的对应表.
操作指南1、参考配置操作开放的服务列表SOLARIS8&9命令:#cat/etc/inetd.
confSOLARIS10命令:inetadm开放的端口列表命令:#netstat-an服务端口和进程对应表:命令:cat/etc/services2、补充操作说明ftp-data20/tcpftp21/tcpssh22/tcptelnet23/tcpsmtp25/tcppop2109/tcppop3110/tcpimap143/tcpldap389/udptftp69/udprje77/tcpfinger79/tcplink87/tcpsupdup95/tcpiso-tsap102/tcpx400103/tcpx400-snd104/tcpntp123/tcplogin513/tcpshell514/tcpsyslog514/udp检测方法1、判定条件能够列出端口和服务对应表.
2、检测操作开放的服务列表命令:#cat/etc/inetd.
conf#inetdadm开放的端口列表命令:#netstat-an服务端口和进程对应表:命令:cat/etc/services中国移动通信和IT设备通用安全配置规范213、补充说明编号:安全要求-设备-SOLARIS-配置-22-可选要求内容对于通过IP协议进行远程维护的设备,设备应支持对允许登陆到该设备的IP地址范围进行设定.
操作指南1、参考配置操作编辑etc/default/inetd文件,将其中的ENABLE_TCPWRAPPERS行前的注释去掉,并修改ENABLE_TCPWRAPPERS=NO为ENABLE_TCPWRAPPERS=YES.
编辑/etc/hosts.
allow和/etc/hosts.
deny两个文件vi/etc/hosts.
allow增加一行:允许访问的IP;举例如下:sshd:192.
168.
1.
:allow#允许192.
168.
1的整个网段使用ssh访问in.
telnetd:192.
168.
1.
#允许192.
168.
1网段的IP通过telnet登录.
vi/etc/hosts.
deny增加如下:in.
telnetd:all#拒绝所有IP通过telnet访问sshd:all#拒绝所有IP通过ssh访问重启进程或服务:#pkill-HUPinetd#/etc/init.
d/inetsvcstop#/etc/init.
d/inetsvcstart2、补充操作说明solaris9forx86下,更改/etc/inetd.
conf文件后,重启inetd的命令是:#pkill-HUPinetd#/etc/init.
d/inetsvcstop#/etc/init.
d/inetsvcstartsolaris10X86下,可以用如下命令重启inetd:svcadmenablesvc:/network/inetd如果hosts.
allow和hosts.
deny中的条目有冲突,hosts.
allow优先.
以下是一示例,只有192.
168.
1.
1能telnet登录设备,但是其他IP可以使用其他服务,如ftp等:cat/etc/hosts.
allowin.
telnetd:192.
168.
1.
1#设置192.
168.
1.
1可以telnetcat/etc/hosts.
denyin.
telnetd:all#设置其他IP均不能telnet类似可以设置in.
ftpd、sshd等.
检测方法1、判定条件被允许的服务和IP范围可以登录到该设备,其它的都被拒绝.
2、检测操作查看/etc/hosts.
allow和/etc/hosts.
deny两个文件cat/etc/hosts.
allow中国移动通信和IT设备通用安全配置规范22cat/etc/hosts.
deny3、补充说明如果在hosts.
allow中设置了all:192.
168.
4.
44类似条目,在hosts.
deny中设置了all:all条目,则除了条目中的IP地址外,其他地址均不能访问系统的任何服务(通过tcp控制的服务),如telnet、ftp等.
tcpwrapper又称TCPD,是网络服务的访问控制工具,也就是能过滤客户端的各种server的一个前台程序.
不过有一个不好的地方就是:不适合用于UDP服务!
TCPD有两个访问控制文件:/etc/hosts.
allow/etc/hosts.
deny/etc/hosts.
allow决定谁有资格使用哪些服务.
/etc/hosts.
deny则决定哪些客户端应该被阻挡在外.
每当有客户端试图访问TCPD所代理的服务,它会优先评估/etc/hosts.
allow所设定的条件,如果符合,则开放访问;若客户端不符合/etc/hosts.
allow所描述的任何条件,则以/etc/hosts.
deny来审核客户端的资格.
若客户端符合/etc/hosts.
deny所描述的资格,则会被拒绝访问.
反之,客户端依然可以访问被保护的网络服务.
2.
3.
2路由协议安全编号:安全要求-设备-SOLARIS-配置-35-可选要求内容主机系统应该禁止ICMP重定向,采用静态路由.
操作指南1、参考配置操作禁止系统发送ICMP重定向包:在/etc/rc2.
d/Sinet中做如下参数调整,或在命令行中输入:ndd-set/dev/ipip_send_redirects0#defaultis1ndd-set/dev/ipip6_send_redirects0设置in.
routed运行在静态路由模式:创建文件/usr/sbin/in.
routed为以下内容:#!
/bin/sh/usr/sbin/in.
routed–q改变文件属性:chmod0755/usr/sbin/in.
routed2、补充操作说明使用命令修改参数在服务器重启后失效,要想永久生效必须修改文件.
检测方法1、判定条件在/etc/rc2.
d/Sinet搜索看是否有ndd-set/dev/ipip_send_redirects=0内容/etc/rc2.
d/S69inet中包含的是中国移动通信和IT设备通用安全配置规范23ndd-set/dev/ipip6_send_redirects02、检测操作查看当前的路由信息:#netstat–rn查看当前icmp重定向设置:ndd–get/dev/ipip_send_redirectsndd-get/dev/ipip6_send_redirects3、补充说明编号:安全要求-设备-SOLARIS-配置-36-可选要求内容对于不做路由功能的系统,应该关闭数据包转发功能.
操作指南1、参考配置操作vi/etc/init.
d/inetinit:IPForwarding(IP转发)a.
关闭IP转发ndd-set/dev/ipip_forwarding0b.
严格限定多主宿主机,如果是多宿主机,还可以加上更严格的限定防止ipspoof的攻击ndd-set/dev/ipip_strict_dst_multihoming1c.
转发包广播由于在转发状态下默认是允许的,为了防止被用来实施smurf攻击,关闭这一特性ndd-set/dev/ipip_forward_directed_broadcasts0路由:a.
关闭转发源路由包ndd-set/dev/ipip_forward_src_routed0或在命令行中输入:ndd-set/dev/ipip_forwarding0ndd-set/dev/ipip_strict_dst_multihoming1ndd-set/dev/ipip_forward_directed_broadcasts0ndd-set/dev/ipip_forward_src_routed02、补充操作说明注意:启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患.
使用命令修改参数在服务器重启后失效,要想永久生效必须修改文件.
对于Solaris2.
4(或者更低版本),在/etc/init.
d/inetinit文件的最后增加一行ndd-set/dev/ipip_forwarding0对于Solaris2.
5(或者更高版本),在/etc目录下创建一个叫notrouter的空文件,touch/etc/notrouter检测方法1、判定条件中国移动通信和IT设备通用安全配置规范242、检测操作查看/etc/init.
d/inetinit文件cat/etc/init.
d/inetinit使用命令直接查看:ndd-get/dev/ipip_forwardingndd-get/dev/ipip_strict_dst_multihomingndd-get/dev/ipip_forward_directed_broadcastsndd-get/dev/ipip_forward_src_routed3、补充说明注意:启动过程中IP转发功能关闭前Solaris主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患.
2.
4设备其他安全配置要求本部分作为对于SOLARIS操作系统设备除账号认证、日志、协议等方面外的安全配置要求的补充,对SOLARIS操作系统设备提出上述安全功能需求.
包括补丁升级、文件系统管理等其他方面的安全能力,该部分作为前几部分安全配置要求的补充.
2.
4.
1屏幕保护编号:安全要求-设备-通用-配置-19-可选要求内容对于具备字符交互界面的设备,应配置定时帐户自动登出.
操作指南1、参考配置操作可以在用户的.
profile文件中"HISTFILESIZE="后面增加如下行:vi/etc/profile$TMOUT=180;exportTMOUT改变这项设置后,重新登录才能有效.
2、补充操作说明若修改了login文件,如下:vi/etc/default/login#TIMEOUTsetsthenumberofseconds(between0and900)towaitbefore#abandoningaloginsession.
TIMEOUT=180这里的超时设置针对登录过程,而不是登录成功后的shell会话超时设置.
检测方法1、判定条件中国移动通信和IT设备通用安全配置规范25若在设定时间内没有操作动作,能够自动退出,即为符合;2、检测操作用root帐户登录后,在设定时间内不进行任何操作,检查帐户是否登出.
3、补充说明编号:安全要求-设备-通用-配置-20-可选要求内容对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定.
操作指南1、参考配置操作在CDE面板中(打印机右边),打开stylemanager;或者使用命令#/usr/dt/bin/dtstyle可以调出stylemanager;选中ScreenScreenSaver------onScreenLock------on2、补充操作说明手动锁屏幕方法:直接点击桌面上的锁图标.
检测方法1、判定条件登录后,在设定时间内不进行任何操作,检查屏幕被锁定即为符合.
2、检测操作登录后,在设定时间内不进行任何操作,检查屏幕是否被锁定.
3、补充说明2.
4.
2文件系统及访问权限编号:安全要求-设备-SOLARIS-配置-36-可选要求内容涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改.
操作指南1、参考配置操作查看重要文件和目录权限:ls–l更改权限:对于重要目录,建议执行如下类似操作:#chmod-R750/etc/init.
d/*这样只有root可以读、写和执行这个目录下的脚本.
2、补充操作说明中国移动通信和IT设备通用安全配置规范26一般此目录下大部分脚本权限皆为744,均符合,其他不符合的需确认是否需要更改权限.
检测方法1、判定条件用root外的其它帐户登录,对重要文件和目录进行删除、修改等操作不能够成功即为符合.
2、检测操作查看重要文件和目录权限:ls–l用root外的其它帐户登录,对重要文件和目录进行删除、修改等操作3、补充说明编号:安全要求-设备-SOLARIS-配置-37-可选要求内容应该从应用层面进行必要的安全访问控制,比如FTP服务器应该限制ftp可以使用的目录范围.
操作指南1、参考配置操作限制ftp用户登陆后在自己当前目录下活动,编辑ftpaccess,加入如下一行restricted-uid*(限制所有用户),restricted-uidusername(特定用户)2、补充操作说明ftpaccess文件与ftpusers文件在同一目录,Solaris8为/etc/,Solaris10为/etc/ftpd/3、补充说明检测方法1、判定条件访问被禁止或被限制;2、检测操作root帐户从远程访问3、补充说明2.
4.
3物理端口及EEPROM的口令设置编号:安全要求-设备-通用-配置-27-可选要求内容对于具备consol口的设备,应配置consol口密码保护功能.
操作指南1、参考配置操作连接CONSOLE物理端口,使用命令setupplatform(菜单式操作),根据提示设置passwd,即可.
2、补充操作说明此项只能对SUNFire产品系列生效,对于SUNEnterprise产品系中国移动通信和IT设备通用安全配置规范27列不适用.
检测方法1、判定条件登录提示需要输入用户及密码2、检测操作连接CONSOLE物理端口,需输入用户及密码才能进入.
3、补充说明此项只能对SUNFire产品系列生效,对于SUNEnterprise产品系列不适用.
编号:安全要求-设备-SOLARIS-配置-38-可选要求内容设置eeprom安全密码.
操作指南1、参考配置操作增加eeprom硬件口令保护:#/usr/sbin/eeprom(显示当前eeprom配置)#/usr/sbin/eepromsecurity-mode=command(可选的有command,full,none)#eepromsecurity-password命令给openboot设置强壮口令2、补充操作说明警告:安全模式设置到command,至少可以正常启动系统.
于是只要记得root口令或者还有其他机会获得root权限,就可以通过设置安全模式为none而挽救回来.
如果设置了eeprom为security-mode=full,设置了保护口令而又忘记,会带来很多麻烦,务必小心.
说明:none不需要任何口令;command除了boot和go之外的所有命令都需要口令;Full除了go命令之外的所有openboot命令都需要openboot口令.
eeprom密码为系统进入安全模式时需要的,默认是没有配置的.
如果没有配置,那么在机器启动时按stopA就可进入安全模式,修改系统的启动环境变量,为防止这种事情发生,设置此密码.
检测方法1、判定条件显示的级别配置为:security-mode=command对于一般用户,从硬盘启动,不需要输入密码;如果选择从光盘启动,则需要密码.
2、检测操作#/usr/sbin/eeprom(显示当前eeprom配置)3、补充说明中国移动通信和IT设备通用安全配置规范282.
4.
4补丁管理编号:安全要求-设备-SOLARIS-配置-39-可选要求内容在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的包就不装.
操作指南1、参考配置操作查询/etc/release文件,看版本发布日期.
执行下列命令,查看版本及大补丁号.
#uname–a执行下列命令,查看各包的补丁号#pkginfo2、补充操作说明检测方法1、判定条件查询/etc/release文件,看版本发布日期.
#uname–a查看版本及大补丁号#showrev–p命令检补丁号2、检测操作在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的包就不装.
3、补充说明编号:安全要求-设备-SOLARIS-配置-40-可选要求内容应根据需要及时进行补丁装载.
对服务器系统应先进行兼容性测试.
操作指南1、参考配置操作#showrev–p命令检补丁号;patchadd命令给系统打补丁;更新更安全的补丁在http://sunsolve.
sun.
com/2、补充操作说明检测方法1、判定条件查看最新的补丁号,确认已打上了最新补丁;2、检测操作#showrev–p命令检补丁号3、补充说明中国移动通信和IT设备通用安全配置规范292.
4.
5服务编号:安全要求-设备-SOLARIS-配置-41-可选要求内容列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭.
操作指南1、参考配置操作查看所有开启的服务:#ps–eaf#svcs–a#solaris10在inetd.
conf中关闭不用的服务首先复制/etc/inet/inetd.
conf.
#cp/etc/inet/inetd.
conf/etc/inet/inetd.
conf.
backup然后用vi编辑器编辑inetd.
conf文件,对于需要注释掉的服务在相应行开头标记"#"字符,重启inetd服务,即可.
对于Solaris10,直接关闭某个服务,如telnet,可用如下命令:svcadmdisablesvc:/network/telnet重新启用该服务,使用命令:svcadmenablesvc:/network/telnetSolaris8修改/etc/inet/inetd.
conf和/etc/inet/services文件,注释掉应的服务以及TCP/IP端口.
重启inetd进程:>kill–HUP2、补充操作说明在/etc/inetd.
conf文件中禁止下列不必要的基本网络服务.
timeechodiscarddaytimechargenfsdtspcexeccomsattalkfingeruucpnamexaudionetstatufsdrexdsystatsun-druuidgenkrb5_prop注意:改变了"inetd.
conf"文件之后,需要重新启动inetd.
对必须提供的服务采用tcpwapper来保护.
检测方法1、判定条件所需的服务都列出来;没有不必要的服务;2、检测操作Solaris10查看所有开启的服务:svcs–aSolaris8查看所有开启的服务:cat/etc/inet/inetd.
conf,cat/etc/inet/services3、补充说明在/etc/inetd.
conf文件中禁止下列不必要的基本网络服务.
timeechodiscarddaytimechargenfsdtspcexeccomsattalkfingeruucpnamexaudionetstatufsdrexdsystatsun-druuidgenkrb5_prop服务说明:time:时间服务器,可关闭.
echo:网络测试服务,回显字符串,可关闭.
discard:网络测试服务,丢弃输入,可关闭.
daytime:网络测试服务,显示时间,可关闭.
中国移动通信和IT设备通用安全配置规范30chargern:发送字符的服务,可关闭.
fs:Fontserver,字体服务器,根据需要确定是否关闭.
dtspc:CDESubprocessControlService(dtspcd)是一个接受远程用户端的要求去执行命令以及应用程序的网络服务.
在执行CDE的操作系统中,dtspcd是由网际网络服务来产生(像是inetd或是xinetd)响应CDE客户端的要求.
如果系统没有图形界面,可关闭.
exec:用于对远程执行的进程进行验证,可关闭.
comsat:邮件通知服务,可关闭.
talk:本地通讯服务,可关闭.
finger:finger守护进程,允许远程查询登陆用户信息,可关闭.
uucp:Unix-to-UnixCopy,Unix系统的一项功能,允许计算机之间以存储-转发方式交换e-mail和消息,在Internet兴起之前是Unix系统之间连网的主要方式.
可关闭.
name:nameserver互联网名称服务,可关闭.
xaudio:可关闭.
netstat:网络状态监控服务,允许远程察看网络状态,可关闭.
ufsd:UFS-awareserver,可关闭.
rexd:rpc远程命令执行服务,类似rexec,可关闭.
systat:系统进程监控服务,允许远程察看进程,可关闭.
sun-dr:RemoteDynamicReconfiguration,可关闭.
uuidgen:UUIDGenerator,可关闭.
krb5_prop:Kerberosslavepropagationeklogin,可关闭.
注意:改变了"inetd.
conf"文件之后,需要重新启动inetd.
对必须提供的服务采用tcpwapper来保护编号:安全要求-设备-SOLARIS-配置-42-可选要求内容如果网络中存在信任的NTP服务器,应该配置系统使用NTP服务保持时间同步.
操作指南1、参考配置操作ntp的配置文件:/etc/inet/ntp.
conf#vi/etc/inet/ntp.
confserverIP地址(提供ntp服务的机器)#touch/var/ntp/ntp.
drift(建drift文件及相关目录,这个文件是用于在ntp重起的时候快速的和服务器进行同步)SOLARIS8启动ntp进程#/etc/init.
d/xntpdstartSolaris10:检查ntp依赖:#svcs-lsvc:/network/ntp:default然后#svcadmenablesvc:/network/ntp#svcadmrefreshsvc:/network/ntp#svcadmrestartsvc:/network/ntp中国移动通信和IT设备通用安全配置规范312、补充操作说明/etc/inet/ntp.
conf默认是没有的,需要做server的话,就把ntp.
server拷贝一份成ntp.
conf.
如果做client的话,就把ntp.
client拷贝一份到ntp.
conf.
检测方法1、判定条件与NTP服务器保持时间同步;2、检测操作查看ntp的配置文件:#cat/etc/inet/ntp.
conf查看xntpd进程:#ps–elf|grepntp检查ntp依赖:#svcs-lsvc:/network/ntp:default(适用于Solaris10)检查ntp工作状态:#ntpq-p3、补充说明编号:安全要求-设备-SOLARIS-配置-43-可选要求内容NFS服务:如果没有必要,需要停止NFS服务;如果需要NFS服务,需要限制能够访问NFS服务的IP范围.
操作指南1、参考配置操作禁止nfs服务:杀掉如下NFS进程:lockd,nfsd,statd,mountdNFS是由/etc/dfs/dfstab文件控制,为了禁止NFS服务的后台程序将/etc/rc2.
d/S15nfs.
server文件改名K15nfs.
server将/etc/rc2.
d/S73nfs.
client文件改名K13nfs.
client/etc/dfs/dfstab文件有几个选项share–Fnfs–o[rw/ro]/目录名client端有读写权限,ro是client端只有读权限[建议使用ro选项]如必须使用,则设置nfs特殊tcp,udp端口ndd-set/dev/tcptcp_extra_priv_ports_add2049ndd-set/dev/udpudp_extra_priv_ports_add2049或者限制能够访问NFS服务的IP范围:编辑文件:vi/etc/hosts.
allow增加一行:nfs:允许访问的IP2、补充操作说明检测方法1、判定条件NFS状态显示为:disabled;或者只有规定的IP范围可以访问NFS服务;2、检测操作查看nfs服务:#ps–elf|grepnfsSolaris10还可以#svcs-a|grepnfs若需要NFS服务,查看能够访问NFS服务的IP范围:中国移动通信和IT设备通用安全配置规范32查看文件:cat/etc/hosts.
allow3、补充说明2.
4.
6内核调整编号:安全要求-设备-SOLARIS-配置-44-可选要求内容防止堆栈缓冲溢出操作指南1、参考配置操作对/etc/system文件做备份.
#cp/etc/system/etc/system.
backup用vi编辑器编辑system文件,在system文件的最后加如下2行内容.
setnoexec_user_stack=1setnoexec_user_stack_log=1保存文件,退出编辑器.
然后改变文件权限:#chmod750/etc/system2、补充操作说明系统的内核参数都在此,一但改错系统无法正常启动,需要光盘引到.
内核参数改动后需要重启服务器才生效.
检测方法1、判定条件能够防止堆栈缓冲溢出2、检测操作查看/etc/system文件:cat/etc/system;是否有如下两行:setnoexec_user_stack=1setnoexec_user_stack_log=1查看文件权限:#chmod750/etc/system3、补充说明2.
4.
7启动项编号:安全要求-设备-SOLARIS-配置-45-可选要求内容列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭.
操作指南1、参考配置操作检查/etc/rc2.
d和/etc/rc3.
d目录下的所有"S"打头的脚本文件,将那些启动不必要服务的脚本文件改名,确认新文件名不以"S"打头.
中国移动通信和IT设备通用安全配置规范33重启动确认这些变动生效,检查/var/adm/messages日志文件,用ps-elf检查是否还有无关进程启动.
2、补充操作说明在/etc/init.
d/一般需要关闭的服务有:sendmaillp:打印服务,不需要打印可关闭.
rpc:可关闭.
snmpdx:keyserv:KeyservDeamonisonlyusedifNIS+orNFSareinstalled,ifusedstartwith–doptionsothatthedefaults"nobody"keyisnotallowed,可关闭.
nscd:NameServiceCacheDaemon,可关闭.
Volmgt:VolumeDeamon,可关闭.
uucp:Unix-to-UnixCopy,Unix系统的一项功能,允许计算机之间以存储-转发方式交换e-mail和消息,在Internet兴起之前是Unix系统之间连网的主要方式.
可关闭dmi:DesktopManagementInterface,就是帮助收集电脑系统信息的管理系统,可关闭.
autoinstall:可关闭.
检测方法1、判定条件所列进程和服务都是必需的;2、检测操作检查/etc/rc2.
d和/etc/rc3.
d目录下的所有"S"打头的脚本文件,确认不必要启动的服务的脚本文件名不以"S"打头;检查/var/adm/messages日志文件;用ps-elf检查是否还有无关进程启动.
3、补充说明在/etc/init.
d/一般需要关闭的服务有:sendmaillp:打印服务,不需要打印可关闭.
rpc:可关闭.
snmpdx:keyserv:KeyservDeamonisonlyusedifNIS+orNFSareinstalled,ifusedstartwith–doptionsothatthedefaults"nobody"keyisnotallowed,可关闭.
nscd:NameServiceCacheDaemon,可关闭.
Volmgt:VolumeDeamon,可关闭.
uucp:Unix-to-UnixCopy,Unix系统的一项功能,允许计算机之间以存储-转发方式交换e-mail和消息,在Internet兴起之前是Unix系统之间连网的主要方式.
可关闭dmi:DesktopManagementInterface,就是帮助收集电脑系统信息的管理系统,可关闭.
autoinstall:可关闭.
sendmail有很多漏洞,如在应用层不需要该服务的情况下建议关闭,中国移动通信和IT设备通用安全配置规范34如应用层需要此服务,则无需关闭.
3编制历史版本号更新时间主要内容或重大修改2.
0.
02008-111、根据集团《通用规范V2.
0》对编号进行重新编排1-30编号和《通用规范V2.
0》是一一对应关系.
31以后的编号是在SOLARIS操作系统安全配置规范中增加的项目.
2、新增以下要求:安全要求-SOLARIS-安全-配置-28安全要求-SOLARIS-安全-配置-29-可选3、将下列要求由"必选"改为"可选"安全要求-SOLARIS-安全-配置-19安全要求-SOLARIS-安全-配置-274、对安全项要求内容进行了修改安全要求-设备-SOLARIS-配置-3安全要求-设备-通用-配置-4安全要求-设备-通用-配置-5安全要求-SOLARIS-安全-配置-274、对具体内容进行了补充安全要求-设备-SOLARIS-配置-2安全要求-设备-SOLARIS-配置-12安全要求-设备-通用-配置-14-可选安全要求-设备-SOLARIS-配置-22-可选安全要求-设备-SOLARIS-配置-36-可选安全要求-设备-SOLARIS-配置-41-可选安全要求-设备-SOLARIS-配置-41-可选5、编写参与人员神州太岳:腾士勇,张磊