Solaris10系统安全加固标准
solaris系统加固
Permission of master.passwd and spwd.db file Ports opened
根据需要设置 于2007年及以后年度中,如可用端口发 生变化,需执行系统变更流程以得到适 当审批。 必须
禁用不必要的用户和用户组
取消并反安装所有不用的服务
必须 于2007年及以后年度中,如可用服务发 生变化,需执行系统变更流程以得到适 当审批。
由超级用户root将相关用户的登录shell取消即可,命令如下: #passwd -e 用户名 而后根据提示把用户的登录shell改变为/bin/false。 这些用户有:bin、daemon、adm、lp等等; 另外,也可以由超级用户root从系统的口令文件/etc/passwd和 /etc/shadow中,把一些系统中确实不需要的用户帐号和用户组记录去掉。 首先,在/etc/inetd.conf中注释掉经确认不需要的服务,比如 name、shell、login、exec、comsat、talk、finger、uucp等。 其次,通过更改/etc/rc2.d和/etc/rc3.d目录下一些控制服务自动启动的 脚本的文件名,来关闭相应的服务。这些服务包括sendmail、NFS等。 具体操作举例如下: # /etc/rc2.d/S88sendmail stop # mv /etc/rc2.d/S88sendmail /etc/rc2.d/s88sendmail
YES
用户连续5次登录失败的信息会详细记录在如下文件中, /var/adm/loginlog中。但之前需要超级用户执行如下的配置: # touch /var/adm/loginlog # chown root:sys /var/adm/loginlog # chmod 600 /var/adm/loginlog # ls -l /var/adm/loginlog -rw------- 1 root sys 0 Jun 26 10:39 /var/adm/loginlog
Solaris系统基准安全配置标准20061227
Solaris系统基准安全配置标准TMT中国业务中心信息管理部2006年12月5日目的通过建立系统的安全基线标准,规范TMT中国业务中心网络环境Solaris系统服务器的安全配置,并提供相应的指导;降低系统存在的安全风险,确保服务器系统安全可靠的运行。
范围适合TMT中国业务中心网络环境的所有Solaris系统服务器。
标准维护与解释1.本标准由TMT中国业务中心每年审视1次,根据审视结果修订标准,并颁布执行;2.本标准的解释权归TMT中国业务中心;3.本标准自签发之日起生效。
目录1.优化网络服务 (4)1.1.禁用不必要的系统服务 (4)1.2.卸载或禁用网络服务 (4)2.核心参数调整 (5)2.1..堆栈保护 (5)2.2.网络参数调整 (5)3.日志审计 (6)3.1.启用INETD审计 (6)3.2.启用FTP日志 (6)3.3.记录FTP和INETD连接信息 (6)3.4.记录发送到SYSLOG的MESSAGES信息 (6)3.5.创建/V AR/ADM/LOGINLOG (7)3.6.启用CRON日志记录 (7)3.7.配置系统日志文件权限 (7)4.文件和目录权限 (8)4.1.修改PASSWD、SHADOW、GROUP文件权限为600 (8)4.2.删除没有属主的文件和目录 (8)5.系统访问,认证与授权 (8)5.1.去除/ETC/PAM.CONF文件中的.RHOSTS (8)5.2.删除空的CRONTAB文件,并限制其权限 (9)5.3.只允许ROOT可配置CRON (9)5.4.设置帐号错误口令尝试次数 (9)6.用户帐号和环境 (10)6.1.确保没有空口令(/薄弱口令)帐号 (10)6.2.设置口令期限 (10)6.3.确保除ROOT以外没有其它UID为0的帐号存在 (10)6.4.确保在ROOT $PATH中没有'.'或全局可写目录 (11)6.5.删除.NETRC文件 (11)如果可以,最好将操作系统升级到最新的Solaris 10版本,以下操作说明适用于Solaris 10平台。
Oracle Solaris 10安全准则说明书
Oracle®Solaris10安全准则文件号码E38845–022013年6月版权所有©2011,2013,Oracle和/或其附属公司。
保留所有权利。
本软件和相关文档是根据许可证协议提供的,该许可证协议中规定了关于使用和公开本软件和相关文档的各种限制,并受知识产权法的保护。
除非在许可证协议中明确许可或适用法律明确授权,否则不得以任何形式、任何方式使用、拷贝、复制、翻译、广播、修改、授权、传播、分发、展示、执行、发布或显示本软件和相关文档的任何部分。
除非法律要求实现互操作,否则严禁对本软件进行逆向工程设计、反汇编或反编译。
此文档所含信息可能随时被修改,恕不另行通知,我们不保证该信息没有错误。
如果贵方发现任何问题,请书面通知我们。
如果将本软件或相关文档交付给美国政府,或者交付给以美国政府名义获得许可证的任何机构,必须符合以下规定:ERNMENT END USERS:Oracle programs,including any operating system,integrated software,any programs installed on the hardware,and/or documentation,delivered to U.S. Government end users are"commercial computer software"pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations.As such,use,duplication,disclosure,modification,and adaptation of the programs,including any operating system,integrated software,any programs installed on the hardware,and/or documentation,shall be subject to license terms and license restrictions applicable to the programs.No other rights are granted to the ernment.本软件或硬件是为了在各种信息管理应用领域内的一般使用而开发的。
solaris主机操作系统加固规范
Solaris主机操作系统加固规范2010年9月目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1SHG-Solaris-01-01-01 (1)1.1.2SHG-Solaris-01-01-02 (2)1.1.3SHG-Solaris-01-01-03 (3)1.1.4SHG-Solaris-01-01-04 (4)1.1.5SHG-Solaris-01-01-05 (5)1.2口令 (6)1.2.1SHG-Solaris-01-02-01 (6)1.2.2SHG-Solaris-01-02-02 (7)1.2.3SHG-Solaris-01-02-03 (8)1.2.4SHG-Solaris-01-02-04 (9)1.2.5SHG-Solaris-01-02-05 (10)1.3授权 (12)1.3.1SHG-Solaris-01-03-01 (12)1.3.2SHG-Solaris-01-03-02 (13)1.3.3SHG-Solaris-01-03-03 (15)1.3.4SHG-Solaris-01-03-04 (17)1.3.5SHG-Solaris-01-03-05 (18)1.3.6SHG-Solaris-01-03-06 (18)1.3.7SHG-Solaris-01-03-07 (19)2日志配置 (20)2.1.1SHG-Solaris-02-01-01 (20)2.1.2SHG-Solaris-02-01-02 (21)2.1.3SHG-Solaris-02-01-03 (22)2.1.4SHG-Solaris-02-01-04 (23)2.1.5SHG-Solaris-02-01-05 (24)2.1.6SHG-Solaris-02-01-06 (25)2.1.7SHG-Solaris-02-01-07 (26)3通信协议 (27)3.1IP协议安全 (27)3.1.1SHG-Solaris-03-01-01 (27)3.1.2SHG-Solaris-03-01-02 (28)3.1.3SHG-Solaris-03-01-03 (29)3.1.4SHG-Solaris-03-01-04 (30)3.2路由协议安全 (31)3.2.1SHG-Solaris-03-02-01 (31)3.2.2SHG-Solaris-03-02-02 (32)4设备其他安全要求 (34)4.1补丁管理 (34)4.1.1SHG-Solaris-04-01-01 (34)4.1.2SHG-Solaris-04-01-02 (35)4.2服务进程和启动 (37)4.2.1SHG-Solaris-04-02-01 (37)4.2.2SHG-Solaris-04-02-02 (39)4.2.3SHG-Solaris-04-02-03 (40)4.2.4SHG-Solaris-04-02-04 (41)4.2.5SHG-Solaris-04-02-05 (42)4.2.6SHG-Solaris-04-02-06 (43)4.2.7SHG-Solaris-04-02-07 (43)4.3B ANNER与屏幕保护 (44)4.3.1SHG-Solaris-04-03-01 (44)4.3.2SHG-Solaris-04-03-02 (45)4.4内核调整 (46)4.4.1SHG-Solaris-04-04-01 (46)4.4.2SHG-Solaris-04-04-02 (47)5附录:SOLARIS可被利用的漏洞(截止2009-3-8) (48)本文档是Solaris 操作系统的对于Solaris操作系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的43项安全配置要求,对系统的安全配置审计、加固操作起到指导性作用。
安全加固实施方案
安全加固实施方案一、安全加固的必要性。
随着网络攻击手段的不断升级,传统的防御手段已经无法满足当前的安全需求。
因此,安全加固实施方案的制定和执行显得尤为重要。
通过对系统进行全面的安全加固,可以有效地提高系统的抵御能力,保护重要数据和信息不被泄露或篡改,确保系统的稳定和可靠运行。
二、安全加固实施方案的基本原则。
1.全面性,安全加固实施方案应该覆盖系统的各个方面,包括网络安全、主机安全、应用安全等,确保整个系统的安全性。
2.针对性,针对系统的实际情况和存在的安全隐患,有针对性地进行加固,避免盲目行动和资源浪费。
3.持续性,安全加固工作不是一次性的,而是一个持续的过程。
需要定期对系统进行安全检查和评估,及时发现和修复安全漏洞。
三、安全加固实施方案的具体措施。
1.网络安全加固,包括防火墙的设置、入侵检测系统的部署、安全策略的制定等,确保网络的安全可靠。
2.主机安全加固,包括对服务器的加固、操作系统的安全配置、安全补丁的安装等,保障主机的安全性。
3.应用安全加固,包括对各类应用程序的安全配置、权限管理的加固、安全加固工具的使用等,防止应用程序被攻击。
4.数据安全加固,包括对重要数据的加密、备份和恢复机制的建立等,确保数据的安全性和完整性。
四、安全加固实施方案的执行步骤。
1.安全评估,对系统的安全性进行全面评估,找出存在的安全隐患和问题。
2.制定方案,根据评估结果,制定针对性的安全加固实施方案,明确具体的加固措施和执行步骤。
3.实施措施,按照制定的方案,逐步执行安全加固措施,确保每一项措施都得到有效执行。
4.监控和评估,对加固后的系统进行监控和评估,发现问题及时处理,确保系统的安全性。
五、安全加固实施方案的效果评估。
安全加固实施方案的最终目的是提高系统的安全性,保护重要数据和信息不被泄露或篡改。
因此,在执行完安全加固实施方案后,需要对系统的安全性进行全面评估,验证加固措施的有效性和系统的安全性能。
只有在经过充分的评估和验证后,才能确保安全加固实施方案的有效性和可靠性。
中国移动SOLARIS操作系统安全配置规范V2.0
中国移动公司--S o l a r i s操作系统安全配置规范S p e c i f i c a t i o n f o r S o l a r i s O SC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号:2.0.0X X X X-X X-X X发布X X X X-X X-X X实施中国移动通信有限公司网络部目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明 (1)1.3外部引用说明 (3)1.4术语和定义 (3)1.5符号和缩略语 (3)2SOLARIS设备安全配置要求 (3)2.1账号管理、认证授权 (3)2.1.1账号 (3)2.1.2口令 (6)2.1.3授权 (11)2.2日志配置要求 (14)2.3IP协议安全配置要求 (18)2.3.1IP协议安全 (18)2.3.2路由协议安全 (22)2.4设备其他安全配置要求 (24)2.4.1屏幕保护 (24)2.4.2文件系统及访问权限 (25)2.4.3物理端口及EEPROM的口令设置 (26)2.4.4补丁管理 (27)2.4.5服务 (28)2.4.6内核调整 (31)2.4.7启动项 (32)3编制历史 (33)前言本为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。
本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本标准起草单位:中国移动通信有限公司网络部、中国移动集团重庆公司。
本标准解释单位:同提出单位。
本标准主要起草人:邓光艳、陈敏时、周智、曹一生。
1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用SOLARIS操作系统的设备。
Solaris安全配置规范
2.2.2. Solaris 2.6 以及以前版本
从 ftp:///pub/patches/ 下 载 最 新 的 Recommended Patch Cluster,保存到/tmp 目录;
DNS
V
Mail1(smtp,pop3) www、ftp
V
V
DB Oracle
Page 4 of 11
rpc.rexd Ufsd Gssd kcms.server Fs cachefsd kerbd In.lpd rpc.cmsd rpc.ttdbserver
2.4.2. 禁用 rc2 和 rc3 启动的不必要服务
*) echo "usage: /etc/init.d/sshd {start|stop}" ;;
Page 6 of 11
Solaris 安全配置规范
esac
prngd 自动启动脚本(/etc/init.d/prngd)
#! /bin/sh # # start/stop the pseudo random generator daemon
文件系统挂载选项的设置通过/etc/vfstab 文件,下面是一个/etc/vfstab 的示例:
Page 3 of 11
Solaris 安全配置规范
/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0 / ufs 1 no /dev/dsk/c0t3d0s4 /dev/rdsk/c0t3d0s4 /usr ufs 1 no ro /dev/dsk/c0t3d0s5 /dev/rdsk/c0t3d0s5 /var ufs 1 no nosuid /dev/dsk/c0t3d0s6 /dev/rdsk/c0t3d0s6 /opt ufs 2 yes nosuid,ro
安全加固技术方案
安全加固技术方案1. 引言随着互联网和信息技术的快速发展,网络安全问题愈发突出。
恶意攻击、数据泄露和网络入侵事件频繁发生,给个人和组织带来了极大的损失。
为了保障信息系统的安全性,组织需要采取有效的安全加固技术方案来提高系统的安全性和防御能力。
本文将介绍一些常见的安全加固技术方案,包括操作系统安全加固、网络安全加固和应用安全加固。
这些技术方案可以帮助组织提高信息系统的防护能力,减少安全风险。
2. 操作系统安全加固操作系统是信息系统的基础,其安全性对整个系统的安全性至关重要。
操作系统的安全加固主要包括以下几个方面:2.1 更新和打补丁及时更新操作系统和相关软件的补丁是保障系统安全的重要措施。
厂商会不断修复操作系统和软件的安全漏洞,并发布相应的补丁。
及时安装这些补丁可以修复已知的安全漏洞,提高系统的安全性。
2.2 禁用不必要的服务和功能为了减少攻击面,应禁用不必要的服务和功能。
操作系统提供了很多服务和功能,但并非所有都是必需的。
可以通过关闭不必要的服务和功能来减少潜在的安全风险。
2.3 强化账户和密码策略强化账户和密码策略是提高系统安全性的重要手段。
应采取以下措施:•禁用或删除默认账户;•使用复杂密码,并定期更改密码;•启用账户锁定功能,限制密码尝试次数;•配置账户访问权限,避免普通用户拥有管理员权限。
2.4 配置访问控制和防火墙配置适当的访问控制和防火墙规则可以防止未经授权的访问和网络攻击。
可以使用网络防火墙、主机防火墙和入侵检测系统等技术来监控和保护系统的网络流量。
3. 网络安全加固除了操作系统安全加固外,网络安全加固也是关键的一环。
以下是一些网络安全加固的技术方案:3.1 网络分段和 VLAN通过将局域网划分为多个子网,可以减少网络攻击的影响范围。
使用虚拟局域网(VLAN)可以将不同的设备划分到不同的虚拟网络中,从而进一步增强网络的安全性。
3.2 VPN(Virtual Private Network)使用VPN可以在公共网络上建立一个安全的连接,实现远程访问和数据传输的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Solaris系统安全文档(for solaris 10)1.禁用不需要的用户备份:备份/etc/passwdcp /etc/passwd /etc/passwd.080903cp /etc/shadow /etc/shadow.080903修改:编辑/etc/shadow,将需要禁止帐户的**用NP代替Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell恢复:编辑/etc/shadow,将需要恢复帐户的NP用**代替Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell或使用备份还原cp /etc/passwd.080903 /etc/passwdcp /etc/shadow.080903 /etc/shadow恢复:用原始备份还原cp /etc/group.bak.2008 /etc/group2.设置用户密码安全策略(根据具体要求修改)修改全局密码策略备份:备份/etc/default/passwdcp /etc/default/passwd /etc/default/passwd.080903#MINDIFF=3 #最小的差异数,新密码和旧密码的差异数。
#MINALPHA=2 #最少字母要多少#MINNONALPHA=1 #最少的非字母,包括了数字和特殊字符。
#MINUPPER=0 #最少大写#MINLOWER=0 #最少小写#MAXREPEATS=0 #最大的重复数目#MINSPECIAL=0 #最小的特殊字符#MINDIGIT=0 #最少的数字#WHITESPACE=YES #能使用空格吗?修改:(以下只针对除root用户外的其他用户)编辑/etc/default/passwd,设置:MINWEEKS= 最短改变时间MAXWEEKS=8 密码最长有效时间WARNWEEKS=5 密码失效前几天通知用户PASSLENGTH=8 最短密码长度MINDIFF=3MINALPHA=2MINLOWER=1MINDIGIT=1恢复:用备份的原始/etc/default/passwd文件替换现有的/etc/default/passwd如需针对个别用户设置修改/etc/shadow 文件,备份:cp /etc/shadow /etc/shadow.080903shadow 文件格式如下:loginID:password:lastchg:min:max:warn:inactive:expire:例如:默认root 用户的格式为:root:lySCmJ.1txm4M:6445::::::loginID 指登陆用户名password 密码选项,例如13位加密字符,或者*LK*锁定用户,或NP,无法登陆用户lastchg 指最后密码修改日期,从1970年1月1号开始计算min 指两次密码修改间隔的最少天数max 指密码最大有效天数warn 指密码过期前开始发出提醒的天数inactive 指如果用户未登陆超过多少天将把用户锁定expire 用户过期时间,即到达此日期后用户过期,将无法登陆以上选项如为设置,留空,即代表无密码策略如需使用/etc/shadow 设置密码策略,则/etc/default/passwd 文件中MINWEEKS MAXWKEEKS WARNWEEKS PASSLENGTH 等选项不应设置参数。
留空。
3.防止root远程登陆修改:编辑/etc/default/login,加上:CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.恢复:编辑/etc/default/login,注释一下内容:# CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.4.设置session超时时间修改:编辑/etc/default/login,加上:# TIMEOUT sets the number of seconds (between 0 and 900) to wait before# abandoning a login session.TIMEOUT=300恢复:编辑/etc/default/login,删除:# TIMEOUT sets the number of seconds (between 0 and 900) to wait before# abandoning a login session.TIMEOUT=3005.设置缺省umask修改:编辑/etc/default/login,修改UMASK=027# UMASK sets the initial shell file creation mode mask. See umask(1).UMASK=027恢复:编辑/etc/default/login,注释UMASK项# UMASK sets the initial shell file creation mode mask. See umask(1).#UMASK=0276.检查是否每个用户都设置了密码检查/etc/passwd和/etc/shadow,每个用户的密码栏是否为空。
如果为空,就表示次用户没有设置密码。
必须要求次用户马上设置密码。
一、服务安全设置1.禁止所有不需要的服务以下服务应该禁止(根据需要自己决定):示例:例如需要禁用sendmail 服务可用以下操作修改:使用svcs -a | grep sendmail 查看当前状态如为online online 17:49:07 svc:/network/smtp:sendmail使用svcadm disable sendmaildisable 17:50:01 svc:/network/smtp:sendmail恢复:使用命令恢复svcadm enable sendmail二、网络环境变量安全设置1.在/etc/default/inetinit中增加下面所示设置:根据用户的具体情况确定是否要修改以下值修改:缩短ARP的cache保存时间:ndd -set /dev/arp arp_cleanup_interval 60000 /* 1 min (default is 5 min即300000*/缩短ARP表中特定条目的保持时间:ndd -set /dev/ip ip_ire_timer_interval 60000 /* 1 min (default is 20 min 即1200000*/关闭echo广播来防止ping攻击ndd -set /dev/ip ip_respond_to_echo_broadcast 0 # default is 1关闭原路由寻址ndd -set /dev/ip ip_forward_src_routed 0 # default is 1禁止系统转发IP包ndd -set /dev/ip ip_forwarding 0 # default is 1禁止系统转发定向广播包ndd -set /dev/ip ip_forward_directed_broadcasts 0 # default is 1使系统忽略重定向IP包ndd -set /dev/ip ip_ignore_redirect 1 # default is 0使系统限制多宿主机ndd -set /dev/ip ip_strict_dst_multihoming 1 # default is 0再次确保系统关闭ICMP广播响应ndd -set /dev/ip ip_respond_to_address_mask_broadcast=0 # default is 1关闭系统对ICMP时戳请求的响应ndd -set /dev/ip ip_ip_respond_to_timestamp=0 # default is 1关闭系统对ICMP时戳广播的响应ndd -set /dev/ip ip_ip_respond_to_timestamp_broadcast=0 # default is 1禁止系统发送ICMP重定向包ndd -set /dev/ip ip_send_redirects=0 # default is 1重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start在zone中只需缩短ARP的cache保存时间:即在zone 环境下编辑/etc/default/inetinit 末尾添加ndd –set /dev/arp arp_cleanup_interval 60000 /* 1 min (default is 5 min即300000*/恢复:把以上值修改会原来的default值重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start2.改变TCP序列号产生参数修改:在/etc/default/inetinit中改变TCP_STRONG_ISS=2重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start恢复:在/etc/default/inetinit中改变TCP_STRONG_ISS=1 改为原来的值重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start3.禁止路由功能修改:创建空文件notrouter:touch /etc/notrouter 恢复:删除空文件notrouter:rm /etc/notrouter。