安全生产_移动solaris操作系统安全配置规范

中国移动通信集团公司 第 I 页 共 37 页 中 国 移 动中 国 移 动S o l a r i s 操 作 系 统操 作 系 统 安 全 配 置 规 范安 全 配 置 规 范 S p e c i f i c a t i o n f o r S o l a r i s O S C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版 本 号 ：版 本 号 ： 2 . 0 . 0 网络与信息安全规范编号网络与信息安全规范编号:【网络与信息安全规范】 【第二层：技术规范网元类】 【第【网络与信息安全规范】 【第二层：技术规范网元类】 【第 2501 号】号】 2008-11-10draft 2008-01-01 实 施 中国移动通信集团公司 发布 中国移动通信集团公司 发布 中国移动 SOLARIS 操作系统安全配置规范 中国移动通信集团公司 第 1 页 共 37 页 目录 1 概述概述 1 1.1 适用范围 1 1.2 内部适用性说明 1 1.3 外部引用说明 3 1.4 术语和定义 3 1.5 符号和缩略语 3 2 SOLARIS 设备安全配置要求设备安全配置要求 . 3 2.1 账号管理、认证授权 4 2.1.1 账号 . 4 2.1.2 口令 . 6 2.1.3 授权 . 11 2.2 日志配置要求 14 2.3 IP 协议安全配置要求 . 19 2.3.1 IP 协议安全 19 2.3.2 路由协议安全 . 22 2.4 设备其他安全配置要求 24 2.4.1 屏幕保护 . 24 2.4.2 文件系统及访问权限 . 25 2.4.3 物理端口及EEPROM的口令设置 26 2.4.4 补丁管理 . 28 2.4.5 服务 . 29 2.4.6 内核调整 . 32 2.4.7 启动项 . 32 中国移动 SOLARIS 操作系统安全配置规范 中国移动通信集团公司 第 2 页 共 37 页 前言 前 言 本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册等文档的依 据。本规范是该系列规范之一，明确了中国移动SOLARIS操作系统安全配置的要求，并作为 本系列其他规范的编制基础。 本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他 安全要求4个方面，提出了基本安全配置要求。同时，结合实际情况，进一步将各项安全要 求分为“必选”和“可选”两类，其中必选要求XX项，可选要求XX项。原则上，中国移动 各类设备必须满足与其相关的全部必选要求，有选择的满足可选要求。 本标准由中移 号文件印发。 本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位：中国移动通信有限公司网络部。 本标准解释单位：同提出单位。 本标准主要起草人：中国移动集团重庆公司 邓光艳中国移动集团公司 陈敏时中国移动通信和设备通用安全配置规范 1 1 概述概述 1.1 适用范围适用范围 本规范适用于中国移动通信网、业务系统和支撑系统中使用 SOLARIS 操作 系统的设备。本规范明确了 SOLARIS 操作系统配置的基本安全要求，在未特别 说明的情况下，均适用于所有运行的 SOLARIS 操作系统版本。 1.2 内部适用性说明内部适用性说明 本规范是在中国移动设备通用安全功能和配置规范 V2.0 （以下简称通 用规范 V2.0 ）各项设备配置要求的基础上，提出的 Solaris 操作系统安全配置要 求。以下分项列出本规范对通用规范设备配置要求的修订情况： 编号说明： 1-30 编号和通用规范 V2.0是一一对应关系。 31 以后的编号是 SOLARIS 操作系统安全配置规范中增加的项目。 编号编号 采纳意见采纳意见补充说明补充说明 安全要求安全要求-设备设备-通用通用-配置配置-1 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-2 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-3-可选可选 增强要求增强要求 安全要求安全要求-设备设备-SOLARIS-配置配置-3（并修改 内容） （并修改 内容） 安全要求安全要求-设备设备-通用通用-配置配置-4 部分采纳部分采纳 目前很多建立在目前很多建立在UNIX的应用系统是支持的应用系统是支持6 位的，如果支持位的，如果支持 8 位的都需要进行程序修 改，涉及面广。有待进一步商讨 位的都需要进行程序修 改，涉及面广。有待进一步商讨,目前暂时 对要求内容进行了修改。 目前暂时 对要求内容进行了修改。 安全要求安全要求-设备设备-通用通用-配置配置-5 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-29-可选可选 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-6-可选可选 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-7-可选可选 完全采纳完全采纳 中国移动通信和设备通用安全配置规范 2 安全要求安全要求-设备设备-通用通用-配置配置-9 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-12 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-13-可选可选 部分采纳部分采纳, 需 要 应 用 系 统 的 支 持 需 要 应 用 系 统 的 支 持 安全要求安全要求-设备设备-通用通用-配置配置-24-可选可选 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-14-可选可选 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-28 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-16-可选可选 不采纳不采纳 需要采用第三方产品支持需要采用第三方产品支持 安全要求安全要求-设备设备-通用通用-配置配置-17-可选可选 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-19 部分采纳部分采纳 安全要求安全要求-设备设备-通用通用-配置配置-19-可选可选 通用规范为必选项目，建议改为可选。通用规范为必选项目，建议改为可选。 安全要求安全要求-设备设备-通用通用-配置配置-20-可选可选 完全采纳完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-27 部分采纳部分采纳 安全要求安全要求-设备设备-通用通用-配置配置-27-可选可选 通用规范为必选项目，建议改为可选。通用规范为必选项目，建议改为可选。 本规范新增的安全配置要求，如下： 安全要求安全要求-设备设备-SOLARIS-配置配置-31-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-32-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-33-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-34-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-18-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-22-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-35-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-36-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-37-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-38-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-39-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-40-可选可选 中国移动通信和设备通用安全配置规范 3 安全要求安全要求-设备设备-SOLARIS-配置配置-41-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-42-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-43-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-44-可选可选 安全要求安全要求-设备设备-SOLARIS-配置配置-45-可选可选 本规范还针对直接引用通用规范的配置要求，给出了在 Solaris 操作系统 上的具体配置方法和检测方法。 1.3 外部引用说明外部引用说明 中国移动通用安全功能和配置规范 1.4 术语和定义术语和定义 1.5 符号和缩略语符号和缩略语 （对于规范出现的英文缩略语或符号在这里统一说明。 ） 缩写 英文描述 中文描述 2 Solaris 设备安全配置要求设备安全配置要求 本规范所指的设备为采用 SOLARIS 操作系统的设备。本规范提出的安全配 置要求，在未特别说明的情况下，均适用于采用 SOLARIS 操作系统的设备。 本规范从运行 SOLARIS 操作系统设备的认证授权功能、安全日志功能、IP 中国移动通信和设备通用安全配置规范 4 网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。 2.1 账号管理、认证授权账号管理、认证授权 2.1.1 账号账号 编号：编号： 安全要求安全要求-设备设备-SOLARIS-配置配置-1 要求内容要求内容 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和 设备间通信使用的账号共享。 操作指南操作指南 1、参考配置操作、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中 755 为设置的权限，可根据实际情况 设置相应的权限，directory 是要更改权限的目录) 使用该命令为不同的用户分配不同的账号， 设置不同的口令及权限 信息等。 2、补充操作说明、补充操作说明 检测方法检测方法 1、判定条件、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明、补充说明 编号：编号： 安全要求安全要求-设备设备-SOLARIS-配置配置-2 要求内容要求内容 应删除或锁定与设备运行、维护等工作无关的账号。 操作指南操作指南 1、参考配置操作、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow 文件，用户名后加*LK* 2)将/etc/passwd 文件中的 shell 域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username 锁 定用户,用#passwd d username 解锁后原有密码失效，登录需输入 新密码，修改/etc/shadow 能保留原有密码。 禁止账号交互式登录： 修改/etc/shadow 文件，用户名后密码列为 NP； 2、补充操作说明、补充操作说明 需要锁定的用户： listen、 gdm、 webservd、 nobody、 nobody4、 noaccess。 中国移动通信和设备通用安全配置规范 5 禁止交互登录的系统账号，比如 daemon、bin、sys、adm、lp、uucp、 nuucp、smmsp。 检测方法检测方法 1、判定条件、判定条件 被删除或锁定的账号无法登录成功； 禁止交互式登录的帐号远程无 法登录成功。 2、检测操作、检测操作 使用删除或锁定的与工作无关的帐号登录系统； 使用禁止交互式登 录的帐号远征登录系统。 3、补充说明、补充说明 需要锁定的用户： listen、 gdm、 webservd、 nobody、 nobody4、 noaccess。 禁止交互登录的系统账号： daemon、 bin、 sys、 adm、 lp、 uucp、 nuucp、 smmsp 等。禁止交互式登录的帐号，在本地可以登录。 编号：编号： 安全要求安全要求-设备设备-SOLARIS-配置配置-3 要求内容要求内容 限制具备超级管理员权限的用户远程登录。 远程执行管理员权限操 作，应先以普通权限用户远程登录后，再切换到超级管理员权限账 号后执行相应操作。 操作指南操作指南 1、 参考配置操作参考配置操作 限制 root 远程 telnet 登录： 编辑/etc/default/login，加上： CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device. 限制 root 远程 ssh 登录： 修 改 /etc/ssh/sshd_config 文 件 ， 将 PermitRootLogin yes 改 为 PermitRootLogin no，重启 sshd 服务。 Solaris 8上没有该路径 /usr/local/etc下有该文件 Solaris 9上有该路径/文件 重启sshd服务： Solaris10以前： #/etc/init.d/sshd stop #/etc/init.d/sshd start Solaris10： #svcadm disable ssh #svcadm enable ssh 2、补充操作说明、补充操作说明 Solaris8 上默认是没有安装 ssh 的，需要安装软件包。 检测方法检测方法 1、判定条件、判定条件 root 远程登录不成功，提示“Not on system console” ； 普通用户可以登录成功，而且可以切换到 root 用户； 2、检测操作、检测操作 root 从远程使用 telnet 登录； 普通用户从远程使用 telnet 登录； 中国移动通信和设备通用安全配置规范 6 root 从远程使用 ssh 登录； 普通用户从远程使用 ssh 登录； 3、补充说明、补充说明 编号：编号： 安全要求安全要求-设备设备-SOLARIS-配置配置-4-可选可选 要求内容要求内容 根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配 到相应的帐户组。 操作指南操作指南 1、参考配置操作、参考配置操作 创建帐户组： #groupadd g GID groupname #创建一个组，并为其设置 GID 号， 若不设 GID，系统会自动为该组分配一个 GID 号； #usermod g group username #将用户username分配到group组中。 查询被分配到的组的 GID：#id username 可以根据实际需求使用如上命令进行设置。 2、补充操作说明、补充操作说明 可以使用 -g 选项设定新组的 GID。 0 到 499 之间的值留给 root、 bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新 组名或者 GID 已经存在，则返回错误信息。 当 group_name 字段长度大于八个字符， groupadd 命令会执行失败； 当用户希望以其他用户组成员身份出现时，需要使用 newgrp 命令 进行更改，如#newgrp sys 即把当前用户以 sys 组身份运行； 检测方法检测方法 1、判定条件、判定条件 可以查看到用户账号分配到相应的帐户组中； 或都通过命令检查账号是否属于应有的组： #id username 2、检测操作、检测操作 查看组文件：cat /etc/group 查看密码文件：cat /etc/passwd 3、补充说明、补充说明 文件中的格式说明： group_name:GID:user_list username:password:uid:gid:gcos-ield:home-dir:login-shell 2.1.2 口令口令 编号：编号： 安全要求安全要求-设备设备-通用通用-配置配置-4 要求内容要求内容 对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数 字、小写字母、大写字母和特殊符号 4 类中至少 2 类。 中国移动通信和设备通用安全配置规范 7 操作指南操作指南 1、参考配置操作、参考配置操作 vi /etc/default/passwd ，修改设置如下 PASSLENGTH = 6 #设定最小用户密码长度为 6 位 MINALPHA=2；MINNONALPHA=1 #表示至少包括两个字母和一 个非字母；具体设置可以参看补充说明。 当用 root 帐户给用户设定口令的时候不受任何限制，只要不超长。 2、补充操作说明、补充操作说明 Solaris10 默认如下各行都被注释掉，并且数值设置和解释如下： MINDIFF=3 # Minimum differences required between an old and a new password. MINALPHA=2 # Minimum number of alpha character required. MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required. MINUPPER=0 # Minimum number of upper case letters required. MINLOWER=0 # Minimum number of lower case letters required. MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters. MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required. MINDIGIT=0 # Minimum number of digits required. WHITESPACE=YES Solaris8 默认没有这部分的数值设置需要手工添加 NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。 检测方法检测方法 1、判定条件、判定条件 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置； 2、检测操作、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含 字符或数字的简单口令以及长度短于 6 位的口令， 查看系统是否对 口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂 口令，查看系统是否可以成功设置。 3、补充说明、补充说明 对于 Solaris 8 以前的版本，PWLEN 对应 PASSLENGTH 等，需根 据/etc/default/passwd 文件说明确定。 NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。 中国移动通信和设备通用安全配置规范 8 编号：编号： 安全要求安全要求-设备设备-通用通用-配置配置-5 要求内容要求内容 对于采用静态口令认证技术的设备， 维护人员使用的帐户口令的生 存期不长于 90 天。 操作指南操作指南 1、参考配置操作、参考配置操作 vi /etc/default/passwd 文件： MAXWEEKS=13 密码的最大生存周期为 13 周； （Solaris 8profiles=All;type=normal； lock_after_retries=yes 为了安全可以将 root 和不需要锁定的帐户设置为 no。 中国移动通信和设备通用安全配置规范 10 2、补充操作说明、补充操作说明 默认值为： LOCK_AFTER_RETRIESNO lock_after-retriesno RETRIES= 5，即等于或大于 5 次时被锁定。 设定帐号锁定时间为 10 分钟（600 秒） ： vi /etc/default/login 在文件中将 DISABLETIME 行前的#去掉，并将其值修改为 DISABLETIME=600。锁定时间为 600 秒，600 秒以后可再次登录。 root 账号也在锁定的限制范围内，一旦 root 被锁定，就需要光盘引 导，因此该配置要慎用。 NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。 检测方法检测方法 1、判定条件、判定条件 帐户被锁定，不再提示让再次登录；锁定时候过后可继续登录。 2、检测操作、检测操作 创建一个普通账号，为其配置相应的口令；并用新建的账号通过错 误的口令进行系统登录 6 次以上（不含 6 次） ；锁定时间过后可继 续使用此帐号登录。 2、 补充说明补充说明 root 账号也在锁定的限制范围内，一旦 root 被锁定，就需要光盘引 导，因此该配置要慎用。 NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。 要求内容要求内容 对于采用静态口令认证技术的设备， 应配置当用户连续认证失败次 数超过 6 次（不含 6 次） ，锁定该用户使用的账号。 操作指南操作指南 1、参考配置操作、参考配置操作 指定当本地用户登陆失败次数等于或者大于允许的重试次数则账 号被锁定： vi /etc/user_attr vi /etc/security/policy.conf 设置 LOCK_AFTER_RETRIES=YES 设置重试的次数： vi /etc/default/login 在文件中将 RETRIES 行前的#去掉， 并将其值修改为 RETRIES7。 保存文件退出。 2、补充操作说明、补充操作说明 默认值为： LOCK_AFTER_RETRIESNO lock_after-retriesno RETRIES= 5，即等于或大于 5 次时被锁定。 中国移动通信和设备通用安全配置规范 11 root 账号也在锁定的限制范围内，一旦 root 被锁定，就需要光盘引 导，因此该配置要慎用。 NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。 检测方法检测方法 1、判定条件、判定条件 帐户被锁定，不再提示让再次登录； 2、检测操作、检测操作 创建一个普通账号，为其配置相应的口令；并用新建的账号通过错 误的口令进行系统登录 6 次以上（不含 6 次） ； 3、 补充说明补充说明 root 账号也在锁定的限制范围内，一旦 root 被锁定，就需要光盘引 导，因此该配置要慎用。 NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。 2.1.3 授权授权 编号：编号： 安全要求安全要求-设备设备-通用通用-配置配置-9 要求内容要求内容 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小 权限。 操作指南操作指南 1、参考配置操作、参考配置操作 通过 chmod 命令对目录的权限进行实际设置。 2、补充操作说明、补充操作说明 /etc/passwd 必须所有用户都可读，root 用户可写 rw-rr /etc/shadow 只有 root 可读 r- /etc/group 必须所有用户都可读，root 用户可写 rw-rr 使用如下命令设置： chmod 644 /etc/passwd chmod 400 /etc/shadow chmod 644 /etc/group 如果是有写权限，就需移去组及其它用户对/etc 的写权限（特殊情 况除外） 执行命令#chmod -R go-w /etc 检测方法检测方法 1、判定条件、判定条件 1、设备系统能够提供用户权限的配置选项，并记录对用户进行权 限配置是否必须在用户创建时进行； 2、记录能够配置的权限选项内容； 3、所配置的权限规则应能够正确应用，即用户无法访问授权范围 之外的系统资源，而可以访问授权范围之内的系统资源。 2、检测操作、检测操作 1、利用管理员账号登录系统，并创建 2 个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统 资源和命令的选项； 3、 为两个用户分别配置不同的权限， 2 个用户的权限差异应能够分 中国移动通信和设备通用安全配置规范 12 别在用户权限级别、可访问系统资源以及可用命令等方面予以体 现； 4、分别利用 2 个新建的账号访问设备系统，并分别尝试访问允许 访问的内容和不允许访问的内容，查看权限配置策略是否生效。 3、补充说明、补充说明 编号：编号： 安全要求安全要求-设备设备-SOLARIS-配置配置-31-可选可选 要求内容要求内容 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文 件或目录不应有的访问允许权限。 防止同属于该组的其它用户及别 的组的用户修改该用户的文件或更高限制。 操作指南操作指南 1、 参考配置操作参考配置操作 设置默认权限： vi /etc/default/login 在末尾增加 umask 027 #vi /etc/profile 修改其中的 umask 为 027 修改文件或目录的权限，操作举例如下： #chmod 444 dir ; #修改目录 dir 的权限为所有人都为只读。 根据实际情况设置权限； 2、补充操作说明、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的 umask，可以在 需要的时候通过命令行设置，或者在用户的 shell 启动文件中配置。 检测方法检测方法 1、判定条件、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作、检测操作 查看新建的文件或目录的权限，操作举例如下： #ls -l dir ; #查看目录 dir 的权限 #cat /etc/default/login 查看是否有 umask 027 内容 #cat /etc/profile 查看是否有 umask 027 内容 3、补充说明、补充说明 umask 的默认设置一般为 022，这给新创建的文件默认权限 755 （777-022=755） ，这会给文件所有者读、写权限，但只给组成员和 其他用户读权限。 umask 的计算： umask 是使用八进制数据代码设置的，对于目录，该值等于八进制 数据代码 777 减去需要的默认权限对应的八进制数据代码值； 对于 文件， 该值等于八进制数据代码 666 减去需要的默认权限对应的八 进制数据代码值。 编号：编号： 安全要求安全要求-设备设备-SOLARIS-配置配置-32-可选可选 要求内容要求内容 控制 FTP 进程缺省访问权限，当通过 FTP 服务创建新文件或目录 时应屏蔽掉新文件或目录不应有的访问允许权限。 操作指南操作指南 1、参考配置操作、参考配置操作 中国移动通信和设备通用安全配置规范 13 a. 限制某些系统帐户不准 ftp 登录: 通过修改 ftpusers 文件，增加帐户 #vi /etc/ftpusers #Solaris 8 #vi /etc/ftpd/ftpusers #Solaris 10 b. 限制用户可使用 FTP 不能用 Telnet，假如用户为 ftpxll 创建一个/etc/shells 文件, 添加一行 /bin/true; 修改/etc/passwd 文件，ftpxll:x:119:1:/home/ftpxll:/bin/true 注：还需要把真实存在的 shell 目录加入/etc/shells 文件，否则没有 用户能够登录 ftp c. 限制 ftp 用户登陆后在自己当前目录下活动 编辑 ftpaccess，加入如下一行 restricted-uid * (限制所有)， restricted-uid username（特定用户） ftpaccess 文件与 ftpusers 文件在同一目录 d. 设置 ftp 用户登录后对文件目录的存取权限，可编辑 /etc/ftpd/ftpaccess。 chmod no guest,anonymous delete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous 2、补充操作说明、补充操作说明 查看# cat ftpusers 说明：在这个列表里边的用户名是不允许 ftp 登陆的，将允许登录 的用户加#注释。 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 检测方法检测方法 1、判定条件、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作、检测操作 查看新建的文件或目录的权限，操作举例如下： #more /etc/ftpusers #Solaris 8 中国移动通信和设备通用安全配置规范 14 #more /etc/ftpaccess #Solaris 8 #more /etc/ftpd/ftpusers #Solaris 10 #more /etc/ftpd/ftpaccess #Solaris 10 #more /etc/passwd 3、补充说明、补充说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许 ftp 登陆的，将允许登录 的用户加#注释。 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 2.2 日志配置要求日志配置要求 本部分对 SOLARIS 操作系统设备的日志功能提出要求，主要考察设备所 具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事 件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违 反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析 工具，发现安全隐患。如出现大量违反 ACL 规则的事件时，通过对日志的审计 分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。 编号：编号： 安全要求安全要求-设备设备-通用通用-配置配置-12 要求内容要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登 录使用的账号，登录是否成功，登录时间，以及远程登录时，用户 使用的 IP 地址。 操作指南操作指南 1、参考配置操作、参考配置操作 记录用户登录登出事件，修改文件： vi /etc/default/login，设置 SYSLOG=YES。 SOLARIS10 是 wtmpx 文件，Solaris8 是 wtmp。wtmp 文件中记录 着所有登录过主机的用户、时间、来源等内容，这两个文件不具可 中国移动通信和设备通用安全配置规范 15 读性，可用 last 命令来看。 记 录 登 录 失 败 事 件 ， 修 改 /etc/default/login文 件 中 的 SYSLOG_FAILED_LOGINS 行前的注释去掉，并设置数值； #vi /etc/default/login SYSLOG_FAILED_LOGINS=0 在 /var/adm 目录中创建 authlog 文件并设置权限： #touch /var/adm/authlog #chmod 600 /var/adm/authlog #chgrp sys /var/adm/authlog 编辑 syslog.conf 文件以记录失败的口令尝试，这些失败记录应 发送到 authlog 文件。 在 syslog.conf 文件中键入以下项： auth.notice /var/adm/authlog 重启 syslog 进程： solaris9 之前版本： #/etc/init.d/syslog stop #/etc/init.d/syslog start slaris10： #svcadm disable svc:/system/system-log:default #svcadm enable svc:/system/system-log:default 2、补充操作说明、补充操作说明 检测方法检测方法 1、判定条件、判定条件 列出用户账号、登录是否成功、登录时间、远程登录时的 IP 地址。 2、检测操作、检测操作 查看文件：more /etc/default/login 中的 SYSLOG=YES /var/adm/wtmpx 或者 wtmp。wtmp 文件中记录着所有登录过主机的 用户、时间、来源等内容，这两个文件不具可读性，可用 last 命令 来看。使用 more /var/adm/authlog 查看登录失败的事件。 # last 3、补充说明、补充说明 /var/adm/wtmpx 或者 wtmp、wtmps 文件会增长很快，大小达到 2G 以上，可先压缩，FTP 出来后，删除该文件，再创建空文件，一定 要创建空文件，否则可能出现系统无法启动。 编号：安全要求编号：安全要求-设备设备-通用通用-配置配置-13-可选可选 要求内容要求内容 设备应配置日志功能，记录用户对设备的操作，包括但不限于以下 内容：账号创建、删除和权限修改，口令修改，读取和修改设备配 置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数 据。需记录要包含用户账号，操作时间，操作内容以及操作结果。 操作指南操作指南 1、参考配置操作、参考配置操作 通过设置日志文件可以对每个用户的每一条命令进行纪录， 这一功 中国移动通信和设备通用安全配置规范 16 能默认是不开放的，为了打开它，需要执行/usr/lib/acct 目录下的 accton 文件，格式如下/usr/lib/acct/accton /var/adm/pacct， 执行读取命令 lastcomm user name。 2、补充操作说明、补充操作说明 检测方法检测方法 1、判定条件、判定条件 能够显示出包含配置内容中所要求的全部内容。 2、检测操作、检测操作 # lastcomm user name 3、补充说明、补充说明 编号：编号： 安全要求安全要求-设备设备-通用通用-配置配置-24-可选可选 要求内容要求内容 设备应配置日志功能，记录对与设备相关的安全事件。 操作指南操作指南 1、参考配置操作、参考配置操作 修改配置文件 vi /etc/syslog.conf， 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 2、补充操作说明、补充操作说明 检测方法检测方法 1、判定条件、判定条件 查看/var/adm/messages，记录有需要的设备相关的安全事件。 2、检测操作、检测操作 修改配置文件 vi /etc/syslog.conf， 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 3、补充说明、补充说明 编号：编号： 安全要求安全要求-设备设备-通用通用-配置配置-14-可选可选 要求内容要求内容 设备配置远程日志功能， 将需要重点关注的日志内容传输到日志服 务器。 操作指南操作指南 1、参考配置操作、参考配置操作 修改配置文件 vi /etc/syslog.conf， 加上这一行： *.* 可以将“*.*“替换为你实际需要的日志信息。 比如： kern.* ; mail.* 等 等。 可以将此处 替换为实际的 IP 或域名。 重新启动 syslog 服务，依次执行下列命令： solaris9 之前版本： #/etc/init.d/syslog stop #/etc/init.d/syslog start 中国移动通信和设备通用安全配置规范 17 slaris10： #svcadm disable svc:/system/system-log:default #svcadm enable svc:/system/system-log:default 2、补充操作说明、补充操作说明 注意： *.*和之间为一个 Tab 检测方法检测方法 1、判定条件、判定条件 设备配置远程日志功能， 将需要重点关注的日志内容传输到日志服 务器。 2、检测操作、检测操作 查看日志服务器上的所收到的日志文件。 3、补充说明、补充说明 编号：编号： 安全要求安全要求-设备设备-通用通用-配置配置-28 要求内容要求内容 设备应配置权限，控制对日志文件读取、修改和删除等操作。 操作指南操作指南 1、参考配置操作、参考配置操作 修改文件权限： chmod 644 /var/adm/messages chmod 644 /var/adm/utmpx chmod 644 /var/adm/wmtpx chmod 600 /var/adm/sulog 2、补充操作说明、补充操作说明 检测方法检测方法 1、判定条件、判定条件 没有相应权限的用户不能查看或删除日志文件 2、检测操作、检测操作 查看 syslog.conf 文件中配置的日志存放文件： more /etc/syslog.conf 使用 ls l /var/adm查看的目录下日志文件的权限， messages、 utmpx、 wmtpx 的权限应为 644，如下所示： -rw-r-r- 1 root root message -rw-r-r- 1 root bin utmpx -rw-r-r- 1 adm adm wtmpx sulog 的权限应为 600，如下所示： -rw- 1 root root sulog 3、补充说明、补充说明 对于其他日志文件，也应该设置适当的权限，如登录失败事件的日 志、操作日志，具体文件查看 syslog.conf 中的配置。 编号：编号： 安全要求安全要求-设备设备-SOLARIS-配置配置-33-可选可选 中国移动通信和设备通用安全配置规范 18 要求内容要求内容 设备应配置日志功能，记录用户使用 SU 命令的情况，记录不良的 尝试记录。 操作指南操作指南 1、参考配置操作、参考配置操作 修改文件：vi /etc/default/su 设置 SYSLOG=YES. 使用以下方法使尝试登录失败记录有效： touch /var/log/loginlog; chmod 600 /var/log/loginlog; chgrp sys /var/log/loginlog 查看 sulog 日志，记载着普通用户尝试 su 成为其它用户的纪录， more /var/adm/sulog 2、补充操作说明、补充操作说明 它的格式为： 发生时间 +/-(成功/失败) pts 号 当前用户欲 su 成的 用户 检测方法检测方法 1、判定条件、判定条件 有类似如下格式记录： SU 01/01 00:30 + console root-root 或 SU 08/20 13:44 + pts/2 xll-root 2、检测操作、检测操作 查看 sulog 日志，记载着普通用户尝试 su 成为其它用户的纪录 more /var/adm/sulog 3、补充说明、补充说明 它的格式为： 发生时间 +/-(成功/失败) pts 号 当前用户欲 su 成的 用户 编号：编号： 安全要求安全要求-设备设备-SOLARIS-配置配置-34-可选可选 要求内容要求内容 系统上运行的应用/服务也应该配置相应日志选项，比如 cron。 操作指南操作指南 1、参考配置操作、参考配置操作 对所有的 cron 行为进行审计： 在 /etc/default/cron 里设置“CRONLOG=yes“ 来记录 corn 的动作。 2、补充操作说明、补充操作说明 检测方法检测方法 1、判定条件、判定条件 日志中能够列出相应的应用/服务的详细日志信息； 2、检测操作、检测操作 查看日志存放文件，如 cron 的日志：more /var/cron/log 3、补充说明、补充说明 中国移动通信和设备通用安全配置规范 19 2.3 IP 协议安全配置要求协议安全配置要求 .1 IP 协议安全 IP 协议安全 编号：编号： 安全要求安全要求-设备设备-通用通用-配置配置-17-可选可选 要求内容要求内容 对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加 密协议。 操作指南操作指南 1、参考配置操作、参考配置操作 Solaris 10 以前的版本需另外安装，才能使用 SSH。 Solaris 10 启用 SSH 的命令：svcadm enable ssh Solaris 10 禁用 Telnet 的命令：svcadm disable telnet Solaris 8 如果安装 openssh #/etc/init.d/sshd start 来启动 SSH #/etc/init.d/sshd stop 来停止 SSH 2、补充操作说明、补充操作说明 查看 SSH、telnet 服务状态： # ps elf|grep ssh # ps elf|grep telnet Solaris 10 还可以通过命令： # svcs -a |grep ssh # svcs -a |grep telnet SSH 服务状态查看结果为：online telnet 服务状态查看结果为：disabled 检测方法检测方法 1、 判定条件判定条件 # ps elf|grep ssh 是否有 ssh 进程存在 Solaris 10 还可以通过命令# svcs -a |grep ssh SSH 服务状态查看结果为：online telnet 服务状态查看结果为：disabled 2、检测操作、检测操作 查看 SSH 服务状态： # ps elf|grep ssh 查看 telnet 服务状态： # ps elf|grep telnet 3、补充说明、补充说明 查看 SSH 服务状态： Solaris 10： # svcs -a |grep ssh # svcs -a |grep telnet 编号：编号： 安全要求安全要求-设备设备-SOLARIS-配置配置-18-可选可选 中国移动通信和设备通用安全配置规范 20 要求内容要求内容 设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。 操作指南操作指南 1、参考配置操作、参考配置操作 开放的服务列表 SOLARIS8若客户端不 符合/etc/hosts.allow 所描述的任何条件，则以/etc/hosts.deny 来审核 客户端的资格。 若客户端符合/etc/hosts.deny 所描述的资格， 则会被 拒绝访问。反之，客户端依然可以访问被保护的网络服务。 .2 路由协议安全 路由协议安全 编号：编号： 安全要