Solaris系统检查步骤v1.3.doc

对Solaris的测试有两种测试方法： 第一种方法是上传脚本，通过上传脚本可以将Unix安全配置检查表-solaris检查项目的第1、2、3、4、6、7、8、9、10、11、13、14可以通过脚本方式实现，而5、12需要通过手工方式进行检查。 第二种方法是命令执行。如果我们无法运行脚本，就需要通过执行命令+拷屏（除日志外，其他所有的命令都需要全部拷屏）。我们对于每条命令都进行了说明和描述。第一种、脚本文件上传1. 将脚本文件通过FTP以文本方式(asc)上传到AIX服务器的/tmp目录下。# ftp Solaris_server_ip/以ftp方式登录到Solaris服务器上# 根据系统提示输入用户名和密码# asc/以ascii方式上传文件# cd /tmp/进入tmp目录# put script_file_name/将文件上传到tmp目录中# ls/检查文件是否已经成功上传script_file_name2. 以普通用户登录系统，然后以su切换到管理员用户。3. 将脚本文件的权限更改为可执行。# cd /tmp# chmod 777 script_file_name4. 执行脚本。# ./script_file_name5. 将执行结果ftp传回到我们的笔记本电脑上将HOST.TIME.log(注意HOST为被测试主机的主机名，TIME为被测试主机的测试时间) ftp传回到我们的笔记本电脑上以便于分析。我们可以举一个例子，如果被测试主机的名字叫solarisfinance，我们测试的时间是2006.04.16.10:20。那么会显示我们通过脚本抓下来文件solarisfinance.142006041020.log。二、手工检查项目1应定期检查和更新系统安全修补程序的检查命令#showrev 查看服务器基本信息#showrev p对于Solaris系统来说，并不是补丁版本越高越好，有时候客户需要根据自己应用的情况升级补丁，有些补丁还可能与用户的应用冲突，所以即使用户补丁并非是最新版本，也不是很大的问题，我们只需要给客户指出目前补丁状况，由客户自行决定是否需要升级。如果该文件很大，截屏困难，可以输出到一个文件中并拷贝下来。具体做法是：# showrev -p /tmp/showrev-p.txt2检查，Unix服务器应安装安全的文件系统，DOS FAT、OS/2、HPFS或NTFS等文件系统不应安装在UNIX服务器上。# cat /etc/vfstab 或# cat /etc/mnttab 或# mount均可以查询所列出的solaris操作系统是否具有不合适的文件系统的格式。3所有对Unix服务器控制台进行的访问应经过严格的身份鉴别与验证，对每个被授权访问的用户应采取用户名及密码的认证手段，或者采取其他有效的身份鉴别与验证手段。# cat /etc/passwd 我们可以通过查看passwd中的用户，并让操作系统管理员对其中的若干帐号实施登录，来验证每个账户是否采取了密码认证机制。命令可以查看passwd文件存在哪些用户，以及这些用户的口令是否经过了加密。每行第一部分是用户名，冒号后的第二部分是密码部分，如果被shadow了，我们只能看到*或者!由此，我们可以判定该文件是被shadow的，符合控制要求。4禁止直接以root登录，而是采用su命令临时切换。除管理员外，禁止一切用户通过Unix服务器控制台进行shell级的访问。第一步：在SUN的Solaris系统上查看/etc/default/login（命令是#more /etc/default/login）文件，看看是否有下面这一行 ：CONSOLE=/dev/console如果有上述记录，认定远程用户无法通过root直接登陆（默认情况下Solaris是没有此配置的），当然也包括Solaris的客户端图形界面。但使用console方式的还可以进行登录。需要执行第二步操作，确认操作系统管理员是否会直接通过root进行登录。第二步：#more /var/adm/sulog通过查看sulog，确定su的过程。并通过查看sulog确认系统管理员是否使用普通用户登录，再su切换到root用户。如果有root-sybase，就是先用root登录后用sybase，属于例外；如果是sybase-root，则是先用sybase后su到root登录，属于有效控制。（每天的自动备份的登录，root-sybase，以及sybase-root登录除外，可以通过询问自动备份的开始时间和时间段，并查看sulog文件确认这一点）如果该文件很大，截屏困难，可以输出到一个文件中并拷贝下来。具体做法是：# more /var/adm/sulog /tmp/sulog.txt另外，由于sulog可能存在一些登录记录的问题，建议第二步可以通过查看wtmp文件获得确认。#who -a /var/adm/wtmp /tmp/wtmpx.txt/var/adm/wtmpx文件所显示的每一个条目包含了：用户名，登陆设备，登陆的主机，日期和时间，总共用时。包括reboot时间。5管理员帐号与普通用户帐号不得混用，系统管理员具有两个用户帐号，一个作为系统的常规用户，执行阅读文档，收发电子邮件等常规性操作，另一个用作管理，即真正具有管理员效力的用户帐号。此部分的检查通过访谈来确定。并查看管理员是否可以用非root帐号进行登录。查看是否除了sa、sybase、以及数据库管理员自定义的用户，其他的用户是否属于系统用户（Solaris系统安装时默认就安装的用户）。6任何密码设置应符合公司信息系统总体控制实施办法中关于密码设置的要求。# cat /etc/default/passwd 可以查看Solaris账户的密码策略。并做一个截屏。（1） PWWARN= 30 #设定离用户密码过期的天数为30天，当系统启动时提醒用户。（2）PWLEN= 8 #设定最小用户密码长度为8位。如果没有上述设置，就要判定为例外。78基本上都是查找第7点测试方法：以普通用户登录，用cat命令打开/etc/passwd文件，检查普通用户（非root用户，或非管理员组用户）是否具备打开此文件的权限，如果普通用户能够通过cat命令同时打开etc/passwd文件和 /etc/shadow，则是“例外”；通过su命令切换到root用户，再次通过cat命令打开/etc/passwd文件，检查用户密码域是否为*， 如果passwd文件已经shadow保护，则相应密码域应该是“*”或是“NP”或是一段经过加密的13位的字符（请参考下列截屏中的最后一行“admin:rAKEDpqd.NKsM:13238:”，“rAKEDpqd.NKsM”说明密码是经过加密的），就说明该控制点有效。否则，如果是能看懂的其他字符，则passwd文件未被shadow保护。第8点测试方法:#cat /etc/passwd查看所显示的第一列是否有Unix服务器安全配置表中第八条所列的用户名，如果存在，则是例外。也可以使用以下命令查看solaris中的用户组(可以使用alt+PtrSc将所显示的内容注意拷屏，注意，如需翻页，可以按一下空格键)9取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令#ls -l usr/sbin/shutdown#ls -l usr/sbin/halt#ls -l usr/sbin/reboot通过find命令查找shutdown、reboot和halt的路径。1)、solaris上述文件通常存储在/usr/sbin目录下，查看该文件的属性#ls l /usr/sbin/shutdown2)、分析shundown命令的执行权限注意到-r-xr- 1 root shutdown所显示的内容。你只需要确认“系统中的其他用户的权限”为“-”，就可以认定普通用户不具备执行shutdown、reboot、halt等命令的权限。3)、同理，可以使用ls l察看该reboot、halt文件的属性。4)、其他系统（例如linux、AIX或hp_ux），我们首先需要在其操作系统根目录下执行以下命令，确保当前目录是系统根目录#cd /5)、查找shutdown系统命令所存储的路径（确保执行该命令时是root权限），并执行步骤13。#find / -name shutdown -print10Unix服务器上只能安装应用必须的服务器程序，禁用所有不用的服务。#cat /etc/inetd.conf查看inetd.conf文件，所显示的内容是否包括，如uucp、finger、netstat、echo、discard、chargen、imap、pop、tftp、talk。如果不是十分需要这些服务，建议关闭掉，因为开启这些服务会带来巨大的安全风险。我们可以通过查看/etc/inetd.conf文件来确认solaris是否开启了这些服务。如果这些命令前有加“#”的标志(#通常是注释)，并询问用户这些服务的作用，就可以确认solaris已经禁用了不用的服务。如果该文件很大，截屏困难，可以输出到一个文件中并拷贝下来。具体做法是：#cat /etc/inetd.conf /tmp/inetdconf.txt下面的这个图片是inetd.conf文件的截屏，从该截屏中我们可以看到echo、discard、chargen等服务没有关闭掉（#表示该行是注释，该服务不启用）。说明该控制点此项没有得到有效控制，属于例外。11确保Unix服务器的时间设置准确。#date拷屏时直接使用PrtSc键(而非alt+PrtSc键)，这是因为我们需要将该服务器的时间与终端登录的Windows时间拷贝到一个屏幕上。12对Unix服务器的远程管理访问应经过授权和验证。需要查看防火墙的配置，是否存在VPN连接。如果存在，通过查看防火墙本身配置或radius或tacaus或acs服务器来确定vpn中的用户帐户并验证。此部分可以参考防火墙中VPN配置及其账户的检测方法来实现。如果做了物理隔离，只能从内网访问服务器的话，此点可以不做测试。13操作系统和应用程序的帐号应正确配置以符合最小授权原则。第一种方法：#more /etc/security/group或#more /etc/group查看管理员组中除了root，是否还有其他用户。第二种方法：Solaris下用AdminTool确认操作系统和应用程序的帐号应正确配置以符合最小授权原则。14所有生产运行环境中的Unix系统都应激活用户帐户登录请求日志记录功能。#ls -al /var/adm 查看var/adm有什么文件，做一个截屏。#cat /var/adm/syslog/syslog.log 查看日志中是否存在有问题的登录。（此点很多地区公司无法测试，因为没有配置该log记录功能，可以不用截屏或是拷贝证据文件。不作为例外，但要作为建议向用户提出）# cat etc/security/failedlogin查看了每次登录失败的信