Solaris安全配置基线.doc

Solaris 系统安全配置基线 中国移动通信有限公司第 1 页 共 19 页 SolarisSolaris 系统安全配置基线系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 1 月 Solaris 系统安全配置基线 中国移动通信有限公司第 2 页 共 19 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 Solaris 系统安全配置基线 中国移动通信有限公司第 3 页 共 19 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章账号管理 认证授权账号管理 认证授权 2 2 1账号 2 2 1 1管理无关账户 2 2 1 2限制超级用户远程登录 2 2 2口令和认证 3 2 2 1口令长度 3 2 2 2口令生存期略 3 2 2 3重复口令使用 4 2 2 4认证次数 4 2 2 5用户权利指派 5 2 2 6访问权限控制 5 2 2 7FTP访问权限 6 第第 3 章章日志配置操作日志配置操作 7 3 1日志配置 7 3 1 1用户登录记录 7 3 1 2日志功能配置 7 3 1 3设备安全事件记录 8 3 1 4远程日志 8 3 1 5记录不良尝试 9 3 1 6应用或服务日志配置 9 第第 4 章章IP 协议安全配置协议安全配置 10 4 1IP 协议 10 4 1 1IP安全机制 10 4 1 2主机系统禁止ICMP重定向 10 第第 5 章章设备其他配置操作设备其他配置操作 11 5 1设备配置 11 5 1 1对具备字符交互界面的设备配置定时帐户自动登出 11 5 2其他配置 11 5 2 1从应用层面进行必要的安全访问控制 11 5 2 2限制root 用户只能从console口本地登录 12 5 2 3设置eeprom 安全密码 12 5 2 4关闭不需要服务 12 Solaris 系统安全配置基线 中国移动通信有限公司第 4 页 共 19 页 5 2 5防止堆栈缓冲溢出 13 5 2 6关闭不在系统启动时自动加载的进程和服务 13 第第 6 章章评审与修订评审与修订 15 Solaris 系统安全配置基线 中国移动通信有限公司第 1 页 共 19 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 SOLARIS 操作 系统的主机应当遵循的操作系统安全性设置标准 本文档旨在指导系统管理人员或安全检 查人员进行 SOLARIS 操作系统的安全合规性检查和配置 1 2 适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 SOLARIS 服务器系统 1 3 适用版本适用版本 SOLARIS 系列服务器 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 Solaris 系统安全配置基线 中国移动通信有限公司第 2 页 共 19 页 第第 2 章章账号管理 认证授权账号管理 认证授权 2 1 账号账号 2 1 1 管理无关账户管理无关账户 安全基线项安全基线项 目名称目名称 操作系统 Solaris 无关账户安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 01 01 安全基线项安全基线项 说明说明 应删除或锁定与设备运行 维护等工作无关的账号 系统内存在不 可删除的内置账号 包括 root bin 等 检测操作步检测操作步 骤骤 使用删除或锁定的与工作无关的账号登录系统 基线符合性基线符合性 判定依据判定依据 需要锁定的用户 listen gdm webservd nobody nobody4 noaccess 备注备注 2 1 2 限制超级用户远程登录限制超级用户远程登录 安全基线项安全基线项 目名称目名称 操作系统 Solaris 远程登录安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 01 02 安全基线项安全基线项 说明说明 限制具备超级管理员权限的用户远程登录 远程执行管理员权限操作 应先 以普通权限用户远程登录后 再切换到超级管理员权限账号后执行相应操作 检测操作步检测操作步 骤骤 root 从远程使用 telnet 登录 普通用户从远程使用 telnet 登录 root 从远程使用 ssh 登录 普通用户从远程使用 ssh 登录 基线符合性基线符合性 判定依据判定依据 root 远程登录不成功 提示 Not on system console 普通用户可以登录成功 而且可以切换到 root 用户 Solaris 系统安全配置基线 中国移动通信有限公司第 3 页 共 19 页 备注备注 2 2 口令和认证口令和认证 2 2 1 口令长度口令长度 安全基线项安全基线项 目名称目名称 操作系统 Solaris 口令长度安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 02 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 6 位 并包括数字 小写 字母 大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 1 检查口令强度配置选项是否可以进行如下配置 i 配置口令的最小长度 ii 将口令配置为强口令 2 创建一个普通账号 为用户配置与用户名相同的口令 只包含字符或数 字的简单口令以及长度短于 6 位的口令 查看系统是否对口令强度要求进行 提示 输入带有特殊符号的复杂口令 普通复杂口令 查看系统是否可以成 功设置 基线符合性基线符合性 判定依据判定依据 不符合密码强度的时候 系统对口令强度要求进行提示 符合密码强度的时候 可以成功设置 备注备注 2 2 2 口令生存期略口令生存期略 安全基线项安全基线项 目名称目名称 操作系统 Solaris 口令生存周期安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 02 02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 帐户口令的生存期不长于 90 天 检测操作步检测操作步 骤骤 使用超过 90 天的帐户口令登录 基线符合性基线符合性 判定依据判定依据 登录不成功 Solaris 系统安全配置基线 中国移动通信有限公司第 4 页 共 19 页 备注备注 2 2 3 重复口令使用重复口令使用 安全基线项安全基线项 目名称目名称 操作系统 Solaris 重复口令安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 02 03 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 应配置设备 使用户不能重复使用最近 5 次 含 5 次 内已使用的口令 检测操作步检测操作步 骤骤 cat etc default passwd 查看 HISTORY 设置 基线符合性基线符合性 判定依据判定依据 HISTORY 5 备注备注 2 2 4 认证次数认证次数 安全基线项安全基线项 目名称目名称 操作系统 Solaris 认证次数安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 02 04 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 应配置当用户连续认证失败次数超过 6 次 不含 6 次 锁定该用户使用的账号 检测操作步检测操作步 骤骤 1 当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定 cat etc user attr cat etc security policy conf 查看 LOCK AFTER RETRIES 2 查看重试的次数 cat etc default login 查看 RETRIES 基线符合性基线符合性 判定依据判定依据 LOCK AFTER RETRIES YES RETRIES 7 Solaris 系统安全配置基线 中国移动通信有限公司第 5 页 共 19 页 备注备注 2 2 5 用户权利指派用户权利指派 安全基线项安全基线项 目名称目名称 操作系统 Solaris 用户权力指派安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 02 05 安全基线项安全基线项 说明说明 在设备权限配置能力内 根据用户的业务需要 配置其所需的最小权限 检测操作步检测操作步 骤骤 1 设备系统能够提供用户权限的配置选项 并记录对用户进行权限配置是 否必须在用户创建时进行 2 记录能够配置的权限选项内容 3 所配置的权限规则应能够正确应用 即用户无法访问授权范围之外的系 统资源 而可以访问授权范围之内的系统资源 基线符合性基线符合性 判定依据判定依据 etc passwd 必须所有用户都可读 root 用户可写 rw r r etc shadow 只有 root 可读 r etc group 必须所有用户都可读 root 用户可写 rw r r 备注备注 2 2 6 访问权限控制访问权限控制 安全基线项安全基线项 目名称目名称 操作系统 Solaris 访问权限控制安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 02 06 安全基线项安全基线项 说明说明 控制用户缺省访问权限 当在创建新文件或目录时 应屏蔽掉新文件或目录 不应有的访问允许权限 防止同属于该组的其它用户及别的组的用户修改该 用户的文件或更高限制 检测操作步检测操作步 骤骤 cat etc default login 查看 umask 内容 基线符合性基线符合性 判定依据判定依据 应设置 umask 027 备注备注 Solaris 系统安全配置基线 中国移动通信有限公司第 6 页 共 19 页 2 2 7 FTP 访问权限访问权限 安全基线项安全基线项 目名称目名称 操作系统 Solaris FTP 访问权限控制安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 02 07 安全基线项安全基线项 说明说明 控制 FTP 进程缺省访问权限 当通过 FTP 服务创建新文件或目录时应屏蔽 掉新文件或目录不应有的访问允许权限 检测操作步检测操作步 骤骤 查看新建的文件或目录的权限 操作举例如下 more etc ftpusers Solaris 8 more etc ftpd ftpusers Solaris 10 more etc ftpaccess Solaris 8 more etc ftpd ftpaccess Solaris 10 基线符合性基线符合性 判定依据判定依据 权限设置符合实际需要 不应有的访问允许权限被屏蔽掉 补充说明 查看 cat ftpusers 说明 在这个列表里边的用户名是不允许 ftp 登陆的 应包括 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 备注备注 Solaris 系统安全配置基线 中国移动通信有限公司第 7 页 共 19 页 第第 3 章章日志配置操作日志配置操作 3 1 日志配置日志配置 3 1 1 用户登录记录用户登录记录 安全基线项安全基线项 目名称目名称 操作系统 Solaris 用户登录审计安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 01 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 查看文件 more etc default login 中的 SYSLOG var adm wtmpx 或者 wtmp wtmps 文件中记录着所有登录过主机的用户 时 间 来源等内容 该文件不具可读性 可用 last 命令来看 last 基线符合性基线符合性 判定依据判定依据 SYSLOG YES 列出用户账号 登录是否成功 登录时间 远程登录时的 IP 地址 备注备注 3 1 2 日志功能配置日志功能配置 安全基线项安全基线项 目名称目名称 操作系统 Solaris 日志功能配置安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 02 安全基线项安全基线项 说明说明 设备应配置日志功能 记录用户对设备的操作 包括但不限于以下内容 账 号创建 删除和权限修改 口令修改 读取和修改设备配置 读取和修改业 务用户的话费数据 身份数据 涉及通信隐私数据 需记录要包含用户账号 操作时间 操作内容以及操作结果 检测操作步检测操作步 骤骤 lastcomm user name Solaris 系统安全配置基线 中国移动通信有限公司第 8 页 共 19 页 基线符合性基线符合性 判定依据判定依据 能够显示出包含配置内容中所要求的全部内容 备注备注 3 1 3 设备安全事件记录设备安全事件记录 安全基线项安全基线项 目名称目名称 操作系统 Solaris 设备安全审计功能配置安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 03 安全基线项安全基线项 说明说明 设备应配置日志功能 记录对与设备相关的安全事件 检测操作步检测操作步 骤骤 查看配置文件 vi etc syslog conf 基线符合性基线符合性 判定依据判定依据 应配置如下类似语句 err kern debug daemon notice var adm messages 定义为需要保存的设备相关安全事件 备注备注 3 1 4 远程日志远程日志 安全基线项安全基线项 目名称目名称 操作系统 Solaris 远程日志安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 04 安全基线项安全基线项 说明说明 设备配置远程日志功能 将需要重点关注的日志内容传输到日志服务器 检测操作步检测操作步 骤骤 查看配置文件 vi etc syslog conf 基线符合性基线符合性 判定依据判定依据 应配置类似一行 192 168 0 1 可以将 替换为你实际需要的日志信息 比如 kern mail 等等 可以将此处 192 168 0 1 替换为实际的 IP 或域名 重新启动 syslog 服务 依次执行下列命令 etc init d syslog stop Solaris 系统安全配置基线 中国移动通信有限公司第 9 页 共 19 页 etc init d syslog start 检测操作 查看日志服务器上的所收到的日志文件 备注备注 3 1 5 记录不良尝试记录不良尝试 安全基线项安全基线项 目名称目名称 操作系统 Solaris 失败操作审计安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 05 安全基线项安全基线项 说明说明 设备应配置日志功能 记录用户使用 SU 命令的情况 记录不良的尝试记录 检测操作步检测操作步 骤骤 查看配置文件 vi etc default su 基线符合性基线符合性 判定依据判定依据 SYSLOG YES 备注备注 3 1 6 应用或服务日志配置应用或服务日志配置 安全基线项安全基线项 目名称目名称 操作系统 Solaris 服务日志配置安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 06 安全基线项安全基线项 说明说明 系统上运行的应用 服务也应该配置相应日志选项 比如 cron 检测操作步检测操作步 骤骤 查看配置文件 vi etc default cron 基线符合性基线符合性 判定依据判定依据 应包含设置 CRONLOG yes 查看日志存放文件 如 cron 的日志 more var cron log 日志中能够列出相应的应用 服务的详细日志信息 备注备注 Solaris 系统安全配置基线 中国移动通信有限公司第 10 页 共 19 页 第第 4 章章IP 协议安全配置协议安全配置 4 1 IP 协议协议 4 1 1 IP 安全机制安全机制 安全基线项安全基线项 目名称目名称 操作系统 Solaris IP 安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 04 01 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 检测操作步检测操作步 骤骤 查看 SSH 服务状态 ps elf grep ssh 查看 telnet 服务状态 ps elf grep telnet 基线符合性基线符合性 判定依据判定依据 SSH 服务状态查看结果为 online telnet 服务状态查看结果为 disabled 备注备注 4 1 2 主机系统禁止主机系统禁止 ICMP 重定向重定向 安全基线项安全基线项 目名称目名称 操作系统 Solaris ICMP 重定向安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 04 01 02 安全基线项安全基线项 说明说明 主机系统应该禁止 ICMP 重定向 采用静态路由 检测操作步检测操作步 骤骤 查看 etc rc2 d S inet 内容 基线符合性基线符合性 判定依据判定依据 应包含 ip send redirects 0 备注备注 Solaris 系统安全配置基线 中国移动通信有限公司第 11 页 共 19 页 第第 5 章章设备其他配置操作设备其他配置操作 5 1 设备配置设备配置 5 1 1 对具备字符交互界面的设备配置定时帐户自动登出对具备字符交互界面的设备配置定时帐户自动登出 安全基线项安全基线项 目名称目名称 操作系统 Solaris 自动退出安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 01 01 安全基线项安全基线项 说明说明 对于具备字符交互界面的设备 应配置定时帐户自动登出 检测操作步检测操作步 骤骤 查看用户的 profile 文件以及环境变量 基线符合性基线符合性 判定依据判定依据 应包含 TMOUT 180 export TMOUT 类似配置 用 root 帐户登录后 在设定时间内不进行任何操作 检查帐户应自动退出 备注备注 5 2 其他配置其他配置 5 2 1 从应用层面进行必要的安全访问控制从应用层面进行必要的安全访问控制 安全基线项安全基线项 目名称目名称 操作系统 Solaris 应用层访问控制安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 02 01 安全基线项安全基线项 说明说明 应该从应用层面进行必要的安全访问控制 比如 FTP 服务器应该限制 ftp 可 以使用的目录范围 检测操作步检测操作步 骤骤 查看 etc ftpaccess 基线符合性基线符合性 判定依据判定依据 应包含 restricted uid 类似配置 root 帐户从远程访问 访问被禁止或被限制 备注备注 Solaris 系统安全配置基线 中国移动通信有限公司第 12 页 共 19 页 5 2 2 限制限制 root 用户只能从用户只能从 console 口本地登录 口本地登录 安全基线项安全基线项 目名称目名称 操作系统 Solaris root 访问安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 02 01 安全基线项安全基线项 说明说明 对于具备 console 口的设备 限制 root 用户只能从 console 口本地登录 检测操作步检测操作步 骤骤 查看 cat etc default login 基线符合性基线符合性 判定依据判定依据 应包含 CONSOLE dev console 类似配置 备注备注 5 2 3 设置设置 eeprom 安全密码安全密码 安全基线项安全基线项 目名称目名称 操作系统 Solaris eeprom 密码安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 02 03 安全基线项安全基线项 说明说明 设置 eeprom 安全密码 检测操作步检测操作步 骤骤 usr sbin eeprom 显示当前 eeprom 配置 基线符合性基线符合性 判定依据判定依据 显示的级别配置为 security mode command 对于一般用户 从硬盘启动 不需要输入密码 如果选择从光盘启动 则需要密码 备注备注 5 2 4 关闭不需要服务关闭不需要服务 安全基线项安全基线项 目名称目名称 操作系统 Solaris eeprom 密码安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 02 04 安全基线项安全基线项 说明说明 列出所需要服务的列表 包括所需的系统服务 不在此列表的服务需关闭 检测操作步检测操作步 Solaris10 查看所有开启的服务 svcs a Solaris 系统安全配置基线 中国移动通信有限公司第 13 页 共 19 页 骤骤 Solaris8 查看所有开启的服务 cat etc inet inetd conf cat etc inet services 基线符合性基线符合性 判定依据判定依据 在 etc inetd conf 文件中禁止下列不必要的基本网络服务 time echo discard