Solaris-安全配置基线.doc

Solaris 系统安全配置基线 中国移动集团公司第 1 页 共 32 页 SolarisSolaris 系统安全配置基线系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 4 月 Solaris 系统安全配置基线 中国移动集团公司第 2 页 共 32 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 V2 0更新2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 Solaris 系统安全配置基线 中国移动集团公司第 3 页 共 32 页 目目 录录 第第 1 章章概述概述 5 1 1目的 5 1 2适用范围 5 1 3适用版本 5 1 4实施 5 1 5例外条款 5 第第 2 章章帐户管理 认证授权帐户管理 认证授权 6 2 1帐户 6 2 1 1管理无关帐户 6 2 1 2限制超级用户远程登录 6 2 1 3用户共享帐户避免 7 2 2口令和认证 7 2 2 1口令长度 7 2 2 2口令生存期略 8 2 2 3重复口令使用 8 2 2 4认证次数 9 2 2 5用户权利指派 9 2 2 6访问权限控制 10 2 2 7FTP访问权限 10 第第 3 章章日志配置操作日志配置操作 11 3 1日志配置 11 3 1 1用户登录记录 11 3 1 2日志功能配置 12 3 1 3设备安全事件记录 12 3 1 4远程日志 13 3 1 5记录不良尝试 13 3 1 6应用或服务日志配置 14 3 1 7日志文件读取控制 14 第第 4 章章IP 协议安全配置协议安全配置 16 4 1IP 协议 16 4 1 1IP安全机制 16 4 1 2主机系统禁止ICMP重定向 16 4 1 3IP服务端口及进程管理 17 4 1 4维护IP地址限制 18 4 1 5系统路由转发控制 19 第第 5 章章设备其他配置操作设备其他配置操作 22 5 1设备配置 22 5 1 1对具备字符交互界面的设备配置定时帐户自动登出 22 Solaris 系统安全配置基线 中国移动集团公司第 4 页 共 32 页 5 2文件系统及访问控制 22 5 2 1重要文件 目录访问控制 22 5 3服务 23 5 3 1系统基本服务列表配置 23 5 3 2系统时间同步配置 25 5 3 3NFS服务控制 26 5 4补丁 27 5 4 1系统补丁安全 27 5 5其他配置 28 5 5 1从应用层面进行必要的安全访问控制 28 5 5 2限制root 用户只能从console口本地登录 28 5 5 3关闭不需要服务 29 5 5 4防止堆栈缓冲溢出 29 5 5 5关闭不在系统启动时自动加载的进程和服务 30 5 5 6屏幕保护设置 30 第第 6 章章评审与修订评审与修订 32 Solaris 系统安全配置基线 中国移动集团公司第 5 页 共 32 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 SOLARIS 操作 系统的主机应当遵循的操作系统安全性设置标准 本文档旨在指导系统管理人员或安全检 查人员进行 SOLARIS 操作系统的安全合规性检查和配置 1 2 适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 SOLARIS 服务器系统 1 3 适用版本适用版本 SOLARIS 系列服务器 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 Solaris 系统安全配置基线 中国移动集团公司第 6 页 共 32 页 第第 2 章章帐户管理 认证授权帐户管理 认证授权 2 1 帐户帐户 2 1 1 管理无关帐户管理无关帐户 安全基线项安全基线项 目名称目名称 操作系统 Solaris 无关帐户安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 01 01 安全基线项安全基线项 说明说明 应删除或锁定与设备运行 维护等工作无关的帐户 系统内存在不 可删除的内置帐户 包括 root bin 等 检测操作步检测操作步 骤骤 使用删除或锁定的与工作无关的帐户登录系统 基线符合性基线符合性 判定依据判定依据 需要锁定的用户 listen gdm webservd nobody nobody4 noaccess 备注备注手工判断 2 1 2 限制超级用户远程登录限制超级用户远程登录 安全基线项安全基线项 目名称目名称 操作系统 Solaris 远程登录安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 01 02 安全基线项安全基线项 说明说明 限制具备超级管理员权限的用户远程登录 远程执行管理员权限操作 应先 以普通权限用户远程登录后 再切换到超级管理员权限帐户后执行相应操作 检测操作步检测操作步 骤骤 root 从远程使用 ssh 登录 普通用户从远程使用 ssh 登录 基线符合性基线符合性 判定依据判定依据 root 远程登录不成功 提示 Not on system console 普通用户可以登录成功 而且可以切换到 root 用户 备注备注 Solaris 系统安全配置基线 中国移动集团公司第 7 页 共 32 页 2 1 3 用户共享帐户避免用户共享帐户避免 安全基线项安全基线项 目名称目名称 操作系统 Solaris 用户帐户共享安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 01 03 安全基线项安全基线项 说明说明 应按照用户分配帐户 避免不同用户间共享帐户 避免用户帐户和设备间通 信使用的帐户共享 检测操作步检测操作步 骤骤 为用户创建帐户 useradd username 创建帐户 passwd username 设置密码 修改权限 chmod 750 directory 其中 755 为设置的权限 可根据实际情况设置相应 的权限 directory 是要更改权限的目录 使用该命令为不同的用户分配不同的帐户 设置不同的口令及权限信息等 基线符合性基线符合性 判定依据判定依据 能够登录成功并且可以进行常用操作 使用不同的帐户进行登录并进行一些常用操作 备注备注手工判断 2 2 口令和认证口令和认证 2 2 1 口令长度口令长度 安全基线项安全基线项 目名称目名称 操作系统 Solaris 口令长度安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 02 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 8 位 并包括数字 小写 字母 大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 1 检查口令强度配置选项是否可以进行如下配置 i 配置口令的最小长度 ii 将口令配置为强口令 2 创建一个普通帐户 为用户配置与用户名相同的口令 只包含字符或数 字的简单口令以及长度短于 8 位的口令 查看系统是否对口令强度要求进行 Solaris 系统安全配置基线 中国移动集团公司第 8 页 共 32 页 提示 输入带有特殊符号的复杂口令 普通复杂口令 查看系统是否可以成 功设置 基线符合性基线符合性 判定依据判定依据 不符合密码强度的时候 系统对口令强度要求进行提示 符合密码强度的时候 可以成功设置 备注备注 2 2 2 口令生存期略口令生存期略 安全基线项安全基线项 目名称目名称 操作系统 Solaris 口令生存周期安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 02 02 02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 帐户口令的生存期不长于 90 天 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 vi etc default passwd 文件 MAXWEEKS 13 密码的最大生存周期为 13 周 Solaris 8kern debug daemon notice var adm messages 定义为需要保存的设备相关安全事件 备注备注手工检查 3 1 4 远程日志远程日志 安全基线项安全基线项 目名称目名称 操作系统 Solaris 远程日志安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 04 安全基线项安全基线项 说明说明 设备配置远程日志功能 将需要重点关注的日志内容传输到日志服务器 检测操作步检测操作步 骤骤 查看配置文件 vi etc syslog conf 基线符合性基线符合性 判定依据判定依据 应配置类似一行 192 168 0 1 可以将 替换为你实际需要的日志信息 比如 kern mail 等等 可以将此处 192 168 0 1 替换为实际的 IP 或域名 重新启动 syslog 服务 依次执行下列命令 etc init d syslog stop etc init d syslog start 检测操作 查看日志服务器上的所收到的日志文件 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 1 5 记录不良尝试记录不良尝试 安全基线项安全基线项 目名称目名称 操作系统 Solaris 失败操作审计安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 05 安全基线项安全基线项 设备应配置日志功能 记录用户使用 SU 命令的情况 记录不良的尝试记录 Solaris 系统安全配置基线 中国移动集团公司第 14 页 共 32 页 说明说明 检测操作步检测操作步 骤骤 查看配置文件 vi etc default su 基线符合性基线符合性 判定依据判定依据 SYSLOG YES 备注备注 3 1 6 应用或服务日志配置应用或服务日志配置 安全基线项安全基线项 目名称目名称 操作系统 Solaris 服务日志配置安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 06 安全基线项安全基线项 说明说明 系统上运行的应用 服务也应该配置相应日志选项 比如 cron 检测操作步检测操作步 骤骤 查看配置文件 vi etc default cron 基线符合性基线符合性 判定依据判定依据 应包含设置 CRONLOG yes 查看日志存放文件 如 cron 的日志 more var cron log 日志中能够列出相应的应用 服务的详细日志信息 备注备注 3 1 7 日志文件读取控制日志文件读取控制 安全基线项安全基线项 目名称目名称 操作系统 Solaris 日志读取安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 03 01 07 安全基线项安全基线项 说明说明 设备应配置权限 控制对日志文件读取 修改和删除等操作 检测操作步检测操作步 骤骤 修改文件权限 chmod 644 var adm messages chmod 644 var adm utmpx chmod 644 var adm wmtpx chmod 600 var adm sulog 查看 syslog conf 文件中配置的日志存放文件 more etc syslog conf 使用 ls l var adm 查看的目录下日志文件的权限 messages utmpx wmtpx 的权限应为 644 如下所示 Solaris 系统安全配置基线 中国移动集团公司第 15 页 共 32 页 rw r r 1 root root message rw r r 1 root bin utmpx rw r r 1 adm adm wtmpx sulog 的权限应为 600 如下所示 rw 1 root root sulog 基线符合性基线符合性 判定依据判定依据 没有相应权限的用户不能查看或删除日志文件 对于其他日志文件 也应该设置适当的权限 如登录失败事件的日志 操作 日志 具体文件查看 syslog conf 中的配置 备注备注 Solaris 系统安全配置基线 中国移动集团公司第 16 页 共 32 页 第第 4 章章IP 协议安全配置协议安全配置 4 1 IP 协议协议 4 1 1 IP 安全机制安全机制 安全基线项安全基线项 目名称目名称 操作系统 Solaris IP 安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 04 01 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 检测操作步检测操作步 骤骤 查看 SSH 服务状态 ps elf grep ssh 查看 telnet 服务状态 ps elf grep telnet 基线符合性基线符合性 判定依据判定依据 SSH 服务状态查看结果为 online telnet 服务状态查看结果为 disabled 备注备注 4 1 2 主机系统禁止主机系统禁止 ICMP 重定向重定向 安全基线项安全基线项 目名称目名称 操作系统 Solaris ICMP 重定向安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 04 01 02 安全基线项安全基线项 说明说明 主机系统应该禁止 ICMP 重定向 采用静态路由 检测操作步检测操作步 骤骤 查看 etc rc2 d S inet 内容 基线符合性基线符合性 判定依据判定依据 应包含 ip send redirects 0 备注备注 Solaris 系统安全配置基线 中国移动集团公司第 17 页 共 32 页 4 1 3 IP 服务端口及进程管理服务端口及进程管理 安全基线项安全基线项 目名称目名称 操作系统 SolarisIP 服务端口和进程安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 04 01 03 安全基线项安全基线项 说明说明 设备应支持列出对外开放的 IP 服务端口和设备内部进程的对应表 检测操作步检测操作步 骤骤 开放的服务列表 SOLARIS8若客户端不符合 etc hosts allow 所描 述的任何条件 则以 etc hosts deny 来审核客户端的资格 若客户端符合 etc hosts deny 所描述的资格 则会被拒绝访问 反之 客户端依然可以访 问被保护的网络服务 备注备注手工检查 Solaris 系统安全配置基线 中国移动集团公司第 20 页 共 32 页 4 1 5 系统路由转发控制系统路由转发控制 安全基线项安全基线项 目名称目名称 操作系统 Solaris 系统路由转发控制安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 04 01 05 安全基线项安全基线项 说明说明 对于不做路由功能的系统 应该关闭数据包转发功能 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 vi etc init d inetinit IP Forwarding IP 转发 a 关闭 IP 转发 ndd set dev ip ip forwarding 0 b 严格限定多主宿主机 如果是多宿主机 还可以加上更严格的限定防止 ip spoof 的攻击 ndd set dev ip ip strict dst multihoming 1 c 转发包广播由于在转发状态下默认是允许的 为了防止被用来实施 smurf 攻击 关闭这一特性 ndd set dev ip ip forward directed broadcasts 0 路由 a 关闭转发源路由包 ndd set dev ip ip forward src routed 0 或在命令行中输入 ndd set dev ip ip forwarding 0 ndd set dev ip ip strict dst multihoming 1 ndd set dev ip ip forward directed broadcasts 0 ndd set dev ip ip forward src routed 0 2 补充操作说明 补充操作说明 注意 启动过程中 IP 转发功能关闭前 Solaris 主机依旧可以在多块网卡之间 进行 IP 转发 存在小小的潜在安全隐患 使用命令修改参数在服务器重启后 失效 要想永久生效必须修改文件 对于 Solaris 2 4 或者更低版本 在 etc init d inetinit 文件的最后增加一行 ndd set dev ip ip forwarding 0 对于 Solaris 2 5 或者更高版本 在 etc 目录下创建一个叫 notrouter 的空文件 touch etc notrouter 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 2 检测操作 检测操作 查看 etc init d inetinit 文件 cat etc init d inetinit 使用命令直接查看 ndd get dev ip ip forwarding ndd get dev ip ip strict dst multihoming Solaris 系统安全配置基线 中国移动集团公司第 21 页 共 32 页 ndd get dev ip ip forward directed broadcasts ndd get dev ip ip forward src routed 3 补充说明 补充说明 注意 启动过程中 IP 转发功能关闭前 Solaris 主机依旧可以在多块网卡之间 进行 IP 转发 存在小小的潜在安全隐患 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 Solaris 系统安全配置基线 中国移动集团公司第 22 页 共 32 页 第第 5 章章设备其他配置操作设备其他配置操作 5 1 设备配置设备配置 5 1 1 对具备字符交互界面的设备配置定时帐户自动登出对具备字符交互界面的设备配置定时帐户自动登出 安全基线项安全基线项 目名称目名称 操作系统 Solaris 自动退出安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 01 01 安全基线项安全基线项 说明说明 对于具备字符交互界面的设备 应配置定时帐户自动登出 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 可以在用户的 profile 文件中 HISTFILESIZE 后面增加如下行 vi etc profile TMOUT 180 export TMOUT 改变这项设置后 重新登录才能有效 2 补充操作说明 补充操作说明 若修改了 login 文件 如下 vi etc default login TIMEOUT sets the number of seconds between 0 and 900 to wait before abandoning a login session TIMEOUT 180 这里的超时设置针对登录过程 而不是登录成功后的 shell 会话超时设置 基线符合性基线符合性 判定依据判定依据 应包含 TMOUT 180 export TMOUT 类似配置 用 root 帐户登录后 在设定时间内不进行任何操作 检查帐户应自动退出 备注备注 Solaris 系统安全配置基线 中国移动集团公司第 23 页 共 32 页 5 2 文件系统及访问控制文件系统及访问控制 5 2 1 重要文件 目录访问控制重要文件 目录访问控制 安全基线项安全基线项 目名称目名称 操作系统 Solaris 重要文件 目录访问控制安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 02 01 安全基线项安全基线项 说明说明 涉及帐户 帐户组 口令 服务等的重要文件和目录的权限设置不能被任意 人员删除 修改 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看重要文件和目录权限 ls l 更改权限 对于重要目录 建议执行如下类似操作 chmod R 750 etc init d 这样只有 root 可以读 写和执行这个目录下的脚本 2 补充操作说明 补充操作说明 一般此目录下大部分脚本权限皆为 744 均符合 其他不符合的需确认是否 需要更改权限 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 用 root 外的其它帐户登录 对重要文件和目录进行删除 修改等操作不能 够成功即为符合 2 检测操作 检测操作 查看重要文件和目录权限 ls l 用 root 外的其它帐户登录 对重要文件和目录进行删除 修改等操作 3 补充说明 补充说明 备注备注 5 3 服务服务 5 3 1 系统基本服务列表配置系统基本服务列表配置 安全基线项安全基线项 目名称目名称 操作系统 Solaris 系统基本服务列表安全基线要求项 安全基线编安全基线编 SBL Solaris 05 03 01 Solaris 系统安全配置基线 中国移动集团公司第 24 页 共 32 页 号号 安全基线项安全基线项 说明说明 列出所需要服务的列表 包括所需的系统服务 不在此列表的服务需关闭 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看所有开启的服务 ps eaf svcs a solaris 10 在 inetd conf 中关闭不用的服务 首先复制 etc inet inetd conf cp etc inet inetd conf etc inet inetd conf backup 然后用 vi 编辑器编 辑 inetd conf 文件 对于需要注释掉的服务在相应行开头标记 字符 重 启 inetd 服务 即可 对于 Solaris 10 直接关闭某个服务 如 telnet 可用如下命令 svcadm disable svc network telnet 重新启用该服务 使用命令 svcadm enable svc network telnet Solaris8 修改 etc inet inetd conf 和 etc inet services 文件 注释掉 对应的服务以及 TCP IP 端口 重启 inetd 进程 kill HUP 2 补充操作说明 在 etc inetd conf 文件中根据系统应用情况选择禁止下列不必要的基本网 络服务 time echo discard daytime chargen fs dtspc exec comsat talk finger uucp name xaudio netstat ufsd rexd systat sun dr uuidgen krb5 prop 注意 改变了 inetd conf 文件之后 需要重新启动 inetd 对必须提供的 服务采用 tcpwapper 来保护 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 所需的服务都列出来 没有不必要的服务 2 检测操作 检测操作 Solaris10查看所有开启的服务 svcs a Solaris8查看所有开启的服务 cat etc inet inetd conf cat etc inet services 3 补充说明 补充说明 Solaris 系统安全配置基线 中国移动集团公司第 25 页 共 32 页 在 etc inetd conf文件中禁止下列不必要的基本网络服务 time echo discard daytime chargen fs dtspc exec comsat talk finger uucp name xaudio netstat ufsd rexd systat sun dr uuidgen krb5 prop 服务说明 time 时间服务器 可关闭 echo 网络测试服务 回显字符串 可关闭 discard 网络测试服务 丢弃输入 可关闭 daytime 网络测试服务 显示时间 可关闭 chargern 发送字符的服务 可关闭 fs Font server 字体服务器 根据需要确定是否关闭 dtspc CDE Subprocess Control Service dtspcd 是一个接受远程用户端的要 求去执行命令以及应用程序的网络服务 在执行 CDE 的操作系统中 dtspcd 是由网际网络服务来产生 像是 inetd 或是 xinetd 响应 CDE 客户端 的要求 如果系统没有图形界面 可关闭 exec 用于对远程执行的进程进行验证 可关闭 comsat 邮件通知服务 可关闭 talk 本地通讯服务 可关闭 finger finger守护进程 允许远程查询登陆用户信息 可关闭 uucp Unix to Unix Copy Unix系统的一项功能 允许计算机之间以存储 转发 方式交换e mail和消息 在Internet兴起之前是Unix系统之间连网的主要方式 可关闭 name nameserver 互联网名称服务 可关闭 xaudio 可关闭 netstat 网络状态监控服务 允许远程察看网络状态 可关闭 ufsd UFS aware server 可关闭 rexd rpc远程命令执行服务 类似rexec 可关闭 systat 系统进程监控服务 允许远程察看进程 可关闭 sun dr Remote Dynamic Reconfiguration 可关闭 uuidgen UUID Generator 可关闭 krb5 prop Kerberos slave propagation eklogin 可关闭 注意 改变了 inetd conf 文件之后 需要重新启动inetd 对必须提供的服务采用 tcpwapper 来保护 备注备注手工检查 5 3 2 系统时间同步配置系统时间同步配置 安全基线项安全基线项 目名称目名称 操作系统 Solaris 系统时间控制安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 03 02 安全基线项安全基线项 如果网络中存在信任的 NTP 服务器 应该配置系统使用 NTP 服务保持时间 Solaris 系统安全配置基线 中国移动集团公司第 26 页 共 32 页 说明说明 同步 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ntp 的配置文件 etc inet ntp conf vi etc inet ntp conf server IP 地址 提供 ntp 服务的机器 touch var ntp ntp drift 建 drift 文件及相关目录 这个文件是用于 在 ntp 重起的时候快速的和服务器进行同步 SOLARIS8 启动 ntp 进程 etc init d xntpd start Solaris 10 检查 ntp 依赖 svcs l svc network ntp default 然后 svcadm enable svc network ntp svcadm refresh svc network ntp svcadm restart svc network ntp 2 补充操作说明 补充操作说明 etc inet ntp conf 默认是没有的 需要做 server 的话 就把 ntp server 拷贝一 份成 ntp conf 如果做 client 的话 就把 ntp client 拷贝一份到 ntp conf 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 与 NTP 服务器保持时间同步 2 检测操作 检测操作 查看 ntp 的配置文件 cat etc inet ntp conf 查看 xntpd 进程 ps elf grep ntp 检查 ntp 依赖 svcs l svc network ntp default 适用于 Solaris 10 检查 ntp 工作状态 ntpq p 3 补充说明 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 5 3 3 NFS 服务控制服务控制 安全基线项安全基线项 目名称目名称 操作系统 Solaris 系统 NFS 服务控制安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 03 03 安全基线项安全基线项 说明说明 NFS 服务 如果没有必要 需要停止 NFS 服务 如果需要 NFS 服务 需要 限制能够访问 NFS 服务的 IP 范围 Solaris 系统安全配置基线 中国移动集团公司第 27 页 共 32 页 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 禁止 nfs 服务 杀掉如下 NFS 进程 lockd nfsd statd mountd NFS 是由 etc dfs dfstab 文件控制 为了禁止 NFS 服务的后台程序 将 etc rc2 d S15nfs server 文件改名 K15nfs server 将 etc rc2 d S73nfs client 文件改名 K13nfs client etc dfs dfstab 文件有几个选项 share F nfs o rw ro 目录名 client 端有读写权限 ro 是 client 端只有读权限 建议使用 ro 选项 如必须使用 则设置 nfs 特殊 tcp udp 端口 ndd set dev tcp tcp extra priv ports add 2049 ndd set dev udp udp extra priv ports add 2049 或者限制能够访问 NFS 服务的 IP 范围 编辑文件 vi etc hosts allow 增加一行 nfs 允许访问的 IP 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 NFS 状态显示为 disabled 或者只有规定的 IP 范围可以访问 NFS 服务 2 检测操作 检测操作 查看 nfs 服务 ps elf grep nfs Solaris 10 还可以 svcs a grep nfs 若需要 NFS 服务 查看能够访问 NFS 服务的 IP 范围 查看文件 cat etc hosts allow 3 补充说明 补充说明 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 5 4 补丁补丁 5 4 1 系统补丁安全系统补丁安全 安全基线项安全基线项 目名称目名称 操作系统 Solaris 系统补丁安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 04 01 Solaris 系统安全配置基线 中国移动集团公司第 28 页 共 32 页 安全基线项安全基线项 说明说明 应根据需要及时进行补丁装载 对服务器系统应先进行兼容性测试 检测操作步检测操作步 骤骤 showrev p 命令检补丁号 patchadd 命令给系统打补丁 更新更安全的补丁在 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 查看最新的补丁号 确认已打上了最新补丁 2 检测操作 检测操作 showrev p 命令检补丁号 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 5 5 其他配置其他配置 5 5 1 从应用层面进行必要的安全访问控制从应用层面进行必要的安全访问控制 安全基线项安全基线项 目名称目名称 操作系统 Solaris 应用层访问控制安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 05 01 安全基线项安全基线项 说明说明 应该从应用层面进行必要的安全访问控制 比如 FTP 服务器应该限制 ftp 可 以使用的目录范围 检测操作步检测操作步 骤骤 查看 etc ftpaccess 基线符合性基线符合性 判定依据判定依据 应包含 restricted uid 类似配置 root 帐户从远程访问 访问被禁止或被限制 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 5 5 2 限制限制 root 用户只能从用户只能从 console 口本地登录口本地登录 安全基线项安全基线项 目名称目名称 操作系统 Solaris root 访问安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 05 02 安全基线项安全基线项 说明说明 对于具备 console 口的设备 限制 root 用户只能从 console 口本地登录 Solaris 系统安全配置基线 中国移动集团公司第 29 页 共 32 页 检测操作步检测操作步 骤骤 查看 cat etc default login 基线符合性基线符合性 判定依据判定依据 应包含 CONSOLE dev console 类似配置 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 5 5 3 关闭不需要服务关闭不需要服务 安全基线项安全基线项 目名称目名称 操作系统 Solaris eeprom 密码安全基线要求项 安全基线编安全基线编 号号 SBL Solaris 05 05 03 安全基线项安全基线项 说明说明 列出所需要服务的列表 包括所需的系统服务 不在此列表的服务需关闭 检测操作步检测操作步 骤骤 Solaris10 查看所有开启的服务 svcs a Solaris8 查看所有开启的服务 cat etc inet inetd conf cat etc inet services 基线符