Solaris系统安全文档(for solaris 10)1.禁用不需要的用户备份:备份/etc/passwdcp /etc/passwd /etc/passwd.080903cp /etc/shadow /etc/shadow.080903修改:编辑/etc/shadow,将需要禁止帐户的**用NP代替Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell恢复:编辑/etc/shadow,将需要恢复帐户的NP用**代替Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell或使用备份还原cp /etc/passwd.080903 /etc/passwdcp /etc/shadow.080903 /etc/shadow恢复:用原始备份还原cp /etc/group.bak.2008 /etc/group2.设置用户密码安全策略(根据具体要求修改)修改全局密码策略备份:备份/etc/default/passwdcp /etc/default/passwd /etc/default/passwd.080903#MINDIFF=3 #最小的差异数,新密码和旧密码的差异数。
#MINALPHA=2 #最少字母要多少#MINNONALPHA=1 #最少的非字母,包括了数字和特殊字符。
#MINUPPER=0 #最少大写#MINLOWER=0 #最少小写#MAXREPEATS=0 #最大的重复数目#MINSPECIAL=0 #最小的特殊字符#MINDIGIT=0 #最少的数字#WHITESPACE=YES #能使用空格吗?修改:(以下只针对除root用户外的其他用户)编辑/etc/default/passwd,设置:MINWEEKS= 最短改变时间MAXWEEKS=8 密码最长有效时间WARNWEEKS=5 密码失效前几天通知用户PASSLENGTH=8 最短密码长度MINDIFF=3MINALPHA=2MINLOWER=1MINDIGIT=1恢复:用备份的原始/etc/default/passwd文件替换现有的/etc/default/passwd如需针对个别用户设置修改/etc/shadow 文件,备份:cp /etc/shadow /etc/shadow.080903shadow 文件格式如下:loginID:password:lastchg:min:max:warn:inactive:expire:例如:默认root 用户的格式为:root:lySCmJ.1txm4M:6445::::::loginID 指登陆用户名password 密码选项,例如13位加密字符,或者*LK*锁定用户,或NP,无法登陆用户lastchg 指最后密码修改日期,从1970年1月1号开始计算min 指两次密码修改间隔的最少天数max 指密码最大有效天数warn 指密码过期前开始发出提醒的天数inactive 指如果用户未登陆超过多少天将把用户锁定expire 用户过期时间,即到达此日期后用户过期,将无法登陆以上选项如为设置,留空,即代表无密码策略如需使用/etc/shadow 设置密码策略,则/etc/default/passwd 文件中MINWEEKS MAXWKEEKS WARNWEEKS PASSLENGTH 等选项不应设置参数。
留空。
3.防止root远程登陆修改:编辑/etc/default/login,加上:CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.恢复:编辑/etc/default/login,注释一下内容:# CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.4.设置session超时时间修改:编辑/etc/default/login,加上:# TIMEOUT sets the number of seconds (between 0 and 900) to wait before# abandoning a login session.TIMEOUT=300恢复:编辑/etc/default/login,删除:# TIMEOUT sets the number of seconds (between 0 and 900) to wait before# abandoning a login session.TIMEOUT=3005.设置缺省umask修改:编辑/etc/default/login,修改UMASK=027# UMASK sets the initial shell file creation mode mask. See umask(1).UMASK=027恢复:编辑/etc/default/login,注释UMASK项# UMASK sets the initial shell file creation mode mask. See umask(1).#UMASK=0276.检查是否每个用户都设置了密码检查/etc/passwd和/etc/shadow,每个用户的密码栏是否为空。
如果为空,就表示次用户没有设置密码。
必须要求次用户马上设置密码。
一、服务安全设置1.禁止所有不需要的服务以下服务应该禁止(根据需要自己决定):示例:例如需要禁用sendmail 服务可用以下操作修改:使用svcs -a | grep sendmail 查看当前状态如为online online 17:49:07 svc:/network/smtp:sendmail使用svcadm disable sendmaildisable 17:50:01 svc:/network/smtp:sendmail恢复:使用命令恢复svcadm enable sendmail二、网络环境变量安全设置1.在/etc/default/inetinit中增加下面所示设置:根据用户的具体情况确定是否要修改以下值修改:缩短ARP的cache保存时间:ndd -set /dev/arp arp_cleanup_interval 60000 /* 1 min (default is 5 min即300000*/缩短ARP表中特定条目的保持时间:ndd -set /dev/ip ip_ire_timer_interval 60000 /* 1 min (default is 20 min 即1200000*/关闭echo广播来防止ping攻击ndd -set /dev/ip ip_respond_to_echo_broadcast 0 # default is 1关闭原路由寻址ndd -set /dev/ip ip_forward_src_routed 0 # default is 1禁止系统转发IP包ndd -set /dev/ip ip_forwarding 0 # default is 1禁止系统转发定向广播包ndd -set /dev/ip ip_forward_directed_broadcasts 0 # default is 1使系统忽略重定向IP包ndd -set /dev/ip ip_ignore_redirect 1 # default is 0使系统限制多宿主机ndd -set /dev/ip ip_strict_dst_multihoming 1 # default is 0再次确保系统关闭ICMP广播响应ndd -set /dev/ip ip_respond_to_address_mask_broadcast=0 # default is 1关闭系统对ICMP时戳请求的响应ndd -set /dev/ip ip_ip_respond_to_timestamp=0 # default is 1关闭系统对ICMP时戳广播的响应ndd -set /dev/ip ip_ip_respond_to_timestamp_broadcast=0 # default is 1禁止系统发送ICMP重定向包ndd -set /dev/ip ip_send_redirects=0 # default is 1重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start在zone中只需缩短ARP的cache保存时间:即在zone 环境下编辑/etc/default/inetinit 末尾添加ndd –set /dev/arp arp_cleanup_interval 60000 /* 1 min (default is 5 min即300000*/恢复:把以上值修改会原来的default值重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start2.改变TCP序列号产生参数修改:在/etc/default/inetinit中改变TCP_STRONG_ISS=2重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start恢复:在/etc/default/inetinit中改变TCP_STRONG_ISS=1 改为原来的值重启inetinit 使以上生效# sh /etc/default/inetinit stop# sh /etc/default/inetinit start3.禁止路由功能修改:创建空文件notrouter:touch /etc/notrouter 恢复:删除空文件notrouter:rm /etc/notrouter。