Solaris 系统安全加固列表

ps: 由于现在不少 Solaris 安全加固列表都比较老了，在下根据资料和自己的实践总结的 Solaris 系统加固列表，难免会有不合适（影响服务）和错误以及不足之处，望各位不惜赐教（本来是 word 文档，发上来以后格式都乱了）
多谢 lgx 和 ghoststone 对此文的帮助

Solaris 系统安全加固列表
-- 王宇

一、安全理念
1、安全的隐患更多来自于企业内部
2、对于管理员的要求：不要信任任何人
3、分层保护策略：假设某些安全保护层完全失效
4、服务最小化
5、为最坏的情况做打算

二、物理安全
    1、记录进出机房的人员名单，考虑安装摄像机
    2、审查 PROM 是否被更换，可以通过记录 hostid 进行比较
    3、每个系统的 OpenBoot 口令应该不一样，口令方案不可预测
    4、系统安装完毕移除 CD-ROM
5、将版本介质放入不在本场地的介质储藏室中

三、账号与口令策略
1、超级用户的 PATH（在 /.profile 中定义的）设置为：
      PATH = /usr/bin:/sbin:/usr/sbin
任何用户的 PATH 或者 LD_LIBRARY_PATH 中都不应该包含 “.”
    2、口令文件、影像文件、组文件
/etc/passwd 必须所有用户都可读，root 用户可写 –rw-r—r—
/etc/shadow 只有 root 可读 –r--------
/etc/group 必须所有用户都可读，root 用户可写 –rw-r—r--
    3、口令安全
Solaris 强制口令最少 6 位，但是超级用户修改口令的时候不受这个限制
强迫 test 账号每隔 30 天修改一次口令
        #passwd –n 30 test
强迫 test 账号在下次登录的时候修改口令
        #passwd –f test
禁止 test 账号修改口令
    #passwd –n 2 –x 1 test
封锁 test 账号，禁止登录
#passwd –l test
    4、组口令
用 newgrp  ; 命令临时改变 gid
由于 sysadmin 组可执行 admintool，必须要保护好，增加组口令的过程：
    删除不需要的成员（如果成员属于 sysadmin，改变组时不需要口令）
    #passwd  ; （通常封锁的账号）
    提取 /etc/shadow 中 user 的口令字符串插入到 /etc/group 中 sysadmin 的口令字段
    封锁 user 账号
5、修改口令策略
  /etc/default/passwd 文件
    MAXWEEKS=4 口令至少每隔 4 星期更改一次
MINWEEKS=1 口令至多每隔 1 星期更改一次
WARNWEEKS=3 修改口令后第三个星期会收到快要修改口令的信息
PASSLENGTH=6 用户口令长度不少于 6 个字符
6、限制使用 su 的组（只允许 sysadmin 组执行 su 命令）
#chgrp sysadmin /bin/su
#chmod o-rwx /bin/su
7、su 的纪录
/etc/default/su 文件
  SULOG=/var/adm/sulog
  SYSLOG=YES
  CONSOLE=/dev/console
  PATH=/usr/bin:
  SUPATH=/usr/sbin:/usr/bin
8、禁止 root 远程登录
/etc/default/login 中设置 CONSOLE=/dev/null
在 /etc/ftpusers 里加上 root。 
在 SSH 配置文件加：permitRootLogin = no
（Solaris 9 自带 SSH，缺省就禁止 root 登陆，对 Solaris 9，/etc/ftpusers 不再使用，FTP 配置文件都在 /etc/ftpd/ 下面。如果 ftpd 启动时存在 /etc/ftpusers，它会被移动到 /etc/ftpd/ 下）


四、系统加固
  1、为 OpenBoot 设置密码
        
在 Solaris 中设置密码 # eeprom security-password
在 OpenBoot 中设置密码 ok password
在 Solaris 中设置安全级别（command） # eeprom security-mode=command
在 OpenBoot 中设置安全级别（command） ok setenv security-mode command
在 OpenBoot 中设置安全级别（full） ok setenv security-mode full

2、取消不必须账号
移去或者锁定那些不是必须的帐号，比如 sys\uucp\nuucp\listen 等等，简单的办法是在 /etc/shadow 的 password 域中放上 NP 字符。
    （简单办法是 passwd -l username）

3、文件系统
    /etc 目录中应该没有文件是组或者其他用户可写的
find /etc/ -type f –perm –g+w –print （查找组可写文件）
find /etc/ -type f –perm –o+w –print （查找其他用户可写文件）
chmod –R go-w /etc （改变任何错误的组 / 其他用户的写权限）
  /var/adm/utmp 和 /var/adm/utmpx 文件的权限应该是 644

  4、X-Windows 手工锁定（当管理员离开电脑的时候）
CDE 中面板上的加锁图标
OpenWindows 中 - 鼠