[转] Solaris 服务器安全配置

Solaris 服务器安全配置

1．概述

Solaris的安全配置可以从以下几个方面来考虑:

1.     本地安全增强：

限制某些强大命令的访问

设置正确的文件权限

应用组和用户的概念

suid/sgid的文件最少

rw-rw-rw的文件最少等

 

 

2. 网络安全增强

使用安全的协议来管理

禁止所有不需要的服务

禁止系统间的信任关系

禁止不需要的帐号

增强认证需要的密码

保护存在危险的网络服务

限制访问等

 

 

3. 应用安全增强

限制用户的权限

限制进程所有者的权限

检查应用相关文件权限

限制访问其他系统资源

应用所依赖的suid/sgid文件最少

使用应用本身的安全特性

删除samples和其他无用的组件

 

 

4. 监控与警报

日志、完整性、入侵检测等一些使用工具等

2．用户管理

2．1 用户口令文件的权限管理

/etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r—

/etc/shadow 只有root可读 –r--------

/etc/group 必须所有用户都可读，root用户可写 –rw-r—r—

执行以下命令修改这些文件的读写权限：

chmod 644 /etc/passwd

chmod 600 /etc/shadow

chmod 644 /etc/group

 

 

2．2 禁止或删除不必要的系统帐号

移去或者锁定那些系统帐号，比如sys、uucp、nuucp、listen、lp、adm等等，简单的办法是在/etc/shadow的password域中放上NP字符。还可以考虑将/etc/passwd文件中的shell域设置成/bin/false

具体操作方法：

userdel lp        ##表示删除lp用户

 

 

禁用某个用户：

编辑/etc/password 和/etc/shadow文件，比如：

uucp:NP:5:5:uucp Admin:/usr/lib/uucp:

uucp:NP:6445::::::

 

 

具体需要禁止的帐号有：

bin, daemon, adm, lp, smtp, sys, uucp, nuucp, nobody, noaccess

2．3 修改口令策略

编辑/etc/default/passwd文件

MAXWEEKS=4 口令至少每隔4星期更改一次

MINWEEKS=1 口令至多每隔1星期更改一次

WARNWEEKS=3 修改口令后第三个星期会收到快要修改口令的信息

PASSLENGTH=6 用户口令长度不少于6个字符

2．4 限制使用su的组

              只允许sysadmin组执行su命令

#chgrp sysadmin /bin/su

#chmod o-rwx /bin/su

2．5 su的纪录

编辑/etc/default/su文件,主要为了记录每个使用su命令切换用户的记录。

SULOG=/var/adm/sulog

SYSLOG=YES

CONSOLE=/dev/console

PATH=/usr/bin:

SUPATH=/usr/sbin:/usr/bin

2．6 禁止root远程登录

在/etc/default/login中设置CONSOLE=/dev/null，将只允许普通用户在console登录然后su成root，当存在多个系统管理员的时候， 这种设置提供了更好的安全性。

在/etc/ftpusers里加上root，主要为了限制root用户直接使用ftp。

在SSH 配置文件加：permitRootLogin = no ，不允许root直接使用ssh登录系统。

（Solaris 9自带SSH，缺省就禁止root登陆,对 Solaris 9，/etc/ftpusers 不再使用，FTP配置文件都在 /etc/ftpd/ 下面。如果 ftpd 启动时存在 /etc/ftpusers，它会被移动到 /etc/ftpd/下）

3．服务管理

3．1 关闭不使用的系统服务

检查/etc/rc2.d和/etc/rc3.d目录下的所有"S"打头的脚本文件，将那些启动不必要服务的脚本文件改名，确认新文件名不以"S"打头。重启动确认这些变动生效，检查/var/adm/messages日志文件，用ps -elf检查是否还有无关进程启动。

在/etc/init.d/一般需要关闭的服务有：

sendmail

lp

rpc

snmpdx

keyserv

nscd

volmgt

uucp

dmi

</