教你如何配置安全的SOLARIS系統

2019-11-18 10:47:34

字體：大中小

來源：轉載

供稿：網友

　　一、帳號和口令安全策略
　　1.1更改口令文件、影像文件、組文件的權限
　　/etc/passwd 必須所有用戶都可讀，root用戶可寫 –rw-r—r—
　　/etc/shadow 只有root可讀 –r--------
　　/etc/group 必須所有用戶都可讀，root用戶可寫 –rw-r—r—
　　
　　1.2修改不必要的系統帳號
　　移去或者鎖定那些系統帳號，比如sys、uUCp、nuucp、listen、lp、adm等等，簡單的辦法是在/etc/shadow的passWord域中放上NP字符。還可以考慮將/etc/passwd文件中的shell域設置成/bin/false
　　
　　1.3修改口令策略
　　修改/etc/default/passwd文件
　　MAXWEEKS=4 口令至少每隔4星期更改一次
　　MINWEEKS=1 口令至多每隔1星期更改一次
　　WARNWEEKS=3 修改口令后第三個星期會收到快要修改口令的信息 PASSLENGTH=6 用戶口令長度不少于6個字符
　　
　　二、用戶授權安全策略
　　2.1移去組及其它用戶對/etc的寫權限。
　　執行命令#chmod -R go-w /etc
　　
　　2.2禁止root遠程登錄
　　在/etc/default/login中設置
　　CONSOLE=/dev/concle
　　
　　2.3setuid和setgid非凡權限。
　　Setuid是指設置程序的有效執行用戶身份(uid)為該文件的屬主,而不是調用該程序進程的用戶身份。Setgid與之類似。Setuid和setgid用1s -1顯示出來為s權限,存在于主人和屬組的執行權限的位置上。系統設置非凡權限，使用戶執行某些命令時,具有root的執行權限, 命令執行完成, root身份也隨之消失。因此非凡權限關系系統的安全，可執行命令#find / -perm -4000 -PRint 尋找系統中具有setuid權限的文件，存為列表文件，定時檢查有沒有這之外的文件被設置了setuid權限。
　　
　　2.4審計并日志所有以root身份的登陸情況
　　添加或編輯/etc/default/login文件如下：
　　SYSLOG= YES
　　syslog記錄root的登陸失敗，成功的情況。
　　
　　2.5設置遠程登陸會話超時時間
　　添加或編輯/etc/default/login文件如下：
　　TIMEOUT= 300
　　
　　2.6確定登陸需要密碼驗證
　　添加或編輯/etc/default/login文件如下：
　　PASSREQ= YES
　　
　　2.7 UMASK設置
　　umask命令設置用戶文件和目錄的文件創建缺省屏蔽值,若將此命令放入.profile文件,就可控制該用戶后續所建文件的存取許可.umask命令與chmod命令的作用正好相反,它告訴系統在創建文件時不給予什么存取許可.
　　安裝配置完操作系統之后確認root的umask設置是077或者027，執行
　　/usr/bin/umask [-S] 確認。
　　
　　
　　2.7.1增加或修改/etc/default/login文件中如下行
　　UMASK=027
　　
　　2.7.2并增加上行到如下的文件中：
　　/etc/.login /etc/.profile /etc/skel/local.cshre
　　/etc/skel/local.login /etc/skel/local.profile
　　
　　2.8用戶環境配置文件的PATH或者LD_LIBRARY_PATH中移去“.” 。
　　從如下的文件中移走”.”,確認root的PATH環境變量設置是安全的，應該只包含/usr/bin:/sbin:/usr/sbin，
　　避免當前工作目錄.出現在PATH環境變量中，這有助于對抗特洛伊木馬。
　　#echo $PATH grep ":." 確認
　　
　　/.login /etc/.login 　　　 /etc/default/login 　
　　/.cshrc /etc/skel/local.profile /etc/skel/local.cshrc
　　/.profile　/etc/skel/local.login /etc/profile
　　
　　三、網絡與服務安全策略
　　3.1關閉不用的服務
　　3.1.1在inetd.conf中關閉不用的服務
　　首先復制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup
　　然后用vi編輯器編輯inetd.conf文件，
　　對于需要注釋掉的服務在相應行開頭標記“#”字符即可。
　　
　　3.1.2在Services中關閉不用的服務
　　首先復制/etc/inet/services。 #cp /etc/inet/services /etc/inet/services.backup
　　然后用vi編輯器編輯Services文件，對于需要注釋掉的服務在相應行開頭標記“#”字符即可。

上一篇：Java 程序中的多線程（一）

下一篇：Java 程序中的多線程（二）