Solaris系統安全加固列表 ps:由于現在不少Solaris安全加固列表都比較老了，在下根據資料和自己的實踐總結的Solaris系統加固列表，難免會有不合適（影響服務）和錯誤以及不足之處，望各位不惜賜教（本來是word文檔，發上來以后格式都亂了）
多謝lgx和ghoststone對此文的幫助

Solaris系統安全加固列表
--王宇

一、安全理念

1、安全的隱患更多來自于企業內部
2、對于管理員的要求：不要信任任何人
3、分層保護策略：假設某些安全保護層完全失效
4、服務最小化
5、為最壞的情況做打算

二、物理安全

1、記錄進出機房的人員名單，考慮安裝攝像機
2、審查PROM是否被更換，可以通過記錄hostid進行比較
3、每個系統的OpenBoot口令應該不一樣，口令方案不可預測
4、系統安裝完畢移除CD-ROM
5、將版本介質放入不在本場地的介質儲藏室中

三、賬號與口令策略

1、超級用戶的PATH（在/.profile中定義的）設置為：

PATH = /usr/bin:/sbin:/usr/sbin
任何用戶的PATH或者LD_LIBRARY_PATH中都不應該包含“.”

2、口令文件、影像文件、組文件

/etc/passwd 必須所有用戶都可讀，root用戶可寫 –rw-r—r—
/etc/shadow 只有root可讀 –r--------
/etc/group 必須所有用戶都可讀，root用戶可寫 –rw-r—r--

3、口令安全

Solaris強制口令最少6位，但是超級用戶修改口令的時候不受這個限制
強迫test賬號每隔30天修改一次口令
#passwd –n 30 test
強迫test賬號在下次登錄的時候修改口令
#passwd –f test
禁止test賬號修改口令
#passwd –n 2 –x 1 test
封鎖test賬號，禁止登錄
#passwd –l test

4、組口令

用newgrp ;命令臨時改變gid
由于sysadmin組可執行admintool，必須要保護好，增加組口令的過程：
刪除不需要的成員（如果成員屬于sysadmin，改變組時不需要口令）
#passwd ; （通常封鎖的賬號）
提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段
封鎖user賬號

5、修改口令策略

/etc/default/passwd文件
MAXWEEKS=4 口令至少每隔4星期更改一次
MINWEEKS=1 口令至多每隔1星期更改一次
WARNWEEKS=3 修改口令后第三個星期會收到快要修改口令的信息
PASSLENGTH=6 用戶口令長度不少于6個字符

6、限制使用su的組（只允許sysadmin組執行su命令）

#chgrp sysadmin /bin/su
#chmod o-rwx /bin/su

7、su的紀錄

/etc/default/su文件
SULOG=/var/adm/sulog
SYSLOG=YES
CONSOLE=/dev/console
PATH=/usr/bin:
SUPATH=/usr/sbin:/usr/bin

8、禁止root遠程登錄

/etc/default/login中設置CONSOLE=/dev/null
在/etc/ftpusers里加上root。
在SSH 配置文件加：permitRootLogin = no
（Solaris 9自帶SSH，缺省就禁止root登陸,對 Solaris 9，/etc/ftpusers 不再使用，FTP配置文件都在 /etc/ftpd/ 下面。如果 ftpd 啟動時存在 /etc/ftpusers，它會被移動到 /etc/ftpd/下）

四、系統加固

1、為OpenBoot設置密碼

在Solaris中設置密碼 # eeprom security-password
在OpenBoot中設置密碼 ok password
在Solaris中設置安全級別（command） # eeprom security-mode=command
在OpenBoot中設置安全級別（command） ok setenv security-mode command

【編輯推薦】

1. Sun OpenSolaris內核Panic遠程拒絕服務漏洞
2. 在Solaris系統中的sniffer攻擊實例
3. 運用Solaris的系統安全特性進行企業審計