Solaris系統(tǒng)安全加固列表 ps:由于現(xiàn)在不少Solaris安全加固列表都比較老了，在下根據(jù)資料和自己的實(shí)踐總結(jié)的Solaris系統(tǒng)加固列表，難免會有不合適（影響服務(wù)）和錯(cuò)誤以及不足之處，望各位不惜賜教（本來是word文檔，發(fā)上來以后格式都亂了）
多謝lgx和ghoststone對此文的幫助

Solaris系統(tǒng)安全加固列表
--王宇

一、安全理念

1、安全的隱患更多來自于企業(yè)內(nèi)部
2、對于管理員的要求：不要信任任何人
3、分層保護(hù)策略：假設(shè)某些安全保護(hù)層完全失效
4、服務(wù)最小化
5、為最壞的情況做打算

二、物理安全

1、記錄進(jìn)出機(jī)房的人員名單，考慮安裝攝像機(jī)
2、審查PROM是否被更換，可以通過記錄hostid進(jìn)行比較
3、每個(gè)系統(tǒng)的OpenBoot口令應(yīng)該不一樣，口令方案不可預(yù)測
4、系統(tǒng)安裝完畢移除CD-ROM
5、將版本介質(zhì)放入不在本場地的介質(zhì)儲藏室中

三、賬號與口令策略

1、超級用戶的PATH（在/.profile中定義的）設(shè)置為：

PATH = /usr/bin:/sbin:/usr/sbin
任何用戶的PATH或者LD_LIBRARY_PATH中都不應(yīng)該包含“.”

2、口令文件、影像文件、組文件

/etc/passwd 必須所有用戶都可讀，root用戶可寫 –rw-r—r—
/etc/shadow 只有root可讀 –r--------
/etc/group 必須所有用戶都可讀，root用戶可寫 –rw-r—r--

3、口令安全

Solaris強(qiáng)制口令最少6位，但是超級用戶修改口令的時(shí)候不受這個(gè)限制
強(qiáng)迫test賬號每隔30天修改一次口令
#passwd –n 30 test
強(qiáng)迫test賬號在下次登錄的時(shí)候修改口令
#passwd –f test
禁止test賬號修改口令
#passwd –n 2 –x 1 test
封鎖test賬號，禁止登錄
#passwd –l test

4、組口令

用newgrp ;命令臨時(shí)改變gid
由于sysadmin組可執(zhí)行admintool，必須要保護(hù)好，增加組口令的過程：
刪除不需要的成員（如果成員屬于sysadmin，改變組時(shí)不需要口令）
#passwd ; （通常封鎖的賬號）
提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段
封鎖user賬號

5、修改口令策略

/etc/default/passwd文件
MAXWEEKS=4 口令至少每隔4星期更改一次
MINWEEKS=1 口令至多每隔1星期更改一次
WARNWEEKS=3 修改口令后第三個(gè)星期會收到快要修改口令的信息
PASSLENGTH=6 用戶口令長度不少于6個(gè)字符

6、限制使用su的組（只允許sysadmin組執(zhí)行su命令）

#chgrp sysadmin /bin/su
#chmod o-rwx /bin/su

7、su的紀(jì)錄

/etc/default/su文件
SULOG=/var/adm/sulog
SYSLOG=YES
CONSOLE=/dev/console
PATH=/usr/bin:
SUPATH=/usr/sbin:/usr/bin

8、禁止root遠(yuǎn)程登錄

/etc/default/login中設(shè)置CONSOLE=/dev/null
在/etc/ftpusers里加上root。
在SSH 配置文件加：permitRootLogin = no
（Solaris 9自帶SSH，缺省就禁止root登陸,對 Solaris 9，/etc/ftpusers 不再使用，F(xiàn)TP配置文件都在 /etc/ftpd/ 下面。如果 ftpd 啟動時(shí)存在 /etc/ftpusers，它會被移動到 /etc/ftpd/下）

四、系統(tǒng)加固

1、為OpenBoot設(shè)置密碼

在Solaris中設(shè)置密碼 # eeprom security-password
在OpenBoot中設(shè)置密碼 ok password
在Solaris中設(shè)置安全級別（command） # eeprom security-mode=command
在OpenBoot中設(shè)置安全級別（command） ok setenv security-mode command

【編輯推薦】

1. Sun OpenSolaris內(nèi)核Panic遠(yuǎn)程拒絕服務(wù)漏洞
2. 在Solaris系統(tǒng)中的sniffer攻擊實(shí)例
3. 運(yùn)用Solaris的系統(tǒng)安全特性進(jìn)行企業(yè)審計(jì)