【正文】 驗(yàn)證:1. 驗(yàn)證方法：Solaris10查看所有開啟的服務(wù)：svcs –a2. 預(yù)期結(jié)果：所需的服務(wù)都列出來(lái)；SNMP服務(wù)Syslog沒有不必要的服務(wù)；需要關(guān)閉的服務(wù)實(shí)施方法RPC的服務(wù)mv /etc/mv /etc/mv /etc/LDAP Cache Managermv /etc/Printer Daemonsmv /etc/mv /etc/Volume Managermv /etc/GUI登陸界面cd /etc/ [ s S99dtlogin ] amp。 操作方法： 查看所有開啟的服務(wù)：ps –eaf svcs –a ‘solaris 10 首先復(fù)制/etc/inet/。：查詢/etc/release文件，看版本發(fā)布日期。 (只限制維護(hù)帳號(hào)) 操作方法： 限制ftp用戶登陸后在自己當(dāng)前目錄下活動(dòng)編輯ftpaccess，加入如下一行restricteduid *(限制所有用戶)，restricteduid username（特定用戶） 操作驗(yàn)證:：root帳戶從遠(yuǎn)程訪問：訪問被禁止或被限制； 補(bǔ)丁管理 軟件包裁減編號(hào)：安全要求設(shè)備SOLARISSOFT01要求內(nèi)容：在系統(tǒng)安裝時(shí)建議只安裝基本的OS部份，其余的軟件包則以必要為原則，非必需的包就不裝。 文件系統(tǒng)及訪問權(quán)限 重要文件權(quán)限加固編號(hào)：安全要求設(shè)備SOLARISDIR01要求內(nèi)容：涉及賬號(hào)、賬號(hào)組、口令、服務(wù)等的重要文件和目錄的權(quán)限設(shè)置不能被任意人員刪除，修改。說(shuō)明：由于本系統(tǒng)不需要通過(guò)CDE維護(hù)操作，所以直接關(guān)閉CDE。export TMOUT 改變這項(xiàng)設(shè)置后，重新登錄才能有效。：開放的服務(wù)列表命令: cat /etc/inetdadm開放的端口列表命令: netstat an 服務(wù)端口和進(jìn)程對(duì)應(yīng)表：命令：cat /etc/services 鑒權(quán)遠(yuǎn)程登錄的主機(jī)IP操作文件失敗,會(huì)影響計(jì)費(fèi)IP取話單編號(hào)：安全要求設(shè)備SOLARISIP03要求內(nèi)容： 對(duì)于通過(guò)IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持對(duì)允許登陸到該設(shè)備的IP地址范圍進(jìn)行設(shè)定。查看進(jìn)程即可Solaris 10啟用SSH的命令：svcadm enable sshSolaris 10禁用Telnet的命令：svcadm disable telnet正?？梢酝ㄟ^(guò)/etc/?！　hgrp sys /var/log/loginlog查看sulog日志，記載著普通用戶嘗試su成為其它用戶的紀(jì)錄，more /var/adm/sulog 操作驗(yàn)證:：查看sulog日志，記載著普通用戶嘗試su成為其它用戶的紀(jì)錄more /var/adm/sulog：有類似如下格式記錄：SU 01/01 00:30 + console rootroot或SU 08/20 13:44 + pts/2 xllroot 應(yīng)用日志編號(hào)：安全要求設(shè)備SOLARISLOG06要求內(nèi)容： 系統(tǒng)上運(yùn)行的應(yīng)用/服務(wù)也應(yīng)該配置相應(yīng)日志選項(xiàng)，比如cron。重新啟動(dòng)syslog服務(wù)，依次執(zhí)行下列命令：對(duì)solaris 10:svcadm disable svc:/system/systemlogsvcadm enable svc:/system/systemlog操作驗(yàn)證:：查看日志服務(wù)器上的所收到的日志文件。 遠(yuǎn)程記錄日志編號(hào)：安全要求設(shè)備SOLARISLOG04要求內(nèi)容： 設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。 /var/adm/messages定義為需要保存的設(shè)備相關(guān)安全事件。 操作方法： 通過(guò)設(shè)置日志文件可以對(duì)每個(gè)用戶的每一條命令進(jìn)行紀(jì)錄，這一功能默認(rèn)是不開放的，為了打開它，需要執(zhí)行/usr/lib/acct目錄下的accton文件查看即可,若示開啟,由于CG是放話單的,容易較大,日志太多是否會(huì)影響計(jì)費(fèi)，格式如下/usr/lib/acct/accton /var/adm/pacct，執(zhí)行讀取命令lastm [user name]。 操作驗(yàn)證:：查看文件：more /etc/default/login 中的SYSLOG=YES/var/adm/wtmpx或者wtmp,wtmps文件中記錄著所有登錄過(guò)主機(jī)的用戶，時(shí)間，來(lái)源等內(nèi)容，該文件不具可讀性，可用last命令來(lái)看。如出現(xiàn)大量違反ACL規(guī)則的事件時(shí)，通過(guò)對(duì)日志的審計(jì)分析，能發(fā)現(xiàn)隱患，提高設(shè)備維護(hù)人員的警惕性，防止惡化。修改/etc/passwd文件，ftpxll:x:119:1::/home/ftpxll:/bin/true注：還需要把真實(shí)存在的shell目錄加入/etc/shells文件，否則沒有用戶能夠登錄ftp最好不要做測(cè)試,可以查一下文件即可c. 限制ftp用戶登陸后在自己當(dāng)前目錄下活動(dòng)編輯ftpaccess，加入如下一行restricteduid *(限制所有)，restricteduid username（特定用戶） ftpaccess文件與ftpusers文件在同一目錄 d. 設(shè)置ftp用戶登錄后對(duì)文件目錄的存取權(quán)限，可編輯/etc/ftpd/ftpaccess。 操作驗(yàn)證:：查看新建的文件或目錄的權(quán)限，操作舉例如下：ls –lR /home/idea 。2. 用戶的缺省權(quán)限編號(hào)：安全要求設(shè)備SOLARISAUTH02要求內(nèi)容：控制用戶缺省訪問權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí) 應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。 prior password history to be discarded at the next password change by any user. No password history will be checked if the flag is not present or has zero value. The maximum value of HISTORY is 26.驗(yàn)證方法：cat /etc/default/passwd ，設(shè)置如下HISTORY＝5預(yù)期結(jié)果：設(shè)置密碼不成功 授權(quán)1. 文件的權(quán)限（必選）編號(hào)：安全要求設(shè)備SOLARISAUTH01要求內(nèi)容：在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。預(yù)期結(jié)果：不符合密碼強(qiáng)度的時(shí)候，系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時(shí)候，可以成功設(shè)置；可查詢密碼文件即可2. 口令生存期為90天（必選）計(jì)費(fèi)的賬號(hào)設(shè)置為不過(guò)期編號(hào)：安全要求設(shè)備SOLARISPWD02要求內(nèi)容： 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長(zhǎng)于90天。如果新組名或者 GID 已經(jīng)存在，則返回錯(cuò)誤信息。 操作方法： 創(chuàng)建帳戶組：groupadd –g GID groupname 創(chuàng)建一個(gè)組，并為其設(shè)置GID號(hào)，若不設(shè)GID，系統(tǒng)會(huì)自動(dòng)為該組分配一個(gè)GID號(hào)；usermod –g group username 將用戶username分配到group組中。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。 操作方法：需要鎖定的用戶：daemon、bin、sys、adm、smmsp 、listen、gdm、webservd、nobody、noaccess。 3）、加固后重啟，業(yè)務(wù)驗(yàn)證。本次安全加固項(xiàng)目目的在于降低風(fēng)險(xiǎn)，提高系統(tǒng)的穩(wěn)定性和安全性，符合中國(guó)移動(dòng)通信集團(tuán)與山東移動(dòng)對(duì)業(yè)務(wù)系統(tǒng)設(shè)備的安全要求。業(yè)務(wù)系統(tǒng)安全加固實(shí)施方案 業(yè)務(wù)系統(tǒng)安全加固實(shí)施方案目 錄1 加固目的 42 加固范圍 43 加固前準(zhǔn)備工作 4 加固前檢查 4 加固前備份 5 影響分析 6 加固操作流程 74 加固實(shí)施 7 賬號(hào)管理、認(rèn)證授權(quán) 7 賬號(hào) 7 口令 11 授權(quán) 13 日志審計(jì) 17 登錄日志（必選） 17 操作審計(jì) 18 本地記錄系統(tǒng)日志 18 遠(yuǎn)程記錄日志 19 SU操作日志 20 應(yīng)用日志 20 IP協(xié)議安全 21 使用SSH協(xié)議登錄 21 關(guān)閉不需要的IP服務(wù)端口 22 鑒權(quán)遠(yuǎn)程登錄的主機(jī)IP 23 禁止ICMP重定向 24 屏幕保護(hù) 25 超時(shí)退出登錄界面 25 定時(shí)鎖屏 26 文件系統(tǒng)及訪問權(quán)限 27 重要文件權(quán)限加固 27 限制FTP等應(yīng)用的訪問目錄 27 補(bǔ)丁管理 28 軟件包裁減 28 補(bǔ)丁包 29 服務(wù) 29 關(guān)閉不需要的服務(wù) 29Email Server 31 NTP服務(wù)的安全配置 31 NFS服務(wù)的安全配置 32 內(nèi)核調(diào)整 33 防止堆棧緩沖溢出 33 啟動(dòng)項(xiàng) 34 啟動(dòng)項(xiàng)的安全配置 345 加固后檢查驗(yàn)證 35