【正文】 操作系統(tǒng)健康檢查 35 業(yè)務檢查 366 失敗處理 36 失敗定義 36 回退操作 361 加固目的隨著電信業(yè)務不斷發(fā)展，系統(tǒng)信息安全方面的投入的不斷增多，在信息系統(tǒng)各個層面都采取一些安全防護策略。針對上述問題，中國移動集團根據(jù)設備的安全現(xiàn)狀，制定了統(tǒng)一的《中國移動設備安全規(guī)范》，要求設備必須符合規(guī)范的相關要求。（對于雙機類應用，檢查主備機承擔業(yè)務均正常后，重啟備機，對備機執(zhí)行加固） 2）、設備加固實施。系統(tǒng)內(nèi)存在不可刪除的內(nèi)置賬號，包括root,bin等。 操作驗證:：使用刪除或鎖定的與工作無關的賬號登錄系統(tǒng)；：被刪除或鎖定的賬號無法登錄成功；3. root用戶不能遠程登錄（必選）編號：安全要求設備SOLARISACCT03 要求內(nèi)容： 限制具備超級管理員權限的用戶遠程登錄。重啟sshd服務：Solaris10以前：/etc//etc/Solaris10：svcadm disable sshsvcadm enable ssh補充命令操作驗證:：root從遠程使用telnet登錄；普通用戶從遠程使用telnet登錄；root從遠程使用ssh登錄；普通用戶從遠程使用ssh登錄；：root遠程登錄不成功，提示“Not on system console”；普通用戶可以登錄成功，而且可以切換到root用戶；4. 用戶賬號分組編號：安全要求設備SOLARISACCT04 要求內(nèi)容： 根據(jù)系統(tǒng)要求及用戶的業(yè)務需求，建立多帳戶組，將用戶賬號分配到相應的帳戶組。0 到 499 之間的值留給 root、bin、mail 這樣的系統(tǒng)賬號，因此最好指定該值大于 499。創(chuàng)建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于6位的口令，查看系統(tǒng)是否對口令強度要求進行提示；輸入帶有特殊符號的復雜口令、普通復雜口令，查看系統(tǒng)是否可以成功設置。 操作方法： vi /etc/default/passwd ，修改設置如下HISTORY＝5HISTORY sets the number of prior password changes to keep and check for a user when changing passwords. Setting the HISTORY value to zero (0), or removing/menting out the flag will cause all users39。：設備系統(tǒng)能夠提供用戶權限的配置選項，并記錄對用戶進行權限配置是否必須在用戶創(chuàng)建時進行；記錄能夠配置的權限選項內(nèi)容；所配置的權限規(guī)則應能夠正確應用，即用戶無法訪問授權范圍之外的系統(tǒng)資源，而可以訪問授權范圍之內(nèi)的系統(tǒng)資源。chmod R 750 /home/idea如果用戶需要使用一個不同于默認全局系統(tǒng)設置的umask，可以在需要的時候通過命令行設置，或者在用戶的shell啟動文件中配置。 操作方法：a. 限制某些系統(tǒng)帳戶不準ftp登錄:通過修改ftpusers文件，增加帳戶vi /etc/ftpusers Solaris 8vi /etc/ftpd/ftpusers Solaris 10b. 限制用戶可使用FTP不能用Telnet，假如用戶為ftpxll創(chuàng)建一個/etc/shells文件, 添加一行 /bin/true。根據(jù)這些要求，設備日志應能支持記錄與設備相關的重要事件，包括違反安全策略的事件、設備部件發(fā)生故障或其存在環(huán)境異常等，以便通過審計分析工具，發(fā)現(xiàn)安全隱患。,SOLARIS10是wtmpx文件,Solaris8 是wtmp,wtmps,文件中記錄著所有登錄過主機的用戶，時間，來源等內(nèi)容，這兩個文件不具可讀性，可用last命令來看。需記錄要包含用戶賬號，操作時間，操作內(nèi)容以及操作結果。 操作方法： 修改配置文件vi /etc/，配置如下類似語句：*.err。2. 預期結果：查看/var/adm/messages，記錄有需要的設備相關的安全事件。*.*。　　chmod 600 /var/log/loginlog。 操作方法： Solaris 10以前的版本需另外安裝，才能使用SSH。 操作方法： 開放的服務列表SOLARIS10命令:inetadm開放的端口列表命令: netstat an 服務端口和進程對應表：命令：cat /etc/servicesftpdata 20/tcpftp 21/tcpssh 22/tcptelnet 23/tcpsmtp 25/tcppop2 109/tcppop3 110/tcpimap 143/tcpldap 389/udptftp 69/udprje 77/tcpfinger 79/tcplink 87/tcp supdup 95/tcpisotsap 102/tcpx400 103/tcp x400snd 104/tcpntp 123/tcplogin 513/tcpshell 514/tcpsyslog 514/udp 操作驗證:：能夠列出端口和服務對應表。 操作方法： HISTFILESIZE=后面增加如下行：vi　/etc/profile$ TMOUT=180。：若在設定時間內(nèi)沒有操作動作，能夠自動退出，即為符合； 定時鎖屏編號：安全要求設備SOLARISSCR02要求內(nèi)容： 對于具備圖形界面（含WEB界面）的設備，應配置定時自動屏幕鎖定。：登錄后，在設定時間內(nèi)不進行任何操作，檢查屏幕被鎖定即為符合。 限制FTP等應用的訪問目錄編號：安全要求設備SOLARISDIR02要求內(nèi)容：應該從應用層面進行必要的安全訪問控制，比如FTP服務器應該限制ftp可以使用的目錄范圍。uname –a執(zhí)行下列命令，查看各包的補丁號pkginfo 操作驗證:：在系統(tǒng)安裝時建議只安裝基本的OS部份，其余的軟件包則以必要為原則，非必需的包就不裝。 Solaris 10 Huawei Patch 操作方法： showrev –p命令檢補丁號；patchadd命令給系統(tǒng)打補??；更新更安全的補丁,需研發(fā)提供 操作驗證:：showrev –p命令檢補丁號：查看最新的補丁號，確認已打上了最新補丁； 服務 關閉不需要的服務查看文件即可,有風險編號：安全要求設備SOLARISSVC01要求內(nèi)容： 列出所需要服務的列表(包括所需的系統(tǒng)服務)，不在此列表的服務需關閉。time echo discard daytime chargen fs dtspc exec sat talk finger uucp name xaudio netstat ufsd rexd systat sundr uuidgen krb5_prop注意：改變了“”文件之后，需要重新啟動inetd。amp。amp。如果做client的話， 操作驗證:1. 驗證方法：查看ntp 的配置文件：cat /etc/inet/查看xntpd進程：ps –elf|grep ntp檢查 ntp 依賴： svcs l svc:/network/ntp:default (適用于Solaris 10)：與NTP服務器保持時間同步； NFS服務的安全配置編號：安全要求設備SOLARISSVC03要求內(nèi)容： NFS服務：如果沒有必要，需要停止NFS服務；如果需要NFS服務，需要限制能夠訪問NFS服務的IP范圍。statd,NFS是由/etc/dfs/dfstab文件控制，為了禁止NFS服務的后臺程序文件有幾個選項nfs/目錄名/dev/tcp/dev/udp cp /etc/system /etc/ 用vi編輯器編輯system文件，在system文件的最后加如下2行內(nèi)容。 　set noexec_user_stack_log =1750　set noexec_user_stack_log =1 操作方法： 檢查/etc/S打頭的腳本文件，將那些啟動不必要服務的腳本文件改名，確認新文件名不以S打頭。序號檢查項目檢查結果確認責任人時間1檢查業(yè)務主機的硬件情況執(zhí)行1