【文章內容簡介】 一個/etc/shells文件, 添加一行 /bin/true。修改/etc/passwd文件，ftpxll:x:119:1::/home/ftpxll:/bin/true注：還需要把真實存在的shell目錄加入/etc/shells文件，否則沒有用戶能夠登錄ftp最好不要做測試,可以查一下文件即可c. 限制ftp用戶登陸后在自己當前目錄下活動編輯ftpaccess，加入如下一行restricteduid *(限制所有)，restricteduid username（特定用戶） ftpaccess文件與ftpusers文件在同一目錄 d. 設置ftp用戶登錄后對文件目錄的存取權限，可編輯/etc/ftpd/ftpaccess。chmod no guest,anonymous delete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous 說明：查看 cat ftpusers說明: 在這個列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4 操作驗證:：查看新建的文件或目錄的權限，操作舉例如下：more /etc/ftpusers Solaris 8more /etc/ftpd/ftpusers Solaris 10more /etc/passwdmore /etc/ftpaccess Solaris 8more /etc/ftpd/ftpaccess Solaris 10：權限設置符合實際需要；不應有的訪問允許權限被屏蔽掉； 日志審計本部分對SOLARIS操作系統(tǒng)設備的日志功能提出要求，主要考察設備所具備的日志功能，確保發(fā)生安全事件后，設備日志能提供充足的信息進行安全事件定位。根據(jù)這些要求，設備日志應能支持記錄與設備相關的重要事件，包括違反安全策略的事件、設備部件發(fā)生故障或其存在環(huán)境異常等，以便通過審計分析工具，發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反ACL規(guī)則的事件時，通過對日志的審計分析，能發(fā)現(xiàn)隱患，提高設備維護人員的警惕性，防止惡化。 登錄日志（必選）編號：安全要求設備SOLARISLOG01要求內容： 設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。 操作方法： 修改文件：vi /etc/default/login ，設置SYSLOG=YES。,SOLARIS10是wtmpx文件,Solaris8 是wtmp,wtmps,文件中記錄著所有登錄過主機的用戶，時間，來源等內容，這兩個文件不具可讀性，可用last命令來看。 操作驗證:：查看文件：more /etc/default/login 中的SYSLOG=YES/var/adm/wtmpx或者wtmp,wtmps文件中記錄著所有登錄過主機的用戶，時間，來源等內容，該文件不具可讀性，可用last命令來看。 last ：列出用戶賬號、登錄是否成功、登錄時間、遠程登錄時的IP地址。 操作審計編號：安全要求設備SOLARISLOG02 要求內容： 設備應配置日志功能，記錄用戶對設備的操作，包括但不限于以下內容：賬號創(chuàng)建、刪除和權限修改，口令修改，讀取和修改設備配置，讀取和修改業(yè)務用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。需記錄要包含用戶賬號，操作時間，操作內容以及操作結果。 操作方法： 通過設置日志文件可以對每個用戶的每一條命令進行紀錄，這一功能默認是不開放的，為了打開它，需要執(zhí)行/usr/lib/acct目錄下的accton文件查看即可,若示開啟,由于CG是放話單的,容易較大,日志太多是否會影響計費，格式如下/usr/lib/acct/accton /var/adm/pacct，執(zhí)行讀取命令lastm [user name]。 操作驗證:： lastm [user name]：能夠顯示出包含配置內容中所要求的全部內容。 本地記錄系統(tǒng)日志編號：安全要求設備SOLARISLOG03要求內容： 設備應配置日志功能，記錄對與設備相關的安全事件。 操作方法： 修改配置文件vi /etc/，配置如下類似語句：*.err。 /var/adm/messages定義為需要保存的設備相關安全事件。 操作驗證:1. 驗證方法：修改配置文件vi /etc/，配置如下類似語句：*.err。 /var/adm/messages定義為需要保存的設備相關安全事件。2. 預期結果：查看/var/adm/messages，記錄有需要的設備相關的安全事件。 遠程記錄日志編號：安全要求設備SOLARISLOG04要求內容： 設備配置遠程日志功能，將需要重點關注的日志內容傳輸?shù)饺罩痉掌鳌? 操作方法： 修改配置文件vi /etc/，加上這一行：*.* @可以將*.*替換為你實際需要的日志信息。比如：kern.* / mail.* 等等。重新啟動syslog服務，依次執(zhí)行下列命令：對solaris 10:svcadm disable svc:/system/systemlogsvcadm enable svc:/system/systemlog操作驗證:：查看日志服務器上的所收到的日志文件。：設備配置遠程日志功能，將需要重點關注的日志內容傳輸?shù)饺罩痉掌?SU操作日志編號：安全要求設備SOLARISLOG05要求內容： 設備應配置日志功能，記錄用戶使用SU命令的情況，記錄不良的嘗試記錄。 操作方法： 修改文件：vi /etc/default/su 設置SYSLOG=YES.使用以下方法使嘗試登錄失敗記錄有效：　　touch /var/log/loginlog?！　hmod 600 /var/log/loginlog?！　hgrp sys /var/log/loginlog查看sulog日志，記載著普通用戶嘗試su成為其它用戶的紀錄，more /var/adm/sulog 操作驗證:：查看sulog日志，記載著普通用戶嘗試su成為其它用戶的紀錄more /var/adm/sulog：有類似如下格式記錄：SU 01/01 00:30 + console rootroot或SU 08/20 13:44 + pts/2 xllroot 應用日志編號：安全要求設備SOLARISLOG06要求內容： 系統(tǒng)上運行的應用/服務也應該配置相應日志選項，比如cron。 操作方法： 對所有的cron行為進行審計：在 /etc/default/cron里設置CRONLOG=yes 來記錄corn的動作。 操作驗證:：查看日志存放文件，如cron的日志：more /var/cron/log ：日志中能夠列出相應的應用/服務的詳細日志信息； IP協(xié)議安全 使用SSH協(xié)議登錄編號：安全要求設備SOLARISIP01要求內容： 對于使用IP協(xié)議進行遠程維護的設備，設備應配置使用SSH等加密協(xié)議。 操作方法： Solaris 10以前的版本需另外安裝，才能使用SSH。查看進程即可Solaris 10啟用SSH的命令：svcadm enable sshSolaris 10禁用Telnet的命令：svcadm disable telnet正常可以通過/etc/。通過/etc/查看SSH服務狀態(tài)： ps –elf|grep sshSolaris 10還可以通過命令： svcs a |grep ssh 若為online，即為生效。 操作驗證:1. 驗證方法：查看SSH服務狀態(tài)： ps –elf|grep ssh查看telnet服務狀態(tài)： ps –elf|grep telnet2. 預期結果： ps –elf|grep ssh是否有ssh進程存在Solaris 10還可以通過命令 svcs a |grep sshSSH服務狀態(tài)查看結果為：online telnet服務狀態(tài)查看結果為：disabled 關閉不需要的IP服務端口編號：安全要求設備SOLARISIP02要求內容：設備應支持列出對外開放的IP服務端口和設備內部進程的對應表。 操作方法： 開放的服務列表SOLARIS10命令:inetadm開放的端口列表命令: netstat an 服務端口和進程對應表：命令：cat /etc/servicesftpdata 20/tcpftp 21/tcpssh 22/tcptelnet 23/tcpsm