- 1、本文档共7页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
linux常规安全检查-solaris
主机系统solaris测评
身份鉴别
序号 核查项目 测评方法
访谈、检查、测试 说明 应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别 检查、测试 查询solaris版本:uname –a(此命令是查看内核版本)
版本信息:more /etc/release
查看/etc/passwd和/etc/shadow文件中各用户名状态 操作系统和数据库管理系统用户身份鉴别信息应具有不易被冒用的特点,口令应复杂度要求并定期更换 检查、测试 查看/etc/default/passwd文件中相关配置参数
Cat /etc/default/passwd 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 检查、测试 检查系统登陆失败处理功能
检查/etc/default/lgoin中的密码相关的安全属性:
RETRIES=5 错误登录次数锁定账号
检查/etc/default/lgoin中的密码相关的安全属性:
SLEEPTIME=4 两次登录提示的间隔 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听 检查、测试 在root权限下,使用命令more、cat或vi
查看是否运行了ssh服务:
#ps-elf|gerp ssh
#ps-elf|gerp telnet
查看是否存在ssh、telnet服务;
#svcs –a|grep ssh
查看ssh服务是否是online
补充说明:限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将permitrootlogin yes改为permitrootlogin no,重启sshd服务(solaris 8/usr/local/etc下有该文件)。 应为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性 检查、测试 采用查看方式,在root权限下,使用命令more、cat或vi
查看/etc/passwd文件中用户名信息 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 访谈 访谈系统管理员,询问系统除用户名口令外有无其他身份鉴别方法,如有没有令牌、C证书等。
访问控制
序号 核查项目 测评方法
访谈、检查、测试 说明 应启用访问控制功能,依据安全策略控制用户对资源的访问 检查、测试 1、检查umask权限是否为022
2、检查以下敏感文件的权限,建议不超过644
1) /etc/passwd 644
2) /etc/group 644
3) /etc/shadow 644
3、查看/etc/init.d/文件中是否禁用多余服务:
sendmail
lp
rpc
snmpdx
keyserv
nscd
volmgt
uucp
dmi
autoinstall 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限 检查 记录系统是否有完整的安全策略,系统主要有那些角色,每个角色的权限是否互相制约,每个系统用户是否被赋予相应的角色 应实现操作系统和数据库系统特权用户的权限分离 检查、测试 结合系统管理员的组成情况,判断是否实现了该项要求,操作系统和数据库是否拥有不同的用户名及密码 应严格限制默认帐户的访问权限,重命名系统默认帐户,并修改这些帐户的默认口令 检查、测试 1、以root身份登陆进入solaris、查看solaris密码文件内容#cat/etc/shadow
记录没有被禁用的系统默认用户名
补充说明:需要锁定的用户:listen、gdm、webservd、nobody、noaccess 应及时删除多余的、过期的帐户,避免共享帐户的存在 检查、测试 1、以root身份登陆进入solaris
2、查看solaris密码文件内容#cat/etc/passwd
记录没有被及时删除多余的、过期的帐户,避免共享帐户 应对重要信息资源设置敏感标记 检查 查看操作手册,确认有没有该功能
询问系统管理员是否设置敏感标记 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作 访谈、检查、测试 询问和查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限
安全审计
序号 核查项目 测评方法
访谈、检查、测试 说明 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户 检查、测试 采用查看方式,在root权限下,查看审计服务是否启动,查看审计配置文
件。涉及命令如下:
1、查看
#more /etc/default/login中,查看是否存在SYSLOG=YES
日志文件:/var/adm/wtmpx或者wtmp,wtmps文件中记录所有登录过主机的用户时间,来源等内容
2、查
文档评论(0)