Solaris安全加固实施.doc

目 录 1．内容说明 3 2．系统补丁 3 2．1下载系统补丁 3 2．2安装系统补丁 4 2．2．1打单个补丁 4 2．2．2安装推荐补丁包 4 2．3注意事项 4 3.网络服务加固 5 3．1禁止不必要的服务 5 3．2更改服务提示和警告， 6 3．3修改服务选项和权限设置 6 4．调整内核参数 7 4．1调整TCP/IP内核参数 7 4．2防止堆栈中执行代码 8 4．3调整TCP序列号的产生算法 8 5本地安全加固 8 5．1禁止数据包转发使用默认路由 8 5．2使尝试登录失败记录有效 8 5．3检查系统中安全配置文件 8 5．4设定系统日志和审计行为 9 5．5禁止root用户远程登录 9 5．6将EEPROM设于安全的模式 9 5．7检查系统中重要文件的属性值 9 5．8审查root属主的setgid和setuid程序 10 5．9审查root的环境变量 13 5．10审查crontab策略 13 5．11删除不需要的crons 13 5．12使X更加安全 13 5．13激活SUN-DES-1鉴别 13 安全加固实施反馈表 实施措施 是否实施 备注 系统补丁 下载系统补丁 安装系统补丁 网络服务加固 禁止不必要的服务 更改服务提示和警告 修改服务选项和权限设置 调整内核参数 调整TCP/IP内核参数 防止堆栈中执行代码 调整TCP序列号的产生算法 本地安全加固 禁止数据包转发使用默认路由 使尝试登录失败记录有效 检查系统中安全配置文件 设定系统日志和审计行为 禁止root用户远程登录 将EEPROM设于安全的模式 检查系统中重要文件的属性值 审查root属主的setgid和setuid程序 审查root的环境变量 审查crontab策略 删除不需要的crons 使X更加安全 激活SUN-DES-1鉴别 Solaris安全加固实施方案 1．内容说明 在本文档中，将Solaris系统的安全加固分为四大步骤进行实施，包括系统补丁、网络服务加固、内核参数调整和本地安全加固。系统补丁将描述如何得到系统的必威体育精装版补丁、如何为系统打单个补丁等方法，网络服务加固主要描述如何加固存在安全漏洞的网络服务、封闭不必要的网络服务等，内核参数调整描述如何用Solaris系统灵活的内核参数调整方法加固系统安全，最后，本地安全加固描述如何在本地设定系统自身的安全配置，以达到加固系统安全性能的目的。对于开展具体应用业务中涉及安全安的其它问题，本文没有给予描述，应视具体情况灵活应用。 2．系统补丁 2．1下载系统补丁 访问sun公司的站点，可以得到必威体育精装版的系统补丁。在sun公司的站点中，通过以下URL可以得到任何系统补丁： /pub/patches 该目录下，重要的系统补丁都可以找到，其中文件的组织形式是： xxxxxx-xx.zip：x代表一个0－9的数字，这是sun发布的单个系统补丁，当目标系统中已经有较多的补丁，缺少个别系统补丁时，就可以下载单个补丁文件，为系统打单个补丁。对于单个补丁的说明信息，可以参见如下网址：/pub-cgi/findPatch.pl?patchId=xxxxxxrev=xx其中x代表一个0－9的数字，分别与补丁文件名中的数字相对应。 X_Recommended.tar.Z或X_Recommended.zip：X是系统代号，如2.3代表Solaris 2.3系统，该包中包括对相应系统Sprace版本的推荐安装的补丁包，而X_x86_Recommended.tar.Z或X_x86_Recommended.zip是相应系统X86版本的推荐补丁包。如果是新装的操作系统或系统内尚未安装任何系统补丁，可以安装该推补丁荐包，该包解压缩后有详细的安装方法说明。 2．2安装系统补丁 在安装系统补丁之前，可用showrev –p命令查看系统当前已经装的补丁，以决定是打单个的补丁包，还是使用推荐的整个补丁包。 2．2．1打单个补丁 下载相应的补丁文件，如108869-18.zip 解压缩相应的文件，如 unzip 108869-18.zip，生成解压缩目录108869-18 以root身份执行如下的命令patchadd 目录 ，如patchadd 108869-18 使用patchadd –p现实补丁的使用情况。 2．2．2安装推荐补丁包 下载相应的补丁包文件，如8_Recommended.zip 解压缩相应的文件，如 ungzip 8_Recommended.zip，生成解压缩目录8_Recommended 进入相应的目录，以root身份执行如下的