文档介绍:Solaris 系统安全配置基线
中国移动通信有限公司管理信息系统部
2009年1月
版本
版本控制信息
更新日期
更新人
审批人
创建
2009年1月
备注:
若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章 概述 1
目的 1
适用范围 1
适用版本 1
实施 1
例外条款 1
第2章 账号管理、认证授权 2
账号 2
管理无关账户 2
限制超级用户远程登录 2
口令和认证 3
口令长度 3
口令生存期略 3
重复口令使用 4
认证次数 4
用户权利指派 5
访问权限控制 5
FTP访问权限 6
第3章 日志配置操作 7
日志配置 7
用户登录记录 7
日志功能配置 7
设备安全事件记录 8
远程日志 8
记录不良尝试 9
应用或服务日志配置 9
第4章 IP协议安全配置 10
IP协议 10
IP安全机制 10
主机系统禁止ICMP重定向 10
第5章 设备其他配置操作 11
设备配置 11
对具备字符交互界面的设备配置定时帐户自动登出 11
其他配置 11
从应用层面进行必要的安全访问控制 11
限制root 用户只能从console口本地登录。 12
设置eeprom 安全密码 12
关闭不需要服务 12
防止堆栈缓冲溢出 13
关闭不在系统启动时自动加载的进程和服务 13
第6章 评审与修订 15
概述
目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SOLARIS 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行SOLARIS 操作系统的安全合规性检查和配置。
适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的SOLARIS 服务器系统。
适用版本
SOLARIS系列服务器;
实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
账号管理、认证授权
账号
管理无关账户
安全基线项目名称
操作系统Solaris无关账户安全基线要求项
安全基线编号
SBL-Solaris-02-01-01
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不
可删除的内置账号,包括root,bin等。
检测操作步骤
使用删除或锁定的与工作无关的账号登录系统
基线符合性判定依据
需要锁定的用户:listen,gdm,webservd,nobody,nobody4、ess。
备注
限制超级用户远程登录
安全基线项目名称
操作系统Solaris远程登录安全基线要求项
安全基线编号
SBL-Solaris-02-01-02
安全基线项说明
限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作
检测操作步骤
登录;
登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录
基线符合性判定依据
root远程登录不成功,提示“Not on system console”;
普通用户可以登录成功,而且可以切换到root用户
备注
口令和认证
口令长度
安全基线项目名称
操作系统Solaris口令长度安全基线要求项
安全基线编号
SBL-Solaris-02-02-01
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
1、检查口令强度配置选项是否可以进行如下配置:
i. 配置口令的最小长度;
ii. 将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口