Solaris主机操作系统加固规范V0.4 - 图文

#HISTORY sets the number of prior password changes to keep and # check for a user when changing passwords. Setting the HISTORY # value to zero (0), or removing/commenting out the flag will # cause all users' prior password history to be discarded at the # next password change by any user. No password history will # be checked if the flag is not present or has zero value. # The maximum value of HISTORY is 26. NIS系统无法生效，非NIS系统或NIS+系统能够生效。 回退方案 判断依据 实施风险 重要等级 备注

vi /etc/default/passwd ，修改设置到系统加固前状态。 HISTORY＝5 低 ★ 1.2.5 SHG-Solaris-01-02-05

编号 名称 实施目的 问题影响 SHG-Solaris-01-02-05 密码重试限制 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 允许暴力破解密码 运行 cat /etc/default/login 系统当前状态 cat /etc/user_attr cat /etc/security/policy.conf 查看状态，并记录。 1、参考配置操作 指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定： vi /etc/user_attr vi /etc/security/policy.conf 设置LOCK_AFTER_RETRIES=YES 设置重试的次数： vi /etc/default/login 在文件中将RETRIES行前的#去掉，并将其值修改为RETRIES实施步骤 ＝7。 保存文件退出。 2、补充操作说明 默认值为： LOCK_AFTER_RETRIES＝NO lock_after-retries＝no RETRIES= 5，即等于或大于5次时被锁定。 root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 vi /etc/user_attr 回退方案 vi /etc/security/policy.conf vi /etc/default/login ，修改设置到系统加固前状态。 判断依据 实施风险 重要等级 /etc/default/login 中RETRIES=7 /etc/security/policy.conf 中LOCK_AFTER_RETRIES=YES 中 ★ 备注

1.3 授权

1.3.1 SHG-Solaris-01-03-01

编号 名称 实施目的 问题影响 系统当前状态 SHG-Solaris-01-03-01 设置关键目录的权限 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 非法访问文件 运行ls –al /etc/* 记录关键目录的权限 ls –al /var/* 1、参考配置操作 通过chmod命令对目录的权限进行实际设置。 2、补充操作说明 使用如下命令设置： chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 实施步骤 chmod 600 /etc/inetd.conf chmod 600 /etc/inet/inetd.conf chmod 644 /var/adm/wtm chmod 644 /var/adm/utmp chmod 644 /var/adm/utmpx chmod 644 /etc/services chmod 644 /etc/inet/services chmod 600 /var/log/* 如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外） 执行命令#chmod -R go-w /etc 回退方案 通过chmod命令还原目录权限到加固前状态。 chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group chmod 600 /etc/inetd.conf chmod 600 /etc/inet/inetd.conf 判断依据 chmod 644 /var/adm/wtm chmod 644 /var/adm/utmp chmod 644 /var/adm/utmpx chmod 644 /etc/services chmod 644 /etc/inet/services chmod 600 var/log/* 实施风险 重要等级 备注

中 ★★★ 1.3.2 SHG-Solaris-01-03-02

编号 名称 实施目的 SHG-Solaris-01-03-02 修改umask值 控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其