教你如何配置安全的 SOLARIS 系统一、帐号和口令安全策略1.1 更改口令文件、影像文件、组文件的权限 /etc/passwd 必须所有用户都可读,root 用户可写 –rw-r-r— /etc/shadow 只有 root 可读 –r——-————— /etc/group 必须所有用户都可读,root 用户可写 –rw-r—r— 1.2 修改不必要的系统帐号 移去或者锁定那些系统帐号,比如 sys、uucp、nuucp、listen、lp、adm 等等,简单的办法是在/etc/shadow 的 password 域中放上 NP 字符。还可以考虑将/etc/passwd 文件中的shell 域设置成/bin/false 1。3 修改口令策略 修改/etc/default/passwd 文件 MAXWEEKS=4 口令至少每隔 4 星期更改一次 MINWEEKS=1 口令至多每隔 1 星期更改一次 WARNWEEKS=3 修改口令后第三个星期会收到快要修改口令的信息 PASSLENGTH=6 用户口令长度不少于 6 个字符 二、用户授权安全策略2。1 移去组及其它用户对/etc 的写权限。 执行命令#chmod -R go—w /etc 2.2 禁止 root 远程登录 在/etc/default/login 中设置 CONSOLE=/dev/concle 2。3setuid 和 setgid 特别权限。 Setuid 是指设置程序的有效执行用户身份(uid)为该文件的属主,而不是调用该程序进程的用户身份。Setgid 与之类似。Setuid 和 setgid 用 1s —1 显示出来为 s 权限,存在于主人和属组的执行权限的位置上。系统设置特别权限,使用户执行某些命令时,具有 root 的执行权限, 命令执行完成, root 身份也随之消逝。因此特别权限关系系统的安全,可执行命令#find / -perm —4000 —print 寻找系统中具有 setuid 权限的文件,存为列表文件,定时检查有没有这之外的文件被设置了 setuid 权限。 2.4 审计并日志所有以 root 身份的登陆情况 添加或编辑/etc/default/login 文件如下: SYSLOG= YES syslog 记录 root 的登陆失败,成功的情况。 2。5 设置远程登陆会话超时时间 添加或编辑/etc/default/login 文件如下: TIMEOUT= 300 2。6 确定登陆需要密码验证 添加或编辑/etc/default/login 文件如下: PASSREQ= YES 2。7 UMASK 设置 umask 命令设置用户文件和目录的文件创建缺省屏蔽值,若将此命令放入.profile 文件,就可控制该用户后续所建文件的存取许可.umask 命令与 chmod 命令的作用正好相反,它告诉系统在创建文件时不给予什么存取许可。 安装配置完操作系统之后确认 root 的 ...
