Solaris操作系统安全配置要求及操作指南

LINUX IT敢客 11个月前 (09-16) 7249次浏览 已收录 0个评论 扫描二维码

Solaris 操作系统安全配置要求及操作指南

1 范围

适用于使用 Solaris 操作系统的设备。本规范明确了安全配置的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同,配置操作有所不同,本规范以 Solaris 8/10 为例,给出参考配置操作。

2 缩略语

 

FTP

File Transfer Protocol

文件传输协议

UDP

User Datagram Protocol

用户数据包协议

TCP

Transmission Control Protocol

传输控制协议

  1. 安全配置要求
    1. 账号

编号: 1

要求内容

应按照不同的用户分配不同的账号。

操作指南

  1. 参考配置操作为用户创建账号:

    #useradd username   #创建账号 #passwd username   #设置密码修改权限:

    #chmod 750 directory  #其中 750 为设置的权限,可根据实际情况设置相应的权限,directory 是要更改权限的目录)

    使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。

  2. 补充操作说明


     

检测方法

  1. 判定条件能够登录成功并且可以进行常用操作;

  2. 检测操作

    使用不同的账号进行登录并进行一些常用操作;

  3. 补充说明


     

编号: 2

要求内容

应删除或锁定与设备运行、维护等工作无关的账号。

操作指南

  1. 参考配置操作

删除用户:#userdel username;  

锁定用户:

1)修改/etc/shadow 文件,用户名后加*LK*

2)/etc/passwd 文件中的 shell 域设置成/bin/false

3)#passwd -l username

只有具备超级用户权限的使用者方可使用,#passwd -l username 锁定用户,#passwd –d username 解锁后原有密码失效,登录需输入新密码,修改/etc/shadow 能保留原有密码。

  1. 补充操作说明

需要锁定的用户:listen,gdm,webservd,nobody,nobody4noaccess


 

检测方法

  1. 判定条件被删除或锁定的账号无法登录成功;

  2. 检测操作

    使用删除或锁定的与工作无关的账号登录系统;

  3. 补充说明

    需要锁定的用户:listen,gdm,webservd,nobody,nobody4noaccess


     

编号: 3

要求内容

限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。

操作指南

1
参考配置操作限制 root 远程 telnet 登录:

编辑/etc/default/login,加上:

CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device.

限制 root 远程 ssh 登录:

修改 /etc/ssh/sshd_config 文件,将 PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 服务。

Solaris 8上没有该路径

/usr/local/etc下有该文件 Solaris 9上有该路径/文件重启sshd服务:

Solaris10以前:

#/etc/init.d/sshd stop

#/etc/init.d/sshd start

Solaris10

#svcadm disable ssh

#svcadm enable ssh

2、补充操作说明

Solaris8 上默认是没有安装 ssh 的,需要安装软件包。


 

检测方法

  1. 判定条件

root 远程登录不成功,提示"Not on system console";普通用户可以登录成功,而且可以切换到 root 用户;

  1. 检测操作

root 从远程使用 telnet 登录;普通用户从远程使用 telnet 登录;

root 从远程使用 ssh 登录;普通用户从远程使用 ssh 登录;

  1. 补充说明


  1. 口令

编号:1

要求内容

对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 3 类。

操作指南

1、参考配置操作

vi /etc/default/passwd ,修改设置如下

 

PASSLENGTH = 8 #设定最小用户密码长度为 8

MINALPHA=2MINNONALPHA=1 #表示至少包括两个字母和一个非字母;具体设置可以参看补充说明。

当用 root 帐户给用户设定口令的时候不受任何限制,只要不超长。

2、补充操作说明

Solaris10 默认如下各行都被注释掉,并且数值设置和解释如下:

MINDIFF=3 # Minimum differences required between an old and a new password.

MINALPHA=2 # Minimum number of alpha character required.

MINNONALPHA=1     # Minimum number of non-alpha

(including numeric and special) required.

MINUPPER=1 # Minimum number of upper case letters required.

MINLOWER=1 # Minimum number of lower case letters required.

MAXREPEATS=0     #     Maximum     number     of     allowable consecutive repeating characters.

MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required.

MINDIGIT=8 # Minimum number of digits required.

WHITESPACE=YES

Solaris8 默认没有这部分的数值设置需要手工添加

NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。

检测方法

  1. 判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;

  2. 检测操作

  3. 检查口令强度配置选项是否可以进行如下配置:

    i.
    配置口令的最小长度; ii.
    将口令配置为强口令。

  4. 创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 8 位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。

  5. 补充说明

    对于 Solaris 8 以前的版本,PWLEN 对应 PASSLENGTH 等,需根据/etc/default/passwd 文件说明确定。

    NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。

编号: 2

要求内容

对于采用静态口令认证技术的设备,帐户口令的生存期不长于 90 天。

操作指南

1、参考配置操作

vi /etc/default/passwd 文件:

MAXWEEKS=13 密码的最大生存周期为 13 周;(Solaris 8&10

PWMAX= 90 #密码的最大生存周期;(Solaris 其它版本)

2、补充操作说明

对于 Solaris 8 以前的版本,PWMIN 对应 MINWEEKS,PWMAX 对应 MAXWEEKS 等,需根据/etc/default/passwd 文件说明确定。

NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。

检测方法

  1. 判定条件登录不成功;

  2. 检测操作使用超过 90 天的帐户口令登录;

  3. 补充说明测试时可以将 90 天的设置缩短来做测试;

    NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。

编号: 3

要求内容

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近 5 次(含 5 次)内已使用的口令。

操作指南

1、参考配置操作

vi /etc/default/passwd ,修改设置如下 HISTORY5

2、补充操作说明

#HISTORY sets the number of prior password changes to keep and

# check for a user when changing passwords.  Setting the HISTORY

# value to zero (0), or removing/commenting out the flag will

# cause all users' prior password history to be discarded at the # next password change by any user.  No password history will # be checked if the flag is not present or has zero value.

# The maximum value of HISTORY is 26.

NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。

检测方法

  1. 判定条件设置密码不成功

  2. 检测操作

    cat /etc/default/passwd ,设置如下

    HISTORY5 3、补充说明默认没有 HISTORY 的标记,即不记录以前的密码

    NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。

编号: 4

要求内容

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用的账号。

操作指南

1、参考配置操作

指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:

vi  /etc/user_attr vi /etc/security/policy.conf

设置 LOCK_AFTER_RETRIES=YES

设置重试的次数:

vi /etc/default/login 在文件中将 RETRIES 行前的#去掉,并将其值修改为 RETRIES7。保存文件退出。
2
、补充操作说明

默认值为:

LOCK_AFTER_RETRIESNO

lock_after-retriesno

RETRIES=5,即等于或大于 5 次时被锁定。

root 账号不在锁定的限制范围内

NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。

检测方法

  1. 判定条件帐户被锁定,不再提示让再次登录;

  2. 检测操作

    创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录 6 次以上(不含 6 次);


     

  1. 授权

编号: 1

要求内容

在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。

操作指南

  1. 参考配置操作通过 chmod 命令对目录的权限进行实际设置。

  2. 补充操作说明

    etc/passwd 必须所有用户都可读,root 用户可写 –rw-r—r—  

    /etc/shadow 只有 root 可读 –r——–  

    /etc/group 必须所有用户都可读,root 用户可写 –rw-r—r— 使用如下命令设置:

    chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group

    如果是有写权限,就需移去组及其它用户对/etc 的写权限(特殊情况除外)

    执行命令#chmod -R go-w /etc

 


 

检测方法

1、判定条件

  1. 设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;

  2. 记录能够配置的权限选项内容;

  3. 所配置的权限规则应能够正确应用,即用户无法访问授权范围

    之外的系统资源,而可以访问授权范围之内的系统资源。

    2、检测操作

  4. 利用管理员账号登录系统,并创建 2 个不同的用户;

  5. 创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;

  6. 为两个用户分别配置不同的权限,2 个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;

  7. 分别利用 2 个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。

    3、补充说明


     

编号: 2

要求内容

控制用户缺省访问权限,当在创建新文件或目录时
应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

操作指南

1
参考配置操作设置默认权限:

vi /etc/default/login 在末尾增加 umask 027 修改文件或目录的权限,操作举例如下:

#chmod 444 dir ; #修改目录 dir 的权限为所有人都为只读。

根据实际情况设置权限;

2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的 umask,可以在需要的时候通过命令行设置,或者在用户的 shell 启动文件中配置。

检测方法

  1. 判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;

  2. 检测操作

    查看新建的文件或目录的权限,操作举例如下:

    #ls -l dir ; #查看目录 dir 的权限

    #cat /etc/default/login 查看是否有 umask 027 内容

  3. 补充说明

    umask 的默认设置一般为 022,这给新创建的文件默认权限 755 777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。

    umask 的计算:

    umask 是使用八进制数据代码设置的,对于目录,该值等于八进制

 

数据代码 777 减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码 666 减去需要的默认权限对应的八进制数据代码值。

编号:3

要求内容

控制 FTP 进程缺省访问权限,当通过 FTP 服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

操作指南

  1. 参考配置操作

  2. 限制某些系统帐户不准 ftp 登录: 通过修改 ftpusers 文件,增加帐户

    #vi /etc/ftpusers       #Solaris 8

    #vi  /etc/ftpd/ftpusers #Solaris 10

  3. 限制用户可使用 FTP 不能用 Telnet,假如用户为 ftpxll 创建一个/etc/shells 文件, 添加一行 /bin/true;

    修改/etc/passwd 文件,ftpxll:x:119:1::/home/ftpxll:/bin/true

    注:还需要把真实存在的 shell 目录加入/etc/shells 文件,否则没有用户能够登录 ftp

  4. 限制 ftp 用户登陆后在自己当前目录下活动

    编辑 ftpaccess,加入如下一行 restricted-uid *(限制所有) restricted-uid username(特定用户)  ftpaccess 文件与 ftpusers 文件在同一目录

  5. 设置 ftp 用户登录后对文件目录的存取权限,可编辑

    /etc/ftpd/ftpaccess

    chmod      no guest,anonymous  delete     no guest,anonymous  overwrite  no guest,anonymous  rename     no guest,anonymous  umask      no anonymous

     

  6. 补充操作说明查看# cat ftpusers 说明:  在这个列表里边的用户名是不允许 ftp 登陆的。 root

    daemon

    bin sys

    adm

    lp

    uucp nuucp

    listen

    nobody noaccess nobody4

 


 

检测方法

  1. 判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;

  2. 检测操作查看新建的文件或目录的权限,操作举例如下:

    #more /etc/ftpusers       #Solaris 8

    #more  /etc/ftpd/ftpusers  #Solaris 10

    #more  /etc/passwd

    #more /etc/ftpaccess       #Solaris 8

    #more  /etc/ftpd/ftpaccess #Solaris 10

  3. 补充说明

    查看# cat ftpusers 说明:  在这个列表里边的用户名是不允许 ftp 登陆的。 root

    daemon

    bin sys

    adm

    lp

    uucp nuucp

    listen

    nobody noaccess nobody4


     

  1. 远程维护

编号: 1

要求内容

对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密协议,禁止使用 telnet 等明文传输协议进行远程维护;

操作指南

  1. 参考配置操作

    Solaris 10 以前的版本需另外安装,才能使用 SSH

    Solaris 10 启用 SSH 的命令:svcadm enable ssh

    Solaris 10 禁用 Telnet 的命令:svcadm disable telnet Solaris 8 如果安装 openssh 正常可以通过#/etc/init.d/sshd start 来启动 SSH; 通过#/etc/init.d/sshd stop 来停止 SSH

  2. 补充操作说明查看 SSH 服务状态:

 

# ps –elf|grep ssh

Solaris 10 还可以通过命令:

# svcs -a |grep ssh  若为 online,即为生效。


 

检测方法

  1. 判定条件

    # ps –elf|grep ssh

    是否有 ssh 进程存在

    Solaris 10 还可以通过命令# svcs -a |grep ssh

    SSH 服务状态查看结果为:online  telnet 服务状态查看结果为:disabled

  2. 检测操作

    查看 SSH 服务状态:

    # ps –elf|grep ssh

    查看 telnet 服务状态:

    # ps –elf|grep telnet

  3. 补充说明查看 SSH 服务状态:

    Solaris 10 还可以使用

    # svcs -a |grep ssh  

    查看 telnet 服务状态:

    Solaris 10 还可以使用

    # svcs -a |grep telnet


     

  1. 补丁

编号: 1

要求内容

在保证业务及网络安全的前提下,经过实验室测试后,更新使用最新版本的操作系统补丁

操作指南

1、参考配置操作

Solaris 提供了两个命令来管理补丁,Patchadd patchrm。这两个命令是在 Solaris 2.6 版本开始提供的,在 2.6 以前的版本中,每个补丁包中都提供了一个 installpatch 程序和一个 backoutpatch 程序来完成补丁的安装和卸载。

 

注意:
由于在安装 Patch 时需要更新文件,故此 Solaris 官方推荐在安装补丁时进入单用户模式安装。
例如:

# cd /var/tmp  

 

# patchadd 110668-04  

 


 

检测方法

  1. 判定条件查看最新的补丁号,确认已打上了最新补丁;

  2. 检测操作

    #showrev –p 命令检补丁号

  3. 补充说明


     

  1. 日志

编号: 1

要求内容

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的 IP 地址。

操作指南

  1. 参考配置操作

修改文件:vi /etc/default/login ,设置 SYSLOG=YES,

SOLARIS10 wtmpx 文件,Solaris8 wtmp,wtmps,文件中记录着所有登录过主机的用户,时间,来源等内容,这两个文件不具可读性,可用 last 命令来看。

  1. 补充操作说明


 

检测方法

  1. 判定条件

列出用户账号、登录是否成功、登录时间、远程登录时的 IP 地址。

  1. 检测操作

查看文件:more /etc/default/login 中的 SYSLOG=YES

/var/adm/wtmpx 或者 wtmp,wtmps 文件中记录着所有登录过主机的

用户,时间,来源等内容,该文件不具可读性,可用 last 命令来看。

# last  

  1. 补充说明

如果/var/adm/wtmpx 或者 wtmp,wtmps 文件会增长很快,大小达到 2G 以上,可先压缩,FTP 出来后,删除该文件,再创建空文件,一定要创建空文件,否则可能出现系统无法启动。

编号: 2(可选)

要求内容

启用记录 cron 行为日志功能

操作指南

1、参考配置操作对所有的cron行为进行审计:

/etc/default/cron里设置"CRONLOG=yes" 来记录corn的动作。

检测方法

  1. 判定条件

CRONLOG=YES

  1. 检测操作

 

运行 cat /etc/default/cron 查看CRONLOG状态,并记录

编号: 3

要求内容

设备应配置权限,控制对日志文件读取、修改和删除等操作。

操作指南

  1. 参考配置操作

修改文件权限:

chmod 644 /var/adm/messages chmod 644 /var/adm/utmpx chmod 644 /var/adm/wmtpx chmod 600 /var/adm/sulog

  1. 补充操作说明


 

检测方法

  1. 判定条件没有相应权限的用户不能查看或删除日志文件

  2. 检测操作

    查看 syslog.conf 文件中配置的日志存放文件: more /etc/syslog.conf

    使用 ls –l /var/adm 查看的目录下日志文件的权限,messagesutmpx

    wmtpx 的权限应为 644,如下所示:

    -rw-r–r–   1 root     root        message

    -rw-r–r–   1 root     bin         utmpx

    -rw-r–r–   1 adm     adm       wtmpx

    sulog 的权限应为 600,如下所示:

    -rw——-   1 root     root         sulog

  3. 补充说明

    对于其他日志文件,也应该设置适当的权限,如登录失败事件的日志、操作日志,具体文件查看 syslog.conf 中的配置。

  1. 不必要的服务、端口

编号:

要求内容

关闭不必要的服务、端口

操作指南

1、参考配置操作

查看所有开启的服务:

#ps –eaf  

#svcs –a  'solaris 10

inetd.conf中关闭不用的服务
首先复制/etc/inet/inetd.conf #cp

/etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi编辑器编辑

inetd.conf文件,对于需要注释掉的服务在相应行开头标记"#"字符,重启inetd服务,即可。对于Solaris 10,直接关闭某个服务,如telnet,可用如下命令: svcadm disable svc:/network/telnet

 

重新启用该服务,使用命令:

svcadm enable svc:/network/telnet

Solaris8 修改/etc/inet/inetd.conf /etc/inet/services 文件,注释掉对

的服务以及 TCP/IP 端口

重启 inetd 进程

>kill –HUP <inetd>

2、补充操作说明可根据具体应用情况参考附录 A,筛选不必要的服务。并在/etc/inetd.conf文件中建议禁止不必要的基本网络服务。注意:改变了"inetd.conf"文件之后,需要重新启动inetd

对必须提供的服务采用tcpwapper来保护

检测方法

  1. 判定条件所需的服务都列出来;没有不必要的服务;

  2. 检测操作

    Solaris10 查看所有开启的服务:svcs –a

    Solaris8 查 看 所 有 开 启 的 服 务 :cat /etc/inet/inetd.conf,cat

    /etc/inet/services

  3. 补充说明在/etc/inetd.conf文件中禁止不必要的基本网络服务。


     

  1. 系统 Banner 设置

要求内容

修改系统 banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息

操作指南

1、参考配置操作

 

root 用户登陆 SOLARIS 系统,使用 vi 编辑器编辑

/etc/motd 文件,在 motd 文件里的删除系统敏感的信息

检测方法

判断/etc/motd 文件

  1. FTP 设置 编号 1

要求内容

禁止 root 登陆 FTP

操作指南

1、参考配置操作

在文件/etc/ftpusers中增加超级用户。

然后让 inetd 重新读配置文件

检测方法

查看/etc/ftpusers 文件中是否存在 root

编号 2

要求内容

禁止匿名 ftp

操作指南

1、参考配置操作

不要使用匿名ftp,只需在文件/etc/passwd中把ftp用户注释掉即可。

检测方法

查看/etc/passwd 文件中是否存在 FTP


 

编号 3

要求内容

修改FTP banner 信息

操作指南

1、参考配置操作

 

如果系统存在 /etc/default/ftpd 文件,把 ftpd 文件里的 BANNER=""字段设置为空或其它不明感的字符。
如果/etc/default/ftpd文件不存在,
创建/etc/default/ftpd 文件,在 ftpd 文件里写入 BANNER=""


 

检测方法

  1. 判断依据

cat /etc/default/ftpd  

  1. 检查操作

BANNER= 内容不包括 FTP 或版本的敏感信息

  1. 删除潜在危险文件

要求内容

rhosts.netrc等文件文件都具有潜在的危险,如果没有应用,应该删除

操作指南

  1. 参考配置操作

    执行:find / -name .netrc,检查系统中是否有.netrc 文件,执行:find / -name .rhosts ,检查系统中是否有.rhosts 文件如无应用,删除以上文件: mv.rhost.rhost.bak  mv..netr..netr.bak

  2. 补充操作说明注意系统版本,用相应的方法执行

检测方法

1、判定条件 2、检测操作

登陆系统判断

Cat /etc/passwd

  1. 登陆超时时间设置

要求内容

对于具备字符交互界面的设备,应配置定时帐户自动登出

操作指南

1、参考配置操作

 

可以在用户的.profile 文件中"HISTFILESIZE="后面增加如

 

下行:

vi /etc/profile  

$ TMOUT=180;export TMOUT  

改变这项设置后,重新登录才能有效

2、补充操作说明

 

若修改了 login 文件,如下:

vi /etc/default/login  

# TIMEOUT sets the number of seconds (between 0 and 900)  to wait before  

# abandoning a login session.  

TIMEOUT=180  

这里的超时设置针对登录过程,而不是登录成功后的 shell 会话超时设置


 

检测方法

查看 TMOUT=180

  1. 内核调整设置

要求内容

防止堆栈缓冲溢出

操作指南

  1. 参考配置操作

/etc/system 文件做备份。 #cp /etc/system /etc/system.backup vi 编辑器编辑 system 文件,在 system 文件的最后加如下 2 行内容。


set noexec_user_stack=1                            
set noexec_user_stack_log =1                      

保存文件,退出编辑器。

然后改变文件权限:#chmod 750 /etc/system

  1. 补充操作说明

系统的内核参数都在此,一但改错系统无法正常启动,需要光盘引导。内核参数改动后需要重启服务器才生效。

检测方法

  1. 判定条件能够防止堆栈缓冲溢出

  2. 检测操作

    查看/etc/system 文件:cat  /etc/system;是否有如下两行:

    set noexec_user_stack=1  
    set noexec_user_stack_log =1  

    查看文件权限:#chmod 750 /etc/system

  3. 补充说明


     

附录 A:服务及端口

服务名称

端口

服务说明

关闭方法

处置建议

echo

7/tcp

RFC862_回声协议

#echo stream tcp6 nowait root internal

建议关闭

7/udp

#echo dgram udp6 wait root internal

discard

9/tcp

RFC863 废除协议

#discard stream tcp6 nowait root internal

9/udp

RFC863 废除协议

#discard dgram udp6 wait root internal

daytime

13/tcp

RFC867 白天协议

#daytime stream tcp6 nowait root internal

13/udp

#daytime dgram udp6 wait root internal

chargen

19/tcp

RFC864 字符产生协议

#chargen stream tcp6 nowait root internal

19/udp

#chargen dgram udp6 wait root internal

ftp

21/tcp

文件传输协议

(控制)

#ftp stream tcp6 nowait root

/usr/sbin/in.ftpd in.ftpd

根据情况选择开放

telnet

23/tcp

虚拟终端协议

#telnet stream tcp6 nowait root

/usr/sbin/in.telnetd in.telnetd

根据情况选择开放

smtp

25/tcp

简单邮件发送协议

/etc/rc*.d/s_*sendmail  

建议关闭

time

37/tcp

时间服务

#time stream tcp6 nowait root internal

建议关闭

37/udp

#time dgram udp6 wait root internal

name

42/udp

Host Name

Server

#name dgram udp wait root

/usr/sbin/in.tnamed in.tnamed  

根据情况选择开放

finger

79/tcp

Finger Server

finger stream tcp6 nowait nobody

/usr/sbin/in.fingerd in.fingerd

高危险服

务,建议关闭

http

80/tcp

HTTP

#http    stream  tcp     nowait  nobody  /opt/webserver/bin/httpd  httpd

强烈建议关闭

sunrpc

111/tcp

sunrpc portmap

/etc/rc*.d/s*_rpc

根据情况选择开放

111/udp

/etc/rc*.d/s*_rpc

根据情况选择开放

ntp

123/udp

Network Time

Protocol

/etc/rc*.d/s*_ntpd

根据情况选择开放

snmp

161/udp

简单网络管理协议

/etc/rc*.d/s_*snmpdx

根据情况选择开放

dtlogin

177/udp

dtlogin

/etc/rc*.d/s_*dtlogin

根据情况选

    

择开放

exec

512/tcp

Remote

Process

Execution

#exec stream tcp nowait root

/usr/sbin/in.rexecd in.rexecd  

根据情况选择开放

biff

512/udp

comsat

#comsat dgram udp wait root

/usr/sbin/in.comsat in.comsat

建议关闭

login

513/tcp

Remote Login

#login stream tcp nowait root

/usr/sbin/in.rlogind in.rlogind  

根据情况选择开放

shell

514/tcp

shell

#shell stream tcp nowait root

/usr/sbin/in.rshd in.rshd

根据情况选择开放

syslog

514/udp

syslogd

/etc/rc*.d/s_*syslog

建议保留

printer

515/tcp

spooler

#printer  stream tcp6 nowait root

/usr/lib/print/in.lpd in.lpd

强烈建议关闭

talk

517/udp

talk

#talk dgram udp wait root /usr/sbin/in.talkd in.talkd

建议关闭

route

520/udp

routed

在该文件中的 if 前加注注释符

根据情况选择开放

uucp

540/tcp

uucp daemon  

#uucp stream tcp nowait root

/usr/sbin/in.uucpd in.uucpd

根据情况选择开放

submissi on

587/tcp

Mail Message

Submission

/etc/rc*.d/s_*sendmail  

根据情况选择开放

587/udp

Mail Message

Submission

/etc/rc*.d/s_*sendmail  

根据情况选择开放

sm_confi g

603/tcp

SUNWsma

#sm_config stream tcp nowait root /opt/SUNWsma/bin/sma_configd sma_configd  

根据情况选择开放

sun-dr

665/tcp

Remote

Dynamic

Reconfiguration

#sun-dr stream tcp wait root /usr/lib/dcs dcs

建议关闭

sdtperfm e

834/udp

CDE protocol

/etc/rc*.d/s_*dtlogin  

根据情况选择开放

WBEM

898/tcp

Sun wbem

/etc/rc*.d/s_*wbem

建议关闭

sdtperfm eter

953/udp

CDE

sdtperfmeter

/etc/rc*.d/s_*dtlogin  

根据情况选择开放

xaudio

1103/tcp

X Audio Server

#xaudio   stream tcp   wait root

/usr/openwin/bin/Xaserver Xaserver

-noauth -inetd  

建议关闭

 

lockd

4045/tcp

NFS lock daemon/manag

er  

/etc/rc*.d/s_*nfs.client

根据情况选择开放

WBEM

5987/tcp

Sun wbem

/etc/rc*.d/s_*wbem

建议关闭

X11

6000/tcp

X Window

/etc/rc*.d/s_*dtlogin  

根据情况选择开放

dtspc

6112/tcp

CDE

subprocess control

#dtspc stream tcp nowait root

/usr/dt/bin/dtspcd /usr/dt/bin/dtspcd  

强烈建议关闭

fs

7100/tcp

font-service

#fs  stream tcp wait nobody

/usr/openwin/lib/fs.auto fs

根据情况选择开放

dwhttpd

8888/tcp

dwhttpd

/etc/rc*.d/s_*ab2mgr

建议关闭

htt_serve

9010/tcp

htt_serve

/etc/rc*.d/s_*IIim

建议关闭

lockd

4045/udp

NFS lock daemon/manag

er  

/etc/rc*.d/s_*nfs.client

强烈建议关闭

clustmon

12000/tc p

SUNWmond  

#clustmon stream tcp nowait root

/usr/sbin/in.mond in.mond  

根据情况选择开放

ttsession

动态端

>3276

8/tcp

ToolTalk  

/etc/rc*.d/s_*dtlogin  

强烈建议关闭

snmpXd

mid

动态端

>3276

8/tcp

SNMP to DMI mapper daemon

/etc/rc3.d/s*dmi

强烈建议关闭

sadmind

动态端

>3276 8/TCP&u dp

Solstice

#100232/10 tli rpc/udp wait root

/usr/sbin/sadmind sadmind

强烈建议关闭

rquotad

动态端

>3276 8/TCP&u dp

rquotaprog quota rquota

#rquotad/1 tli rpc/datagram_v wait root

/usr/lib/nfs/rquotad rquotad

强烈建议关闭

rusersd

动态端

>3276 8/TCP&u dp

rusers

#rusersd/2-3 tli rpc/datagram_v,circuit_v wait root /usr/lib/netsvc/rusers/rpc.rusersd rpc.rusersd

强烈建议关闭

sprayd

动态端

>3276 8/TCP&u dp

spray

#sprayd/1 tli rpc/datagram_v wait root

/usr/lib/netsvc/spray/rpc.sprayd rpc.sprayd

强烈建议关闭

rwalld

动态端

>3276 8/TCP&u

rwall shutdown

#walld/1  tli rpc/datagram_v wait root

/usr/lib/netsvc/rwall/rpc.rwalld rpc.rwalld

强烈建议关闭

 

dp

   

rstatd

动态端

>3276 8/TCP&u dp

rstat rup perfmeter rstat_svc

#rstatd/2-4 tli   rpc/datagram_v wait root

/usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd

强烈建议关闭

ttdbserve rd

动态端

>3276 8/TCP&u dp

ttdbserver tooltalk

#100083/1 tli rpc/tcp wait root

/usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd

强烈建议关闭

kcms

动态端

>3276 8/TCP&u dp

SunKCMS

Profile Server

#100221/1 tli rpc/tcp wait root /usr/openwin/bin/kcms_server kcms_server

强烈建议关闭

cachefsd

动态端

>3276 8/TCP&u dp

CacheFS

Daemon

#100235/1 tli rpc/ticotsord wait root

/usr/lib/fs/cachefs/cachefsd cachefsd

强烈建议关闭


IT 敢客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Solaris 操作系统安全配置要求及操作指南
喜欢 (155)
[313176056@qq.com]
分享 (0)
IT敢客
关于作者:
“我所做的一切都是为了方便我的生活~~~“
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址