-
Solaris
系统安全文档(
for
solaris 10
)
1
.
禁用不需要的用户
备份:备份
/etc/passwd
cp /etc/passwd
/etc/passwd.080903
cp /etc/shadow /etc/shadow.080903
修改:
编辑
/etc/shadow
,将需要禁止帐户的
**
用
NP
代替
Example: noaccess:NP:60002:60002:No
Access User:/:/sbin/noshell
恢复:
编
辑
/etc/shadow
,将需要恢复帐户的
NP
用
**
代替
Example:
noaccess:**:60002:60002:No Access
User:/:/sbin/noshell
或使用备份还原
cp /etc/passwd.080903 /etc/passwd
cp /etc/shadow.080903 /etc/shadow
恢复:
用原始备份还原
cp
/etc/.2008 /etc/group
2
.
设置用户密码安全策略(根据具体要求修改)
修改全局密码策略
备份:备份
/etc/default/passwd
cp
/etc/default/passwd /etc/default/passwd.080903
#MINDIFF=3
#
最小的差异数,新密码和旧密码的差异数。
#MINALPHA=2
#
最少字母要多少
#MINNONALPHA=1
#
最少的非字母,包括了数字和特殊字符。
#MINUPPER=0 #
最少大写
#MINLOWER=0 #
最少小写
#MAXREPEATS=0
#
最大的重复数目
#MINSPECIAL=0
#
最小的特殊字符
#MINDIGIT=0
#
最少的数字
#WHITESPACE=YES
#
能使用空格吗?
修改:
(以下只针对除
root
用户外的其他用户)
编辑
/etc
/default/passwd,
设置:
MINWEEKS=
最短改变时间
密码最长有效时间
密码失效前几天通知用户
最短密码长度
MAXWEEKS=8
WARNWEEKS=5
PASSLENGTH=8
MINDIFF=3
MINALPHA=2
MINLOWER=1
MINDIGIT=1
恢复:
用备份的原始
/etc/default/passwd
文件替换现有的
/etc/default/passwd
如需针对个别用户设置
修改
/etc/shadow
文件,
备份:
cp /etc/shadow /etc/shadow.080903
shadow
文件格式如下:
p>
loginID:password:lastchg:min:max:warn:ina
ctive:expire:
例如:默认
root
用户的格式为:
root:lySCmJ.1txm4M:6445::::::
loginID
指
登陆用户名
password
p>
密码选项,例如
13
位加密字符,或者
p>
*LK*
锁定用户,或
NP
,无法登陆用户
lastchg
指
p>
最后密码修改日期,从
1970
年
1
月
1
号开始计算
p>
min
指
两次密码修改间隔的最少天数
max
指
密码最大有效天数
warn
指
密码过期前开始发出提醒的天数
inactive
指
如果用户未登陆超过多少天
将把用户锁定
expire
用户过期时间,即到达此日期后用户过期,将无法登陆
以上选项如为设置,留空,即代表无密码策略
如
需
使
p>
用
/etc/shadow
设
置
密
码
策
略
,
则
/etc/defau
lt/passwd
文
件
中
MINWEEKS
MAXWKEEKS WARNWEEKS
PASSLENGTH
等选项不应设置参数。留空。
3
.
p>
防止
root
远程登陆
编辑
/etc/default/login
,加上:
CONSOLE=/dev/console # If CONSOLE is
set, root can only login on that device.
修改:
恢复:
编辑
/e
tc/default/login
,注释一下内容:
# CONSOLE=/dev/console # If CONSOLE is
set, root can only login on that device.
4
.
p>
设置
session
超时时间
编辑
/etc/default/login
p>
,加上:
# TIMEOUT sets
the number of seconds (between 0 and 900) to wait
before
# abandoning a login session.
修改:
TIMEOUT=300
恢复:
编
辑
/etc/default/login
,删除:
# TIMEOUT sets the number of
seconds (between 0 and 900) to wait before
# abandoning a login session.
TIMEOUT=300
5
.
设置缺省
umask
编辑
/etc/default/login
,修改
U
MASK=027
# UMASK sets the initial shell
file creation mode mask. See umask(1).
UMASK=027
修改:
恢复:
编辑
/etc/default/login
,注释
UMASK
p>
项
# UMASK sets the
initial shell file creation mode mask. See
umask(1).
#UMASK=027
6
.
检查是否每个用户都设置了密码
<
/p>
检查
/etc/passwd
和
/etc/shadow
,
每个用户的密码栏是否为空。
如果为
空,
就表示次用户没有设置密码。
必须要求次用户马上设置密码
。
一、
服务安全设置
1
.
禁止所有不需要的服务
以下服务应该
禁止(根据需要自己决定)
:
服务名
snmpdx
name-service-cache
Sendmail
telnet
ftp
禁用方法
svcadm
disable svc:/application/management/snmpdx:default
svcadm disable svc:/system/name-
service-cache:default
svcadm disable
svc:/network/smtp:sendmail
svcadm
disable svc:/network/telnet:default
svcadm disable svc:/network/ftp:default
备注
关闭
关闭
关闭
关闭
关闭
根据需要
autofs (Automounter)
svcadm
disable svc:/system/filesystem/autofs:default
-
-
-
-
-
-
-
-
-
上一篇:ubuntu下使用VI编辑文件必知的常用命令
下一篇:网件NETGEAR设置说明书