SOLARIS操作系统安全配置规范.doc

《SOLARIS操作系统安全配置规范.doc》由会员分享，可在线阅读，更多相关《SOLARIS操作系统安全配置规范.doc（31页珍藏版）》请在咨信网上搜索。

2008-01-01实施 2007-12-19发布 Solaris操作系统 安全配置规范 安全配置规范 Specification for Solaris OS Configuration Used in China Mobile 版本号：1.0.0 网络与信息安全规范编号:【网络与信息安全规范】·【第二层：技术规范·网元类】·【第2501号】 中国移动通信集团公司 发布 中国移动通信集团公司 第 2 页 共 31 页 中国移动SOLARIS操作系统安全配置规范 目录 1 概述 1 1.1 适用范围 1 1.2 内部适用性说明 1 1.3 外部引用说明 3 1.4 术语和定义 3 1.5 符号和缩略语 3 2 SOLARIS设备安全配置要求 3 2.1 账号管理、认证授权 3 2.1.1 账号 3 2.1.2 口令 6 2.1.3 授权 9 2.2 日志配置要求 12 2.3 IP协议安全配置要求 15 2.3.1 IP协议安全 15 2.3.2 路由协议安全 18 2.4 设备其他安全配置要求 20 2.4.1 屏幕保护 20 2.4.2 文件系统及访问权限 21 2.4.3 物理端口及EEPROM的口令设置 22 2.4.4 补丁管理 23 2.4.5 服务 24 2.4.6 内核调整 27 2.4.7 启动项 27 前言 本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位：中国移动通信有限公司网络部。 本标准解释单位：同提出单位。 本标准主要起草人：中国移动集团重庆公司 邓光艳13808304608 中国移动集团公司 陈敏时 13911773802 中国移动通信和ＩＴ设备通用安全配置规范 1 概述 1.1 适用范围 本规范适用于中国移动通信网、业务系统和支撑系统中使用SOLARIS操作系统的设备。本规范明确了SOLARIS操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的SOLARIS操作系统版本。 1.2 内部适用性说明 本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的Solaris操作系统安全配置要求。以下分项列出本规范对《通用规范》设备配置要求的修订情况： 编号 采纳意见 补充说明 安全要求-设备-通用-配置-1-可选 增强要求 安全要求-设备-SOLARIS-配置-1 安全要求-设备-通用-配置-2-可选 增强要求 安全要求-设备-SOLARIS-配置-2 安全要求-设备-通用-配置--3-可选 增强要求 安全要求-设备-SOLARIS-配置-3 安全要求-设备-通用-配置-4 完全采纳 安全要求-设备-通用-配置-5 完全采纳 安全要求-设备-通用-配置-6-可选 完全采纳 安全要求-设备-通用-配置-7-可选 完全采纳 安全要求-设备-通用-配置-9 完全采纳 安全要求-设备-通用-配置-12 完全采纳 安全要求-设备-通用-配置-13-可选 部分采纳,需要应用系统的支持 安全要求-设备-SOLARIS-配置-15-可选 安全要求-设备-通用-配置-24-可选 完全采纳 安全要求-设备-通用-配置-14-可选 完全采纳 安全要求-设备-通用-配置-16-可选 不采纳 需要采用第三方产品支持 安全要求-设备-通用-配置-17-可选 完全采纳 安全要求-设备-通用-配置-19-可选 完全采纳 安全要求-设备-通用-配置-20-可选 完全采纳 安全要求-设备-通用-配置-27-可选 完全采纳 本规范新增的安全配置要求，如下： 安全要求-设备-SOLARIS-配置-4-可选 安全要求-设备-SOLARIS-配置-5-可选 安全要求-设备-SOLARIS-配置-6 安全要求-设备-SOLARIS-配置-12-可选 安全要求-设备-SOLARIS-配置-13-可选 安全要求-设备-SOLARIS-配置-18-可选 安全要求-设备-SOLARIS-配置-19-可选 安全要求-设备-Solaris-配置-21-可选 安全要求-设备-Solaris-配置-22-可选 安全要求-设备-SOLARIS-配置-23-可选 安全要求-设备-SOLARIS-配置-24-可选 安全要求-设备-Solaris-配置-27-可选 安全要求-设备-SOLARIS-配置- 28-可选 安全要求-设备-SOLARIS-配置-30-可选 安全要求-设备-SOLARIS-配置-31-可选 安全要求-设备-Solaris-配置-32-可选 安全要求-设备-Solaris-配置-33 安全要求-设备-Solaris-配置-34-可选 安全要求-设备-Solaris-配置-35-可选 安全要求-设备-Solaris-配置-36-可选 安全要求-设备-Solaris-配置-PZ -37 本规范还针对直接引用《通用规范》的配置要求，给出了在Solaris操作系统上的具体配置方法和检测方法。 1.3 外部引用说明 《中国移动通用安全功能和配置规范》 1.4 术语和定义 1.5 符号和缩略语 （对于规范出现的英文缩略语或符号在这里统一说明。） 缩写 英文描述 中文描述 2 Solaris设备安全配置要求 本规范所指的设备为采用SOLARIS操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用SOLARIS操作系统的设备。 本规范从运行SOLARIS操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。 2.1 账号管理、认证授权 2.1.1 账号 编号： 安全要求-设备-SOLARIS-配置-1 要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。 2、补充操作说明 检测方法 1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 编号： 安全要求-设备-SOLARIS-配置-2 要求内容 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不 可删除的内置账号，包括root,bin等。 操作指南 1、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文件，用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 检测方法 1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 编号： 安全要求-设备-SOLARIS-配置-3 要求内容 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。 操作指南 1、 参考配置操作 编辑/etc/default/login，加上： CONSOLE=/dev/console # If CONSOLE is set, root can only login on that device. 此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的 2、补充操作说明 如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 Solaris 8上没有该路径 /usr/local/etc下有该文件 Solaris 9上有该路径/文件 检测方法 1、判定条件 root远程登录不成功，提示“Not on system console”； 普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 编号： 安全要求-设备-SOLARIS-配置-4-可选 要求内容 根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。 操作指南 1、参考配置操作 创建帐户组： #groupadd –g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号； #usermod –g group username #将用户username分配到group组中。 查询被分配到的组的GID：#id username 可以根据实际需求使用如上命令进行设置。 2、补充操作说明 可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。 当group_name字段长度大于八个字符，groupadd命令会执行失败； 当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行； 检测方法 1、判定条件 可以查看到用户账号分配到相应的帐户组中； 或都通过命令检查账号是否属于应有的组： #id username 2、检测操作 查看组文件：cat /etc/group 3、补充说明 文件中的格式说明： group_name::GID:user_list 编号： 安全要求-设备-SOLARIS-配置-5-可选 要求内容 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。 操作指南 1、参考配置操作 禁止账号交互式登录： 修改/etc/shadow文件，用户名后密码列为NP； 删除账号：#userdel username; 2、补充操作说明 禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 检测方法 1、判定条件 被禁止账号交互式登录的帐户远程登录不成功； 2、检测操作 用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出； 3、补充说明 2.1.2 口令 编号： 安全要求-设备-通用-配置-4 要求内容 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 操作指南 1、参考配置操作 vi /etc/default/passwd ，修改设置如下 PASSLENGTH = 6 #设定最小用户密码长度为6位 MINALPHA=2；MINNONALPHA=1 #表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。 当用root帐户给用户设定口令的时候不受任何限制，只要不超长。 2、补充操作说明 Solaris10默认如下各行都被注释掉，并且数值设置和解释如下： MINDIFF=3 # Minimum differences required between an old and a new password. MINALPHA=2 # Minimum number of alpha character required. MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required. MINUPPER=0 # Minimum number of upper case letters required. MINLOWER=0 # Minimum number of lower case letters required. MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters. MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required. MINDIGIT=0 # Minimum number of digits required. WHITESPACE=YES Solaris8默认没有这部分的数值设置需要手工添加 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 检测方法 1、判定条件 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。 3、补充说明 对于Solaris 8以前的版本，PWLEN对应PASSLENGTH等，需根据/etc/default/passwd文件说明确定。 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 编号： 安全要求-设备-通用-配置-5 要求内容 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。 操作指南 1、参考配置操作 vi /etc/default/passwd文件： MAXWEEKS=13密码的最大生存周期为13周；（Solaris 8&10） PWMAX= 90 #密码的最大生存周期；（Solaris 其它版本） 2、补充操作说明 对于Solaris 8以前的版本，PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等，需根据/etc/default/passwd文件说明确定。 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 检测方法 1、判定条件 登录不成功； 2、检测操作 使用超过90天的帐户口令登录； 3、补充说明 测试时可以将90天的设置缩短来做测试； NIS系统无法生效，非NIS系统或NIS+系统能够生效。 编号： 安全要求-设备-通用-配置-6-可选 要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。 操作指南 1、参考配置操作 vi /etc/default/passwd ，修改设置如下 HISTORY＝5 2、补充操作说明 #HISTORY sets the number of prior password changes to keep and # check for a user when changing passwords. Setting the HISTORY # value to zero (0), or removing/commenting out the flag will # cause all users' prior password history to be discarded at the # next password change by any user. No password history will # be checked if the flag is not present or has zero value. # The maximum value of HISTORY is 26. NIS系统无法生效，非NIS系统或NIS+系统能够生效。 检测方法 1、判定条件 设置密码不成功 2、检测操作 cat /etc/default/passwd ，设置如下 HISTORY＝5 3、补充说明 默认没有HISTORY的标记，即不记录以前的密码 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 编号： 安全要求-设备-通用-配置-7-可选 要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 操作指南 1、参考配置操作 指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定： vi /etc/user_attr vi /etc/security/policy.conf 设置LOCK_AFTER_RETRIES=YES 设置重试的次数： vi /etc/default/login 在文件中将RETRIES行前的#去掉，并将其值修改为RETRIES＝7。 保存文件退出。 2、补充操作说明 默认值为： LOCK_AFTER_RETRIES＝NO lock_after-retries＝no RETRIES= 5，即等于或大于5次时被锁定。 root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 检测方法 1、判定条件 帐户被锁定，不再提示让再次登录； 2、检测操作 创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）； 2、 补充说明 root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 2.1.3 授权 编号： 安全要求-设备-通用-配置-9 要求内容 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 操作指南 1、参考配置操作 通过chmod命令对目录的权限进行实际设置。 2、补充操作说明 etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 必须所有用户都可读，root用户可写 –rw-r—r— 使用如下命令设置： chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外） 执行命令#chmod -R go-w /etc 检测方法 1、判定条件 1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行； 2、记录能够配置的权限选项内容； 3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。 2、检测操作 1、利用管理员账号登录系统，并创建2个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项； 3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现； 4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。 3、补充说明 编号： 安全要求-设备-SOLARIS-配置-12-可选 要求内容 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 操作指南 1、 参考配置操作 设置默认权限： vi /etc/default/login在末尾增加umask 027 修改文件或目录的权限，操作举例如下： #chmod 444 dir ; #修改目录dir的权限为所有人都为只读。 根据实际情况设置权限； 2、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。 检测方法 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下： #ls -l dir ; #查看目录dir的权限 #cat /etc/default/login 查看是否有umask 027内容 3、补充说明 umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。 umask的计算： umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。 编号： 安全要求-设备-SOLARIS-配置-13-可选 要求内容 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。 操作指南 1、参考配置操作 a. 限制某些系统帐户不准ftp登录: 通过修改ftpusers文件，增加帐户 #vi /etc/ftpusers #Solaris 8 #vi /etc/ftpd/ftpusers #Solaris 10 b. 限制用户可使用FTP不能用Telnet，假如用户为ftpxll 创建一个/etc/shells文件, 添加一行 /bin/true; 修改/etc/passwd文件，ftpxll:x:119:1::/home/ftpxll:/bin/true 注：还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能够登录ftp c. 限制ftp用户登陆后在自己当前目录下活动 编辑ftpaccess，加入如下一行restricted-uid *(限制所有)， restricted-uid username（特定用户） ftpaccess文件与ftpusers文件在同一目录 d. 设置ftp用户登录后对文件目录的存取权限，可编辑/etc/ftpd/ftpaccess。 chmod no guest,anonymous delete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous 2、补充操作说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许ftp登陆的。 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 检测方法 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下： #more /etc/ftpusers #Solaris 8 #more /etc/ftpd/ftpusers #Solaris 10 #more /etc/passwd #more /etc/ftpaccess #Solaris 8 #more /etc/ftpd/ftpaccess #Solaris 10 3、补充说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许ftp登陆的。 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 2.2 日志配置要求 本部分对SOLARIS操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。 编号： 安全要求-设备-通用-配置-12 要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 操作指南 1、参考配置操作 修改文件：vi /etc/default/login ，设置SYSLOG=YES。, SOLARIS10是wtmpx文件,Solaris8 是wtmp,wtmps,文件中记录着所有登录过主机的用户，时间，来源等内容，这两个文件不具可读性，可用last命令来看。 2、补充操作说明 检测方法 1、判定条件 列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。 2、检测操作 查看文件：more /etc/default/login 中的SYSLOG=YES /var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户，时间，来源等内容，该文件不具可读性，可用last命令来看。 # last 3、补充说明 如果/var/adm/wtmpx或者wtmp,wtmps文件会增长很快，大小达到2G以上，可先压缩，FTP出来后，删除该文件，再创建空文件，一定要创建空文件，否则可能出现系统无法启动。 编号： 安全要求-设备-SOLARIS-配置-15-可选 要求内容 设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号，操作时间，操作内容以及操作结果。 操作指南 1、参考配置操作 通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下/usr/lib/acct/accton /var/adm/pacct， 执行读取命令lastcomm [user name]。 2、补充操作说明 检测方法 1、判定条件 能够显示出包含配置内容中所要求的全部内容。 2、检测操作 # lastcomm [user name] 3、补充说明 编号： 安全要求-设备-通用-配置-24-可选 要求内容 设备应配置日志功能，记录对与设备相关的安全事件。 操作指南 1、参考配置操作 修改配置文件vi /etc/syslog.conf， 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 2、补充操作说明 检测方法 1、判定条件 查看/var/adm/messages，记录有需要的设备相关的安全事件。 2、检测操作 修改配置文件vi /etc/syslog.conf， 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 3、补充说明 编号： 安全要求-设备-通用-配置-14-可选 要求内容 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。 操作指南 1、参考配置操作 修改配置文件vi /etc/syslog.conf， 加上这一行：   *.*   @192.168.0.1 可以将"*.*"替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。 可以将此处192.168.0.1替换为实际的IP或域名。 重新启动syslog服务，依次执行下列命令： /etc/init.d/syslog stop /etc/init.d/syslog start 2、补充操作说明 注意： *.*和@之间为一个Tab 适用于Solaris 9 之前版本，Solaris 10测试未成功； 检测方法 1、判定条件 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。 2、检测操作 查看日志服务器上的所收到的日志文件。 3、补充说明 编号： 安全要求-设备-SOLARIS-配置-18-可选 要求内容 设备应配置日志功能，记录用户使用SU命令的情况，记录不良的尝试记录。 操作指南 1、参考配置操作 修改文件：vi /etc/default/su 设置SYSLOG=YES. 使用以下方法使尝试登录失败记录有效： 　　touch /var/log/loginlog; 　　chmod 600 /var/log/loginlog; 　　chgrp sys /var/log/loginlog 查看sulog日志，记载着普通用户尝试su成为其它用户的纪录， more /var/adm/sulog 2、补充操作说明 它的格式为： 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户 检测方法 1、判定条件 有类似如下格式记录： SU 01/01 00:30 + console root-root 或 SU 08/20 13:44 + pts/2 xll-root 2、检测操作 查看sulog日志，记载着普通用户尝试su成为其它用户的纪录 more /var/adm/sulog 3、补充说明 它的格式为： 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户 编号： 安全要求-设备-SOLARIS-配置-19-可选 要求内容 系统上运行的应用/服务也应该配置相应日志选项，比如cron。 操作指南 1、参考配置操作 对所有的cron行为进行审计： 在 /etc/default/cron里设置"CRONLOG=yes" 来记录corn的动作。 2、补充操作说明 检测方法 1、判定条件 日志中能够列出相应的应用/服务的详细日志信息； 2、检测操作 查看日志存放文件，如cron的日志：more /var/cron/log 3、补充说明 2.3 IP协议安全配置要求 2.3.1 IP协议安全 编号： 安全要求-设备-通用-配置-17-可选 要求内容 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。 操作指南 1、参考配置操作 Solaris 10以前的版本需另外安装，才能使用SSH。 Solaris 10启用SSH的命令：svcadm enable ssh Solaris 10禁用Telnet的命令：svcadm disable telnet Solaris 8 如果安装openssh 正常可以通过#/etc/init.d/sshd start来启动SSH; 通过#/etc/init.d/sshd stop来停止SSH 2、补充操作说明 查看SSH服务状态： # ps –elf|grep ssh Solaris 10还可以通过命令： # svcs -a |grep ssh 若为online，即为生效。 检测方法 1、 判定条件 # ps –elf|grep ssh 是否有ssh进程存在 Solaris 10还可以通过命令# svcs -a |grep ssh SSH服务状态查看结果为：online telnet服务状态查看结果为：disabled 2、检测操作 查看SSH服务状态： # ps –elf|grep ssh 查看telnet服务状态： # ps –elf|grep telnet 3、补充说明 查看SSH服务状态： Solaris 10还可以使用 # svcs -a |grep ssh 查看telnet服务状态： Solaris 10还可以使用 # svcs -a |grep telnet 编号： 安全要求-设备-SOLARIS-配置-21-可选 要求内容 设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。 操作指南 1、参考配置操作 开放的服务列表 SOLARIS8&9命令: # cat /etc/inetd.conf SOLARIS10命令:inetadm 开放的端口列表 命令: # netstat -an 服务端口和进程对应表： 命令：cat /etc/services 2、补充操作说明 ftp-data 20/tcp ftp 21/tcp ssh 22/tcp telnet 23/tcp smtp 25/tcp pop2 109/tcp pop3 110/tcp imap 143/tcp ldap 389/udp tftp