系统安全策略.doc

教你怎么设置安全的SOLARIS系统一、、影像文件、组文件的权限  /etc/passwd必须所有用户都可读,root用户可写?rw-r?r?  /etc/shadow只有root可读?r--------  /etc/group必须所有用户都可读,root用户可写?rw-r?r?  移去或锁定那些系统帐号,比如sys、uucp、nuucp、listen、lp、adm等等,简单的办法是在/etc/shadow的password域中放上NP字符。还能考虑将/etc/passwd文件中的shell域设置成/bin/  修改/etc/default/passwd文件  MAXWEEKS=4口令至少每隔4星期更改一次  MINWEEKS=1口令至多每隔1星期更改一次  WARNWEEKS=3修改口令后第三个星期会收到快要修改口令的信息PASSLENGTH=6用户口令长度不少于6个字符二、。  执行命令#chmod-Rgo-w/  在/etc/default/login中设置  CONSOLE=/dev/。  Setuid是指设置程式的有效执行用户身份(uid)为该文件的属主,而不是调用该程式进程的用户身份。Setgid和之类似。Setuid和setgid用1s-1显示出来为s权限,存在于主人和属组的执行权限的位置上。系统设置特别权限,使用户执行某些命令时,具有root的执行权限,命令执行完成,root身份也随之消失。因此特别权限关系系统的安全,可执行命令#find/-perm-4000-print寻找系统中具有setuid权限的文件,存为列表文件,定时检查有没有这之外的文件被设置了setuid权限。  添加或编辑/etc/default/login文件如下:  SYSLOG=YES  syslog记录root的登陆失败,成功的情况。  添加或编辑/etc/default/login文件如下:  TIMEOUT=  添加或编辑/etc/default/login文件如下:  PASSREQ=  umask命令设置用户文件和目录的文件创建缺省屏蔽值,,,他告诉系统在创建文件时不给予什么存取许可.  安装设置完操作系统之后确认root的umask设置是077或027,执行  /usr/bin/umask[-S]确认。  UMASK=:  /etc/.login/etc/.profile/etc/skel/  /etc/skel/.8用户环境设置文件的PATH或LD_LIBRARY_PATH中移去“.”。  从如下的文件中移走”.”,确认root的PATH环境变量设置是安全的,应该只包含/usr/bin:/sbin:/usr/sbin,,这有助于对抗特洛伊木马。  #echo$PATH|grep":."确认  /.login/etc/.login /etc/default/login   /.cshrc/etc/skel/  /.profile /etc/skel/、  首先复制/etc/inet/。#cp/etc/inet/.,对于需要注释掉的服务在相应行开头标记“#”字符即可。  首先复制/etc/inet/services。#cp/etc/inet/services/etc/inet/,对于需要注释掉的服务在相应行开头标记“#”字符即可。、services中进行修改后,d进程的ID号,用kill向其发送HUP信号进行刷新。举例如