1、对 Solaris 的测试有两种测试方法: 第一种方法是上传脚本,通过上传脚本可以将Unix 安全配置检查表-solaris 检查项目的第 1、2、3、4、6、7、8、9、10、11、13、14 可以通过脚本方式实现,而5、12 需要通过手工方式进行检查。 第二种方法是命令执行。如果我们无法运行脚本,就需要通过执行命令+拷屏(除日志外,其他所有的命令都需要全部拷屏)。我们对于每条命令都进行了说明和描述。第一种、脚本文件上传1. 将脚本文件通过 FTP 以文本方式(asc) 上传到 AIX 服务器的/tmp 目录下。# ftp Solaris_server_ip /以 ftp 方式登录到 Sol
2、aris 服务器上# 根据系统提示输入用户名和密码# asc /以 ascii 方式上传文件# cd /tmp /进入 tmp 目录# put script_file_name /将文件上传到 tmp 目录中# ls /检查文件是否已经成功上传script_file_name2. 以普通用户登录系统,然后以 su 切换到管理员用户。3. 将脚本文件的权限更改为可执行。# cd /tmp# chmod 777 script_file_name4. 执行脚本。# ./script_file_name5. 将执行结果 ftp 传回到我们的笔记本电脑上将 HOST.TIME.log(注意 HOST 为
3、被测试主机的主机名,TIME 为被测试主机的测试时间) ftp 传回到我们的笔记本电脑上以便于分析。我们可以举一个例子,如果被测试主机的名字叫 solarisfinance,我们测试的时间是 2006.04.16.10:20。那么会显示我们通过脚本抓下来文件 solarisfinance.142006041020.log。二、手工检查项目1应定期检查和更新系统安全修补程序的检查命令#showrev 查看服务器基本信息#showrev p对于 Solaris 系统来说,并不是补丁版本越高越好,有时候客户需要根据自己应用的情况升级补丁,有些补丁还可能与用户的应用冲突,所以即使用户补丁并非是最新版本
4、,也不是很大的问题,我们只需要给客户指出目前补丁状况,由客户自行决定是否需要升级。如果该文件很大,截屏困难,可以输出到一个文件中并拷贝下来。具体做法是:# showrev -p /tmp/showrev-p.txt2检查,Unix 服务器应安装安全的文件系统,DOS FAT、OS/2 、HPFS 或 NTFS 等文件系统不应安装在 UNIX 服务器上。# cat /etc/vfstab 或# cat /etc/mnttab 或# mount均可以查询所列出的 solaris 操作系统是否具有不合适的文件系统的格式。3所有对 Unix 服务器控制台进行的访问应经过严格的身份鉴别与验证,对每个被授
5、权访问的用户应采取用户名及密码的认证手段,或者采取其他有效的身份鉴别与验证手段。# cat /etc/passwd 我们可以通过查看 passwd 中的用户,并让操作系统管理员对其中的若干帐号实施登录,来验证每个账户是否采取了密码认证机制。命令可以查看 passwd 文件存在哪些用户,以及这些用户的口令是否经过了加密。每行第一部分是用户名,冒号后的第二部分是密码部分,如果被 shadow 了,我们只能看到*或者!由此,我们可以判定该文件是被 shadow 的,符合控制要求。4禁止直接以 root 登录,而是采用 su 命令临时切换。除管理员外,禁止一切用户通过 Unix 服务器控制台进行 sh
6、ell 级的访问。第一步:在 SUN 的 Solaris 系统上查看/etc/default/login (命令是#more /etc/default/login)文件,看看是否有下面这一行 :CONSOLE=/dev/console如果有上述记录,认定远程用户无法通过 root 直接登陆(默认情况下 Solaris 是没有此配置的),当然也包括 Solaris 的客户端图形界面。但使用 console 方式的还可以进行登录。需要执行第二步操作,确认操作系统管理员是否会直接通过 root 进行登录。第二步:#more /var/adm/sulog通过查看 sulog,确定 su 的过程。并通过
7、查看 sulog 确认系统管理员是否使用普通用户登录,再 su 切换到 root 用户。如果有 root-sybase,就是先用 root 登录后用 sybase,属于例外;如果是 sybase-root,则是先用 sybase 后 su 到 root 登录,属于有效控制。(每天的自动备份的登录,root-sybase,以及 sybase-root 登录除外,可以通过询问自动备份的开始时间和时间段,并查看 sulog 文件确认这一点)如果该文件很大,截屏困难,可以输出到一个文件中并拷贝下来。具体做法是:# more /var/adm/sulog /tmp/sulog.txt另外,由于 sulo
8、g 可能存在一些登录记录的问题,建议第二步可以通过查看 wtmp 文件获得确认。#who -a /var/adm/wtmp /tmp/wtmpx.txt/var/adm/wtmpx 文件所显示的每一个条目包含了:用户名,登陆设备,登陆的主机,日期和时间,总共用时。包括 reboot 时间。5管理员帐号与普通用户帐号不得混用,系统管理员具有两个用户帐号,一个作为系统的常规用户,执行阅读文档,收发电子邮件等常规性操作,另一个用作管理,即真正具有管理员效力的用户帐号。此部分的检查通过访谈来确定。并查看管理员是否可以用非 root 帐号进行登录。查看是否除了 sa、sybase、以及数据库管理员自定义
9、的用户,其他的用户是否属于系统用户(Solaris 系统安装时默认就安装的用户)。6任何密码设置应符合公司信息系统总体控制实施办法中关于密码设置的要求。# cat /etc/default/passwd 可以查看 Solaris 账户的密码策略。并做一个截屏。(1) PWWARN= 30 #设定离用户密码过期的天数为 30 天,当系统启动时提醒用户。(2)PWLEN= 8 #设定最小用户密码长度为 8 位。如果没有上述设置,就要判定为例外。78基本上都是查找第 7 点测试方法:以普通用户登录,用 cat 命令打开/etc/passwd 文件,检查普通用户(非 root 用户,或非管理员组用户)
10、是否具备打开此文件的权限,如果普通用户能够通过 cat 命令同时打开etc/passwd 文件和 /etc/shadow,则是“例外”;通过 su 命令切换到 root 用户,再次通过 cat 命令打开/etc/passwd 文件,检查用户密码域是否为*, 如果 passwd 文件已经 shadow 保护,则相应密码域应该是 “*”或是“NP ”或是一段经过加密的 13 位的字符(请参考下列截屏中的最后一行“admin:rAKEDpqd.NKsM:13238:”,“rAKEDpqd.NKsM”说明密码是经过加密的),就说明该控制点有效。否则,如果是能看懂的其他字符,则 passwd 文件未被
11、shadow 保护。第 8 点测试方法:#cat /etc/passwd查看所显示的第一列是否有Unix 服务器安全配置表中第八条所列的用户名,如果存在,则是例外。也可以使用以下命令查看 solaris 中的用户组(可以使用 alt+PtrSc 将所显示的内容注意拷屏,注意,如需翻页,可以按一下空格键)9取消普通用户的控制台访问权限,比如 shutdown、reboot 、halt 等命令#ls -l usr/sbin/shutdown#ls -l usr/sbin/halt#ls -l usr/sbin/reboot通过 find 命令查找 shutdown、reboot 和 halt 的路
12、径。1)、solaris 上述文件通常存储在/usr/sbin 目录下,查看该文件的属性#ls l /usr/sbin/shutdown2)、分析 shundown 命令的执行权限注意到-r-xr- 1 root shutdown 所显示的内容。你只需要确认“系统中的其他用户的权限”为“-”,就可以认定普通用户不具备执行shutdown、reboot、halt 等命令的权限。3)、同理,可以使用 ls l 察看该 reboot、halt 文件的属性。4)、其他系统(例如 linux、AIX 或 hp_ux),我们首先需要在其操作系统根目录下执行以下命令,确保当前目录是系统根目录#cd /5)、
13、查找 shutdown 系统命令所存储的路径(确保执行该命令时是 root 权限),并执行步骤13。#find / -name shutdown -print10Unix 服务器上只能安装应用必须的服务器程序,禁用所有不用的服务。#cat /etc/inetd.conf查看 inetd.conf 文件,所显示的内容是否包括,如uucp、finger、netstat 、echo 、discard 、chargen、imap 、pop、tftp、talk。如果不是十分需要这些服务,建议关闭掉,因为开启这些服务会带来巨大的安全风险。我们可以通过查看/etc/inetd.conf 文件来确认 sola
14、ris 是否开启了这些服务。如果这些命令前有加“#”的标志(#通常是注释),并询问用户这些服务的作用,就可以确认 solaris 已经禁用了不用的服务。如果该文件很大,截屏困难,可以输出到一个文件中并拷贝下来。具体做法是:#cat /etc/inetd.conf /tmp/inetdconf.txt下面的这个图片是 inetd.conf 文件的截屏,从该截屏中我们可以看到 echo、discard、chargen等服务没有关闭掉(#表示该行是注释,该服务不启用)。说明该控制点此项没有得到有效控制,属于例外。11确保 Unix 服务器的时间设置准确。#date拷屏时直接使用 PrtSc 键(而非
15、 alt+PrtSc 键) ,这是因为我们需要将该服务器的时间与终端登录的 Windows 时间拷贝到一个屏幕上。12对 Unix 服务器的远程管理访问应经过授权和验证。需要查看防火墙的配置,是否存在 VPN 连接。如果存在,通过查看防火墙本身配置或radius 或 tacaus 或 acs 服务器来确定 vpn 中的用户帐户并验证。此部分可以参考防火墙中VPN 配置及其账户的检测方法来实现。如果做了物理隔离,只能从内网访问服务器的话,此点可以不做测试。13操作系统和应用程序的帐号应正确配置以符合最小授权原则。第一种方法:#more /etc/security/group或#more /etc
16、/group查看管理员组中除了 root,是否还有其他用户。第二种方法:Solaris 下用 AdminTool 确认操作系统和应用程序的帐号应正确配置以符合最小授权原则。14所有生产运行环境中的 Unix 系统都应激活用户帐户登录请求日志记录功能。#ls -al /var/adm 查看 var/adm 有什么文件,做一个截屏。#cat /var/adm/syslog/syslog.log 查看日志中是否存在有问题的登录。(此点很多地区公司无法测试,因为没有配置该log 记录功能,可以不用截屏或是拷贝证据文件。不作为例外,但要作为建议向用户提出)# cat etc/security/failedlogin查看了每次登录失败的信息;(此点很多地区公司无法测试,因为没有配置该 log 记录功能,可以不用截屏或是拷贝证据文件)#cat /var/adm/lastlog /tmp/lastlog.txt记录每个系统用户最后一次成功和失败的登录信息。#who -a /var/adm/utmpx /tmp/utmpx.txt#who -a /var/adm/wtmp /tmp/wtmpx.txt记录系统中登陆的用户,并将结果输出()到对应的 txt 文件。注意,一定要将这些.txt 文件从目标服务器上拷贝下来。作为证据。
