1、精品文檔1、應(yīng)按照用戶(hù)分配賬號(hào)。 避免不同用戶(hù)間共享賬號(hào)。避免用戶(hù)賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。結(jié)果：現(xiàn)網(wǎng)已實(shí)現(xiàn)2、應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。結(jié)果：現(xiàn)網(wǎng)已實(shí)現(xiàn)3、限制具備管理員權(quán)限的用戶(hù)遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶(hù)遠(yuǎn)程登錄后，再切換到管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。結(jié)果：可以實(shí)現(xiàn)編號(hào)： 安全要求-設(shè)備-SOLARIS -配置-3要求內(nèi)容限制具備超級(jí)管理員權(quán)限的用戶(hù)遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶(hù)遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí) 行相應(yīng)操作。操作指南1、參考配置操作，加上：編輯/etc/default/loginCONSO

2、LE=/dev/console # If CONSOLE is set, root can only login on that device.登錄，修改此sshroot用戶(hù)遠(yuǎn)程使用telnet登錄。用此項(xiàng)只能限制項(xiàng)不會(huì)看到效果的 、補(bǔ)充操作說(shuō)明2文件，將/etc/ssh/sshd_config從遠(yuǎn)程ssh登錄，修改如果限制root服務(wù)。PermitRootLogin no ,重啟sshdPermitRootLogin yes 改為 Solaris 8 上沒(méi)有該路徑/usr/local/etc 下有該文件 上有該路徑/文件Solaris 9檢測(cè)方法、判定條件 1 root遠(yuǎn)程登錄不成功，提示&

3、quot;Not on system console"；普通用戶(hù)可以登錄成功，而且可以切換到root用戶(hù)；2、檢測(cè)操作 root從遠(yuǎn)程使用登錄；telnet登錄；普通用戶(hù)從遠(yuǎn)程使用telnet ssh登錄；從遠(yuǎn)程使用root ssh登錄；普通用戶(hù)從遠(yuǎn)程使用、補(bǔ)充說(shuō)明3文件，將登錄，修改限制root從遠(yuǎn)程ssh/etc/ssh/sshd_config PermitRootLogin no ,重啟 sshd 服務(wù)。改為 PermitRootLogin yes4、對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少6位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少2類(lèi)。結(jié)果：現(xiàn)網(wǎng)已實(shí)現(xiàn)，可以

4、按照下面配置修改策略編號(hào)：安全要求-設(shè)備-通用-配置-4 精品文檔.精品文檔要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少6位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少2類(lèi)。操作指南1、參考配置操作vi /etc/default/passwd ,修改設(shè)置如下PASSLENGTH = 6 #設(shè)定最小用戶(hù)密碼長(zhǎng)度為6位MINALPHA=2 ; MINNONALPHA_1 # 表示至少包括兩個(gè)字母和一個(gè)非 字母；具體設(shè)置可以參看補(bǔ)充說(shuō)明。當(dāng)用root帳戶(hù)給用戶(hù)設(shè)定口令的時(shí)候不受任何限制，只要不超長(zhǎng)。2、補(bǔ)充操作說(shuō)明Solaris10默認(rèn)如下各行都被注釋掉，并且數(shù)值設(shè)置和解釋如下：MI

5、NDIFF=3 # Minimum differences required between an oldand a new password.MINALPHA=2 # Minimum number of alphacharacterrequired. MINNONALPHA=1 # Minimum number of non-alpha(including numeric and special) required.MINUPPER=0 # Minimumnumber of upper case lettersrequired. MINLOWER=0 # Minimum number of

6、lower case lettersrequired. MAXREPEATS=0 # Maximum number of allowableconsecutive repeating characters.MINSPECIAL=0 # Minimumnumber of special (non-alpha andnon-digit) characters required.MINDIGIT=0 # Minimum numberof digits required. WHITESPACE=YESSolaris8默認(rèn)沒(méi)有這部分的數(shù)值設(shè)置需要手工添加NIS系統(tǒng)無(wú)法生效，非 NIS系統(tǒng)或NIS+系統(tǒng)能

7、夠生效。檢測(cè)方法1、判定條件不符合密碼強(qiáng)度的時(shí)候，系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時(shí)候，可以成功設(shè)置；2、檢測(cè)操作1、檢查口令強(qiáng)度配置選項(xiàng)是否可以進(jìn)行如下配置：i.配置口令的最小長(zhǎng)度；ii.將口令配置為強(qiáng)口令。2、創(chuàng)建一個(gè)普通賬號(hào)，為用戶(hù)配置與用戶(hù)名相同的口令、 只包含字符或數(shù)字的簡(jiǎn)單口令以及長(zhǎng)度短于6位的口令，查看系統(tǒng)是否對(duì)口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符 號(hào)的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。3、補(bǔ)充說(shuō)明對(duì)于Solaris 8以前的版本， PWLEN對(duì)應(yīng)PASSLENGTH 等，需根精品文檔.精品文檔文件說(shuō)明確定。據(jù)/etc/default/passwd系統(tǒng)能

8、夠生效。NIS系統(tǒng)或NIS+NIS系統(tǒng)無(wú)法生效，非天。對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶(hù)口令的生存期不長(zhǎng)于905、結(jié)果：可以實(shí)現(xiàn),應(yīng)用賬號(hào)不建議實(shí)現(xiàn)，將會(huì)影響應(yīng)用系統(tǒng)；-5配置通用-編號(hào)：安全要求-設(shè)備要求內(nèi)容90對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶(hù)口令的生存期不長(zhǎng)于天。操作指南、參考配置操作 1 文件：vi /etc/default/passwd ） （Solaris 8&10MAXWEEKS=13 密碼的最大生存周期為13周；其它版本）（Solaris PWMAX= 90 #密碼的最大生存周期；2、補(bǔ)充操作說(shuō)明 對(duì)對(duì)應(yīng) MINWEEKS,PWMAX對(duì)于 Solaris 8 以前的

9、版本， PWMIN/etc/default/passwd文件說(shuō)明確定。應(yīng) MAXWEEKS 等，需根據(jù) NIS+ 系統(tǒng)能夠生效。系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS檢測(cè)方法1、判定條件 登錄不成功；2、檢測(cè)操作 90天的帳戶(hù)口令登錄；使用超過(guò)3、補(bǔ)充說(shuō)明 90天的設(shè)置縮短來(lái)做測(cè)試；測(cè)試時(shí)可以將系統(tǒng)能夠生效。NIS+NIS系統(tǒng)無(wú)法生效，非 NIS系統(tǒng)或5次（含對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶(hù)不能重復(fù)使用最近56、次）內(nèi)已使用的口令。結(jié)果：可以實(shí)現(xiàn)，不建議實(shí)現(xiàn)，應(yīng)用賬號(hào)無(wú)法單獨(dú)設(shè)置，將會(huì)影響應(yīng)用系統(tǒng)；-6-可選-通用-配置編號(hào)：安全要求-設(shè)備要求內(nèi)容使用戶(hù)不能重復(fù)應(yīng)配置設(shè)備，對(duì)于采

10、用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，次）內(nèi)已使用的口令。5次（含5使用最近操作指南、參考配置操作 1，修改設(shè)置如下vi /etc/default/passwd5 HISTORY = 2、補(bǔ)充操作說(shuō)明 #HISTORY sets the number of prior password changes to keep andSetting the HISTORY # check for a user when changing passwords.# value to zero (0), or removing/commenting out the flag will# cause all users&#

11、39; prior password history to be discarded at theNo password history will # next password change by any user.# be checked if the flag is not present or has zero value.# The maximum value of HISTORY is 26.系統(tǒng)能夠生效。NIS系統(tǒng)無(wú)法生效，非系統(tǒng)或NIS+NIS檢測(cè)方法、判定條件1精品文檔.精品文檔設(shè)置密碼不成功、檢測(cè)操作 2 ,設(shè)置如下 cat /etc/default/passwd5 = H

12、ISTORY 、補(bǔ)充說(shuō)明3的標(biāo)記，即不記錄以前的密碼默認(rèn)沒(méi)有 HISTORY 系統(tǒng)能夠生效。系統(tǒng)或 NIS+NIS系統(tǒng)無(wú)法生效，非 NIS6次（不含對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)超過(guò)67、,鎖定該用戶(hù)使用的賬號(hào)。次）結(jié)果：可以實(shí)現(xiàn)，不建議實(shí)現(xiàn)。應(yīng)用賬號(hào)無(wú)法單獨(dú)設(shè)置，賬號(hào)鎖定將會(huì)影響應(yīng)用系統(tǒng)，被鎖定，就需要光盤(pán)引導(dǎo)，因此該配置要慎rootroot賬號(hào)也在鎖定的限制范圍內(nèi)，一旦 用。-7-可選-通用-配置編號(hào)：安全要求-設(shè)備要求內(nèi)容應(yīng)配置當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備， 次），鎖定該用戶(hù)使用的賬號(hào)。6次（不含6數(shù)超過(guò)操作指南1、參考配置操作指定當(dāng)本

13、地用戶(hù)登陸失敗次數(shù)等于或者大于允許的 重試次數(shù)則賬號(hào)被鎖定：/etc/user_attrvivi /etc/security/policy.confLOCK_AFTER_RETRIES=YES 設(shè)置設(shè)置重試的次數(shù)：vi/etc/default/logino = 7#RETRIES行前的去掉，并將其值修改為RETRIES在文件中將保存文件退出。、補(bǔ)充操作說(shuō)明 2默認(rèn)值為：NO =LOCK_AFTER_RETRIESnolock_after-retries = 5次時(shí)被鎖定。RETRIES- 5 ,即等于或大于被鎖定，就需要光盤(pán)引賬號(hào)也在鎖定的限制范圍內(nèi)，一旦rootroot導(dǎo)，因此該配置要慎用。

14、 系統(tǒng)能夠生效。NIS系統(tǒng)或NIS+NIS系統(tǒng)無(wú)法生效，非檢測(cè)方法1、判定條件帳戶(hù)被鎖定，不再提示讓再次登錄；、檢測(cè)操作2并用新建的賬號(hào)通過(guò)錯(cuò)為其配置相應(yīng)的口令；創(chuàng)建一個(gè)普通賬號(hào)，66;次）誤的口令進(jìn)行系統(tǒng)登錄次以上（不含補(bǔ)充說(shuō)明2、被鎖定，就需要光盤(pán)引rootroot賬號(hào)也在鎖定的限制范圍內(nèi)，一旦導(dǎo)，因此該配置要慎用。NIS+NISNIS系統(tǒng)無(wú)法生效，非系統(tǒng)或系統(tǒng)能夠生效。精品文檔.精品文檔8、在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的業(yè)務(wù)需要，配置其所需的最小權(quán)限。結(jié)果：現(xiàn)網(wǎng)已實(shí)現(xiàn)9、設(shè)備應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶(hù)

15、使用的 IP地址。結(jié)果：現(xiàn)網(wǎng)已實(shí)現(xiàn)10、設(shè)備應(yīng)配置日志功能，記錄用戶(hù)對(duì)設(shè)備的操作，包括但不限于以下內(nèi)容：賬號(hào)創(chuàng)建、刪除 和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶(hù)的話(huà)費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉 及通信隱私數(shù)據(jù)。記錄需要包含用戶(hù)賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。結(jié)果：可以實(shí)現(xiàn)，但是磁盤(pán)空間不足，不建議實(shí)現(xiàn)編號(hào)： 安全要求-設(shè)備-SOLARIS-配置-15-可選要求內(nèi)容設(shè)備應(yīng)配置日志功能，記錄用戶(hù)對(duì)設(shè)備的操作，包括但不限于以下內(nèi) 容：賬號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置， 讀取和修改業(yè)務(wù)用戶(hù)的話(huà)費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。需 記錄要包含用戶(hù)賬號(hào)，操作時(shí)間，

16、操作內(nèi)容以及操作結(jié)果。操作指南1、參考配置操作這一功通過(guò)設(shè)置日志文件可以對(duì)每個(gè)用戶(hù)的每一條命令進(jìn)行紀(jì)錄，目錄下的 /usr/lib/acct能默認(rèn)是不開(kāi)放的，為了打開(kāi)它，需要執(zhí)行 ，/usr/lib/acct/accton /var/adm/pacctaccton 文件，格式如下user name。執(zhí)行讀取命令lastcomm2、補(bǔ)充操作說(shuō)明檢測(cè)方法、判定條件1能夠顯示出包含配置內(nèi)容中所要求的全部?jī)?nèi)容。2、檢測(cè)操作 # lastcomm user name 3、補(bǔ)充說(shuō)明11、設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器結(jié)果：可以實(shí)現(xiàn)。但需要一臺(tái)專(zhuān)用日志服務(wù)器（要求大容量磁盤(pán)空

17、間） 編號(hào)：安全要求-設(shè)備-通用-配置-14-可選要求內(nèi)容設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù) 器。操作指南1、參考配置操作修改配直文件 vi /etc/syslog.conf ,加上這一行：*可以將？?替換為你實(shí)際需要的日志信息。比如：kern.* / mail.*等等。可以將此處替換為實(shí)際的IP或域名。重新啟動(dòng)syslog服務(wù)，依次執(zhí)行下列命令：/etc/init.d/syslog stop精品文檔.精品文檔/etc/init.d/syslog start、補(bǔ)充操作說(shuō)明 2Tab之間為一個(gè)和 注意：*.* Solaris

18、10測(cè)試未成功；適用于 Solaris 9之 前版本，檢測(cè)方法1、判定條件將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉O(shè)備配置遠(yuǎn)程日志功能，務(wù)器。2、檢測(cè)操作查看日志服務(wù)器上的所收到的日志文件。3、補(bǔ)充說(shuō)明、12等加密協(xié)議。IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH、13對(duì)于使用 結(jié)果:現(xiàn)網(wǎng)已實(shí)現(xiàn)對(duì)于具備字符交互界面的設(shè)備，應(yīng)配置定時(shí)賬戶(hù)自動(dòng)登出。14、結(jié)果：可以實(shí)現(xiàn)-19-可選-設(shè)備-通用配置編號(hào)：安全要求-要求內(nèi)容對(duì)于具備字符交互界面的設(shè)備，應(yīng)配置定時(shí)帳戶(hù)自動(dòng)登出。操作指南1、參考配置操作 后面增加如下行：.profile文件中？卉？?卅婉？可以在 用戶(hù)的 /etc/profilevi $

19、TMOUT=180;export TMOUT改變這項(xiàng)設(shè)置后，重新登錄才能有效。、補(bǔ)充操作說(shuō)明2login 文件，如下：若修改了vi /etc/default/login# TIMEOUT sets the number of seconds (between 0 and 900) to waitbefore# abandoning a login session.TIMEOUT=300會(huì)話(huà)超shell這里的超時(shí)設(shè)置針對(duì)登錄過(guò)程，而不是登錄成功后的時(shí)設(shè)置。檢測(cè)方法、判定條件1若在設(shè)定時(shí)間內(nèi)沒(méi)有操作動(dòng)作，能夠自動(dòng)退出，即為符合；精品文檔.精品文檔、檢測(cè)操作2檢查帳戶(hù)是否在設(shè)定時(shí)間內(nèi)不進(jìn)行任何操作，

20、用root帳戶(hù)登錄后，登出。、補(bǔ)充說(shuō)明3WEB15、界面)的設(shè)備，應(yīng)配置定時(shí)自動(dòng)屏幕鎖定。對(duì)于具備圖形界面(含 結(jié)果：現(xiàn)網(wǎng)已實(shí)現(xiàn)可選配置-20-設(shè)備-通用-安全要求編號(hào):要求內(nèi)容界卸）的設(shè)備，應(yīng)配置定時(shí)自動(dòng)屏幕對(duì)于具備圖形界向（含WEB鎖定。操作指南1、參考配置操作style manager；（打印機(jī)右邊），打開(kāi)在CDE面板中 或者使用；style manager命令 #/usr/dt/bin/dtstyle可以調(diào)出 Screen選中Screen Saver onScreen Lock on、補(bǔ)充操作說(shuō)明2O手動(dòng)鎖屏幕方法：直接點(diǎn)擊桌面上的鎖圖標(biāo)、判定條件1檢測(cè)方法檢查屏幕被鎖定即為符合。登錄后，在設(shè)定時(shí)間內(nèi)不進(jìn)行任何操作，、檢測(cè)操作2登錄后,在設(shè)定時(shí)間內(nèi)不進(jìn)行任何操作，檢查屏幕是否被鎖定。、補(bǔ)充說(shuō)明3設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備相關(guān)的安全事件。、16 結(jié)果：現(xiàn)網(wǎng)已實(shí)現(xiàn)-24-可選通用-配置設(shè)備編號(hào)：安全要求-要求內(nèi)容設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備相關(guān)的安全事件。操作指南、參考配置操作 1，修改配直文件 vi /etc/syslog.conf配置如下類(lèi)似語(yǔ)句：/var/adm/messages*err;kern.debug;daemon.notice