您的当前位置：首页 (整理)信息安全_风险评估_检查流程_操作系统评估检查表_Solaris_free.

(整理)信息安全_风险评估_检查流程_操作系统评估检查表_Solaris_free.

来源：99网

精品文档

技术脆弱性评估列表－Solaris主机评估

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果基本信息收集查看系统的版本信息、主机名及配置信息检查网卡数目与状态检查系统端口开放情况及路由以root权限，执行：uname -a hostname prtconf 陪同人员补充说明备注审核步骤/方法 1 2 以root权限，执行： ifconfig –a 查看网卡数目、网络配置、是否开启混杂监听模式。以root权限，执行： netstat –an netstat -rn 3 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目查看系统已经安装了哪些程序包审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法以root权限，执行： pkginfo 4 5 了解系统询问相关的管理员。备份情况、重点了解备份介质，方式，人员，是否有应急恢复制度等备份机制状况。补丁安装情况审核补丁安装情况 # patchadd -p 检查系统的补丁情况 # showrev -p 查看所有已经安装的patch 或 # ls /var/sadm/patch 或 ls /var/adm/patch 6 帐户口令安全检查passwd、 shadow及group文件检查有无 cat /etc/passwd cat /etc/shadow cat /etc/group 保存后检查文件执行：more /etc/defalut/login，确认存在如下行 7 8 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目对于login进行口令认证检查是否设置了口令最短长度要求 PASSREQ=YES 审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法 9 执行：more /etc/default/passwd，确认是否有如下设置： # 密码最短长度缺省是6，安全起见，设置为8(再长无用) PASSLENGTH=8 执行：more /etc/default/passwd，确认是否有以下设置： # 以天为单位，MAXWEEKS天后密码失效，缺省为空 MAXWEEKS=xx # 以天为单位，MINWEEKS天后才可以修改密码，缺省为空 MINWEEKS=yy 查看/etc/passwd中是否存在uucp,news等帐号以及确认拥有shell权限的帐号是否合理确认/usr/sadm/defadduser有以下类似配置内容： # 一个用户最多属于15个组 defgroup=15 # 缺省组 defgname=users 检查是否设置了口令过期策10 略无用帐号11 审核为新增用户配置安12 全模板精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法 # 缺省$HOME defparent=/export/home # 缺省初始设置文件来源 defskel=/etc/skel # 缺省shell defshell=/bin/bash # 帐号永不过期 definact=0 defexpire= 检查是否13 设置登录超时查看/etc/default/login文件，确认其中存在合理的设置，下面的举例为30秒 TIMEOUT=30 文件系统安全检查root14 的搜索路径检查/tmp15 目录的属执行：echo $PATH 检查root的$PATH环境变量中是否出现当前目录“.”。执行：ls -ld /tmp 查看执行结果是否如下：精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目性审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法 drwxrwxrwt 7 sys sys 496 6月 8 15:41 /tmp/ 确认有“t”的粘合位检查/var/adm/utmp、/var/adm/utmpx、/etc/group、/var/adm/var/adm/wtmp文件的权限应该是4 /utmp、/var/adm16 /utmpx、 /etc/group、/var/adm/wtmp文件的权限检查是否17 有属主非18 有效用户的文件/目录执行：find / -type f -nouser （检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法执行：find / -type f -nogroup （检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）执行：find /var/adm -type f -perm -2 （检查风险：/var/adm目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）检查是否19 有属组非20 有效组的文件/目录检查/var/adm目录下是否21 存在所有人可写文件检查22 /var/cron目录的属性检查是否存在所有23 人可写的目录检查属性24 为777的文件/目录检查/var/cron目录权限是否为：root:sys 755 执行：find / -type d -perm -2 | xargs ls -lasd （检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）执行：find / -type f -perm 777 | xargs ls -las （检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法执行：find / -type f -perm 666 | xargs ls -las （检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）执行：more /etc/rmmount.conf，查看是否做了如下设置 mount cdrom* hsfs -o nosuid mount floppy* ufs -o nosuid 检查属性25 为666的文件/目录检查移动介质上的26 文件系统安全配置检查/etc目录下所有27 文件的组可写权限检查/etc目录下所有28 文件的其他用户可写权限检查初始29 文件权限掩码配置执行：find /etc -type f -perm -0020 | xargs ls -las （检查风险：如果/etc目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）执行：find /etc -type f -perm -2 | xargs ls -las （检查风险：如果/etc目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）查看/etc/default/login文件中是否有如下配置： # 缺省设置是022，建议027或077 UMASK=027 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法查看root的掩码设置，确认/etc/profile文件中将umask设为077或者027 检查Root的文件权30 限掩码设置查看磁盘31 分区情况执行：df -k 网络服务安全检查/etc/inetd.c32 onf中的各项服务配置执行：more /etc/inetd.conf 查看是否禁止了部分不必要的、危险的服务。或者执行：grep –v “^#” /etc/inetd.conf 检查inetd.conf文件中所有有效的行检查telnet 执行：ps -ef |grep telnetd或ps -ef |grep sshd 33 & SSH服是否有输出 telnet localhost 务状况审核root用户远程34 telnet\\ftp登录查看/etc/default/login文件，确认其中存在以下配置： CONSOLE=/dev/console 则telnet不允许root远程登录精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法查看/etc/ftpusers文件，确认其中存在以下配置行： root 则ftp不允许root远程登录检查是否telnet35 或ssh等的登录IP 检查SSH36 的验证方式检查telnetd漏洞是否已经作了修37 补检查是否安装了tcp wrapper或者有防火墙或有交换机（路由器）的ACL进行保护，telnet或ssh等的登录IP。 Tcp wrapper的配置文件：/etc/hosts.deny & /etc/hosts.allow 检查sshd_config的登录方式，可能为密码，公钥等方式执行：showrev –p 查看telnetd相关的补丁编号patch id至少大于如下版本号 OS Version PatchID SunOS 5.8 110668-03 SunOS 5.8_x86 110669-03 SunOS 5.7 107475-04 SunOS 5.7_x86 107476-04 SunOS 5.6 106049-04 SunOS 5.6_x86 106050-04 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法检查是否使用了最新版本的ssh 执行：telnet localhost 22获得ssh的版本信息注意，端口可能不同，版本信息可能伪造，请询问管理员确认。执行：ps -ef | grep ftpd 查看返回同时与管理员确认是否开启ftp服务。 Wu-ftp和sun的ftpd通常查看/etc/ftpuser或/etc/ftpaccess的配置；或者查看是否通过了/etc/shells文件可使用FTP服务的用户；对于其他ftp请和管理员沟通。与管理员进行沟通了解（检查风险：经过严格测试后执行，建议采用sftp。）检查是否采用了最38 新版本的ssh服务软件检查是否39 开启FTP服务检查是否系统40 帐号使用ftp登录检查是否使用sftp或41 ssh代替标准ftpd 检查ftp服42 务软件版本是否存确认ftp版本号，以下版本存在漏洞 Wu-ftpd 2.6.1以下版本 Proftpd 1.20rc4以前版本精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目在漏洞查看是否开启了43 TCP/UDP服务 Sun ftpd 查看/etc/inetd.conf的配置，以及是否启用了inetd 审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法 cat /etc/inetd.conf ps -ef | grep inetd 查看是否查看是否存在 /etc/rc3.d/S71RPC 运行rpc服或者执行：rpcinfo –p localhost 查看有无输出 44 务，如果同时也需要查看/etc/inetd.conf查看都有哪些rpc服务开启。有，都有哪些rpc服务检查是否45 运行finger服务检查是否允许R系列服务，是46 否作了合理查看/etc/inetd.conf的配置，是否注释了如下行 finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd 查看/etc/inetd.conf的配置，是否注释了如下行 login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind shell stream tcp nowait root /usr/sbin/in.rshd in.rshd exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法 comsat dgram udp wait root /usr/sbin/in.comsat in.comsat talk dgram udp wait root /usr/sbin/in.talkd in.talkd 如果允许r服务的话，是否作了合理的：检查/etc/hosts.equiv，确保为空；以及$HOME/.rhosts、.netrc等文件。检查NFS47 的访问查看是否开启了48 automounter服务审核其他通过RC方49 式启动的服务查看NFS的配置文件/etc/export的设置是否指定了访问export目录的主机名称。执行：ls –alF /etc/auto_* ，查看执行结果；执行：ls –alF /etc/rc2.d/*autofs，查看执行结果查看 /etc/rc1.d /etc/rc2.d/ /etc/rc3.d/下所有文件。精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目检查SNMP服务状况审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法执行：ls –alF /etc/rc3.d/*snmp*，查看执行结果，确认是否运行SNMP服务；如果运行SNMP服务，应检查补丁安装情况。 Showrev -p检查相关补丁id是否至少大于如下id OS Version Patch ID SunOS 5.8 108869-16 SunOS 5.8_x86 108870-16 SunOS 5.7 107709-19 SunOS 5.7_x86 107710-19 SunOS 5.6 106787-18 SunOS 5.6_x86 106872-18 检查/etc/snmp/conf/snmpd.conf文件中community的设置。 50 检查SNMP 51 Community设置状况审核CDE52 服务的开启状况查看/etc/rc2.d/目录下是否存在 S99dtlogin文件。日志审计精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法查看所有的cron任务在/var/spool/cron/crontabs文件中你可以找到它们。同时需要查看是否配置了审计，执行：more /etc/default/cron 确认存在如下内容 CRONLOG=YES 执行：more /etc/default/login 确认其中存在如下内容: SYSLOG=YES 建议执行下述操作，实现对login行为的记录： touch /var/adm/loginlog chmod 600 /var/adm/loginlog chgrp sys /var/adm/loginlog 主要查看/etc/syslog.conf配置文件中是否设置了loghost 执行：more /etc/init.d/inetsvc 确认其中存在如下内容(一般在该文件最后) /usr/sbin/inetd -s -t & 审核cron行为，审核是否配置53 了审计功能对root用54 户的登录进行审计审核是否对Login行55 为作了记录 Syslog.conf56 的配置审核审核是否57 对inetd启动的TCP 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目服务的配置了日志记录功能安全增强配置审核系统和各类服务的banner设置状况（1）系统是否设置登录警告，执行：more /etc/issue （2） FTP登录信息，执行：more /etc/default/ftpd，确认文件相关配置是否作了改动：BANNER=XXXX (XXXX可以任意改变为任何一个版本信息)，将该系统版本信息屏蔽。（3） Telnet登录信息，执行：more /etc/default/telnetd，确认在文件中的加进以下一项BANNER=XXXX (XXXX可以任意改变为任何一个版本信息)，将该系统版本信息屏蔽。假如/etc/default/telnetd文件不存在，按如下步骤操作： touch /etc/default/telnetd echo \"BANNER=\\\"\\\"\">> /etc/default/telnetd 修改telnetd的属性 chmod 444 /etc/default/telnetd 审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法 58 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法执行：more /etc/system 查看文件中是否有如下设置： set noexec_user_stack = 1 set noexec_user_stack_log = 1 执行：eeprom 确认eeprom状态，查看是否有如下配置： security-mode=full 或 security-mode-command 查看/etc/default/kbd是否存在如下配置： KEYBOARD_ABORT=disable 或者查看在/etc/system文件是否存在如下配置： set abort_enable = 0 执行Pkginfo查看是否安装了ASET工具或者执行 whereis asset 查看有无该工具询问管理员是否安装了tripwire或者AIDE类似软件审核堆栈缓冲溢出59 攻击防护设置查看60 eeprom的状态设置 stop-a设置审核 61 检查ASET62 启用情况系统完整63 性保护的审核高级安全配置检查是否设置最安查看在/etc/default/inetinit中是否存在如下配置： TCP_STRONG_ISS=2 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目全的TCP初始序列号产生方式，以提高抗IP欺骗能力检查是否进行了缩短ARP缓65 存有效期的安全配置检查是否作了IP Stack优化，不响应66 广播icmp echo request报文询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/arp arp_cleanup_interval 检查返回值（以毫秒为单位，缺省值5分钟，建议60000）审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_respond_to_echo_broadcast 检查返回值，(系统缺省设置为1，表示响应广播ping，建议0) 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_forward_src_routed 检查返回值，（系统缺省设置为1，建议0，1表示允许IP源路由）询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_forwarding 检查返回值，系统缺省设置为1，建议0，如果此主机需要路由则应该为1 询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get ip_forward_directed_broadcasts 检查返回值，（系统缺省设置为1，建议0）检查是否作了IP 67 Stack优化，禁止IP源路由检查是否作了IP 68 Stack优化，禁止IP转发检查是否作了IP Stack优69 化，不转发定向广播IP报文检查是否作了IP 70 Stack优化，忽略 /dev/ip 询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_ignore_redirect 检查返回值，系统缺省设置为0，表示接受ICMP重定向精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目 ICMP重定向报文检查是否作了IP Stack优化，不响应71 广播icmp netmask request报文检查是否作了IP Stack优化，不响应72 广播icmp timestamp request报文报文，建议改为1 询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get ip_respond_to_address_mask_broadcast 检查返回值，（系统缺省设置为1，建议0）审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法 /dev/ip 询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get ip_respond_to_timestamp_broadcast 检查返回值，（系统缺省设置为1，建议0） /dev/ip 检查是否询问管理员是否专门做过IP Stack 优化调整； 73 作了IP 精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目审核人员审核日期审核结果 /dev/ip 陪同人员补充说明备注审核步骤/方法 Stack优或者执行：/usr/sbin/ndd -get 化，不响应ip_respond_to_timestamp 单播icmp 检查返回值，（系统缺省设置为1，建议0） timestamp request报文检查是否作了IP Stack优74 化，禁止发送ICMP重定向报文查看是否75 使用了静态ARP表检查是否禁止某个76 网络接口做ARP解析，提高抗询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_send_redirects 检查返回值，（系统缺省设置为1，建议0）与管理员沟通，询问是否使用arp -f方式使用了静态arp。与管理员沟通，询问是否使用 \"/sbin/ifconfig hme0 -arp\"命令禁止hme0接口做ARP解析，hme0接口不会发送/接收ARP报文。精品文档

精品文档

SOLARIS 安全审核

被审核部门序号审核项目 ARP欺骗能力检查是否作了IP Stack优77 化，以对抗SynFlood攻击 78

询问管理员是否专门做过IP Stack 优化调整；或者执行： /usr/sbin/ndd -get /dev/tcp tcp_conn_req_max_q /usr/sbin/ndd -get /dev/tcp tcp_conn_req_max_q0 检查返回值审核人员审核日期审核结果陪同人员补充说明备注审核步骤/方法精品文档

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文