云南龙网

  1. 首页 > 云知道 > >

A Yassp工具包安装安全的 Solaris 系统

云知道

【A Yassp工具包安装安全的 Solaris 系统】
1、安装系统前的准备工作
2、系统的初始化安装
3、安装YASSP工具包
4、在/etc/vfsab文件中对mount文件系统加以限制
5、在Solaris 8中安装Sunscreen EFS防火墙
6、进一步增强系统的可靠性:路由、邮件、 解析及工具的设置
7、补丁
8、RPC
9、日志、Cron、权限
10、限制SUID类型的文件
11、安装完整性检查工具:如Tripwire
12、安装、检测并提高应用程序的可靠性
13、开始工作

1、安装系统前的准备工作
* 简化:建议在一台主机上只运行一至两种服务 。使用多台服务器,而不要只用一台超级服务器

去完成所有的工作 。这样便于应用的隔离,可靠性的提高,也易于排错及进行软/硬件地升级 。切

记,只运行必要的程序 。
* 硬件:考虑使用串囗终端安装系统 。保证网络环境的可信以及封闭 。
* 保证安全地下载软件:在一个封闭的或者没有对外路由的网络环境中,通过ftp与网络内部其它

主机传送文件 。如果网络并不是完全封闭的,要在文件传输完成后,马上断开网络的连接,以减

小遭到攻击的机会 。添加一个以/tmp为HOME目录的非特权用户专门用来在主机间传送文件 。
* 清楚系统的用途、硬件的配置等 。有时为了提高系统的可靠性可能会导致某些程序不能正常运

行,如CDE/OpenWindows,Disksuite及Legato运行都需要RPC的支持,但是在用作为防火墙的主机

上,要关闭RPC 。
* 理解各种应用的工作方式非常重要(比如应用如何使用端囗、设备及文件),这样才可以判断哪

些方面需要加强及存在的风险 。

2、系统的初始化安装
连接串囗终端,加电,按下Stop-A键使主机进入到OK提示符模式,使用boot cdrom -install命令

开始安装过程 。
选择以最终用户包(end user bundle)或者核心包(core)模式进行安装,设置主机名,终端类型,

IP地址,所在时区等,不要开启任何的命名服务,如NIS或NFS 。不要打开电源管理或者mount远程

文件系统 。
注:对于Solaris 8系统,使用F4功能键可以对最终用户包内的软件进行定制 。

分区注意的事项:
* 对于syslog、web、新闻、代理服务器或者防火墙过滤主机,要为其/var文件系统建立一个独立

的,较大磁盘空间的分区 。将要存储大量数据的服务器,如web或ftp服务器,也应该使用独立的

分区存储其数据 。
* 将/usr及/opt分区与根区分离,使得/usr及/opt分区可以使用只读(read-only)方式mount 。
* 如果一定要使用Disksuite工具,设置RAID及磁盘镜像,需要为其保留5MB的磁盘空间 。使用

Veritas的文件卷管理,还需要额外的两个分区 。
* 分区实例:
2GB硬盘,不在本地记录日志,将在/opt下安装大量程序
200MB /(root var),200MB swap,400MB /usr,1.2GB on /opt
2GB硬盘,为程序保留最大空间,/var分区独立(使得日志文件不会把根区占满)
1.6GB /(root usr opt),200MB swap,200MB /var
9GB硬盘,主机提供服务
200MB /,500MB swap,2GB /usr,5GB /opt,1GB /var

系统重启

为root设置一个不易破解的囗令(7到8位,包含数字、字母及标点符号) 。安装过程将保留在

/var/sadm/install_data/install_log文件中 。
以最终用户包模式安装时,需要手工安装帮助文件(man pages) 。如果用核心包模式安装,为了使

用帮助文件,还需要安装SUNWlibc包:
cd /cdrom/cdrom0/s0/Solaris_2.6/Product;
pkgadd -d . SUNWman SUNWdtma SUNWjvman SUNWpmowm SUNWolman SUNWxwman
cd /cdrom/cdrom0/s0/Solaris_2.7/Product;
pkgadd -d . SUNWman SUNWdtmaz SUNWdtma SUNWjvman SUNWpmowm SUNWxwman

推荐阅读


上一篇:冬季土豆常见虫害危害症状及防治

下一篇:五月节是多少号