-rw-r--r-- 1 7644 100 609792 Nov 20 06:54 wvtcpd_sparc
执行安装文件
./install.sh
依据提示安装下列工具:SECclean GNUrcs GNUgzip PARCdaily WVtcpd(包括rpcbind) PRFtripw
OPENssh
SECclean是一个脚本文件,它通过对文件权限的配置,tcp/ip的调整,关闭不必要的服务加
强系统的可靠性 。
Yassp beta#15中的问题:
1. SSH:
* Yassp在Solaris7及以前版本的系统中不安装SSH,只在Solaris8中安装 。
* Scp的服务器端需要如下设置:
chmod 755 /usr/local /opt/local
ln -s /usr/local/bin/scp /usr/bin/scp
2. Solaris 8 10/00版本的系统中,有一个新的守护进程"picld",是一种对客户端发布特定平台
信息的机制,picld进程负责维护及控制客户及内插模块对PICL(Platform Information and
Control Library)信息的访问 。
关闭此进程
mv /etc/rcS.d/S95picld /etc/rcS.d/.S95picld
mv /etc/init.d/picld /etc/init.d/.picld
3. Tocsin是Yassp内含的入侵检测工具,用来侦听网络数据包,缺省情况下不安装 。
pkgadd -d aubtocsin
配置YASSP
安装完YASSP后,首先浏览一下/etc/yassp.conf配置文件,带有注释,很容易理解 。查看
yassp.conf及yassp的man pages帮助 。一般情况下,除了SSH,不需要改动什么 。
1. 帐号
* 守护进程及用户(DEF_UMASK)的缺省umask值都被设置成为077,禁止组及全局访问 。在某些情
况下,可能需要将umask值改为027,使组可读 。
* cleanup_passwd脚本会关闭/usr/passwd文件中的用户帐号,但是不会删除他们 。Yassp.conf文
件中的USERDENIED变量包含缺省的列表 。加入非标准的应用帐号 。
* 如果确定删除某些帐号,将其加入yassp.conf文件中的USEDELETED变量项中,并从新执行
cleanup_passwd 。
注:此操作可能会产生无主文件或导致错误,如删除uucp将使tip命令不能使用 。
* ROOTALLOWED变量包含所有UID为0的帐号列表,cleanup_passwd会关闭所有列表之外的UID为0的
帐号 。
2. Cron:
* 非root用户需要使用at/cron命令时,需要编辑/etc/cron.d目录下的allow/deny文件 。
* root的cron列表将会被替换 。如果在安装yassp之前,你已经在cron中添加了条目,这些条目需
要重新加入,旧的cron列表备份于/yassp.bk目录中 。
* yassp的daily脚本用来整理日志记录,在cron中将其注释掉 。
3. SSH:Yassp将同时安装SSH的客户及服务器端
* 最新版本的SSH可以被“tcp wrapper"保护,因此使用前,要在/etc/hosts.allow文件中放开,
缺省是全部关闭 。
* SSH服务对所有主机开放,编辑/etc/hosts.allow加入
sshd : ALL
* 允许X11转发使用SSH,编辑/etc/hosts.allow加入
sshdfwd-X11 : LOCAL
* 提示:在hosts.allow/deny,SSH的规则中不要使用反向finger查询 。
* 在SSH中,通常使用"scp"传送文件 。" sftp"使用于新的SSH2中,如果需要,在
/etc/sshd_config中打开它,当然,由于这是一项新的功能,因此有可能会存在问题 。Subsystem
sftp /opt/local/libexec/sftp-server
* 不接受RSA用户认识,而只允许使用囗令 。
RSAAuthentication no
* 检查服务器(/etc/sshd_config)及客户端(/etc/ssh_config)其它的设置,如设置只允许特定
的用户使用SSH,禁止用守护进程的帐号使用SSH 。
4. Syslog:在Solaris8系统中,Yassp会以‘-t"参数启动syslog,因此它将不接受其它主机
syslog连接 。因此,如果你想使用一台中心log服务器,需要设置
SYSLOGFLAGS=""
5. 如果需要启动INETD服务,设置RUNINETD值为YES,并在/etc/inetd.conf中开放相应的服务 。
缺省情况下,yassp会关闭所有的服务 。如果确实需要,使用tcp wrapper,编辑
/etc/hosts.allow和/etc/hosts.deny文件中对访问服务进行限制 。
推荐阅读
- SOLRSI8下RAID1和RAID5的安装及恢复
- 3 Solaris9下安装vsftpd2.0.1详解
- Solaris10探营: 安装和基本配置
- Apache-2.0.45+php-4.3.1+mysql-4.1.0 在 Solaris 9.0 for x86 下的安装说明
- 2 Solaris9下安装vsftpd2.0.1详解
- 怎么往ps里安装字体
- 4 Solaris9下安装vsftpd2.0.1详解
- Sun Solaris 用户手册 -- 三.系统安装
- C Yassp工具包安装安全的 Solaris 系统
- Solaris 安装带颜色分辨的 ls