4、在/etc/vfsab文件中对安装文件系统做限制
在安装文件系统时,使用一些参数可以提高文件系统的安全性和鲁棒性 。使用mount命令检查哪些
参数生效,这些参数包括:nosuid、logging、noatime、size=xxxm、ro 。
Mount参数
OS版本
描 述
用 途
nosuid
2.x
关闭SUID程序及SUID设备
不允许存在SUID的/var、 /home或者数据磁盘分区及设备(建议使用chroot environments). 。如
果/tmp分区
不在磁盘上,此参数无效 。
logging
2.7或者更高版本
为分区记录transaction日志 。可以大提高文件系统检查的速度,特别是针对大容量的磁盘 。缺点
是需要耗费时间进行写log的操作 。
/usr /opt /home分区
建议除根区(如果使用了Veritas的VxVM)和对磁盘写性能要求非常高的分区外,都使用此参数 。
noatime
2.7或者更高版本
允许mount的文件系统,在每次访问文件时对文件节点号不做更新,这样可以显著提高某些服务,
如对大量小文件进行频繁IO操作的web cache或者新闻服务 。
/var或者文件频繁存取的分区 (web缓存或news分区) 。
size=100m
2.5.1 or later
允许/tmp分区只使用100MB的交换空间 。这个值通常取交换的30% 。
在mount /tmp时使用
ro
2.x
只读 。将文件系统mount成为只读只能对文件系统做有限制的保护(因为攻击者一旦取得root权限
,他可以将文件系统重新mount成读写) 。
可以缩短系统启动时,执行fsck的时间,提高性能的同时,可以避免管理员无意中的错误(如误
删除文件等) 。
/usr及/opt分区最好mount成为只读方式,但是将/usr分区mount成为只读方式的情况下,通常需
要将/usr/local建立的另外的分区上 。
在编辑vfstab文件时要特别小心,对/ 及/usr分区的错误改动可能会导致系统不能引导 。如果出
现这种情况,使用安装光盘将以单用户模式引导后,mount上有错误的磁盘,更正vfstab文件后,
reboot使改动生效 。
下面是vfstab文件的两个例子:
一个只有/及/var的服务器,操作系统是Solaris2.8
fd - /dev/fd fd - no -
/proc - /proc proc - no -
/dev/dsk/c0t3d0s1 - - swap - no logging
/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0 / ufs 1 no logging
/dev/dsk/c0t3d0s7 /dev/rdsk/c0t3d0s7 /var ufs 1 no logging,nosuid,noatime
swap - /tmp tmpfs - yes size=100m
有较多分区的服务器
fd - /dev/fd fd - no -
/proc - /proc proc - no -
swap - /tmp tmpfs - yes size=200m
/dev/dsk/c0t8d0s0 /dev/rdsk/c0t8d0s0 / ufs 1 no logging
/dev/dsk/c0t8d0s1 - - swap - no -
/dev/dsk/c0t8d0s4 /dev/rdsk/c0t8d0s4 /usr ufs 1 no logging
/dev/dsk/c0t8d0s6 /dev/rdsk/c0t8d0s6 /var ufs 1 no nosuid,noatime,logging
/dev/dsk/c0t8d0s5 /dev/rdsk/c0t8d0s5 /opt ufs 2 yes logging
5、在Solaris 8中安装Sunscreen EFS防火墙
安装本地防火墙对系统进行保护 。
1. 在Solaris 8系统的iPlanet CD#2光盘上,带有Sunscreen EFS的限制版 。也可以从Sun的主页
下载此版本 。
2. 对于老版本的Solaris系统,可以使用Ipfilter作为本机防火墙 。
Sunscreen EFS可以保护网络通信,下面使用命令行对防火墙规则的设置作简单介绍 。
* 防火墙的安装:在最终用户模式安装Solaris8系统,安装防火墙时,如果提示没有安装
SUNWsprot,需要用Solaris2号光盘先行安装:
pkgadd -d /cdrom/sol_8_sparc_2/Solaris_8/Product SUNWsprot
再使用iPlanet CD#2光盘,启动Sunscreen安装工具:
/cdrom/cdrom0/SunScreen/screenInstaller
除了Naming services=DNS(不使用NIS)外,其它选项都使用缺省设置 。
配置:设置简单的防火墙规则,找到正在运行的防火墙规则,显示缺省规则并对其进行编辑 。
#cd /opt/SUNWicg/SunScreen/bin;
推荐阅读
- 滴滴车票使用方法 滴滴车票怎么用
- 荣耀20i中设置应用锁的操作方法
- 也谈M630的使用心得
- 冻干粉使用方法和顺序
- solaris8学习资料 - 第二课
- 微信家庭医生签约小程序怎样用?微信家庭医生签约小程序使用方法
- 三 使用Yassp工具包安装安全的Solaris系统
- 驾照使用有效期是多久
- 二 性能调试---性能分析工具
- 什么叫LED