list address "*"RANGE 0.0.0.0 255.255.255.255 "le0.net"RANGE 176.17.17.0 176.。二 使用Yassp工具包安装安全的Solaris系统( 二 )。" />

云南龙网

  1. 首页 > 云知道 > >

二 使用Yassp工具包安装安全的Solaris系统( 二 )

云知道


#./ssadm active
Active configuration:www default Initial.2
#./ssadm edit Initial
edit>list rule
1 "common""*""*"ALLOW
edit>list address
"*"RANGE 0.0.0.0 255.255.255.255
"le0.net"RANGE 176.17.17.0 176.17.17.255
"localhost"HOST
"smtp-server"HOST 1.1.1.1
"www_le0"GROUP{}{}
edit>list service common
"commom"GROUP"tcp all""udp all""syslog""dns""rpc all""nfs prog""icmp

all""rip""ftp""real audio""pmap udp all""pmap tcp all""rpc tcp

all""nis""archIE""traceroute""ping"
可以看出,缺省的规则让很少的服务通过 。

我们假设在设置一台HTTPD服务器(在80端囗),并使用SSH进行管理 。允许使用ping和

traceroute命令进行初步的错误检查 。我们需要如下设置防火墙的规则:
#./ssadm edit Initial
edit>add service ssh SINGLE FORWARD "tcp" PORT 22
edit>add service myhttp GROUP ping traceroute ssh www
edit>replace rule 1 ALLOW myhttp"*""*"
edit>list rule
1 "myhttp""*""*"ALLOW
edit>save
edit>verify
Configuration verified successfully(not activated)
edit>quit
www#./ssadm activate Initial
Configuration activated successfully on www
* 在一台管理机上,允许使用ssh和smtp(用来email报警),可以对外使用ping/traceroute,进行

检查,为降低风险,只响应其它管理主机的ping/traceroute请求 。允许通过HTTPS及使用dns查询


# cd /opt/SUNWicg/SunScreen/bin;
# ./ssadm edit Initial
edit> add address mgt_net RANGE 176.17.17.0 176.17.17.255
edit> add service mgt GROUP ping traceroute ssh
edit> add service https SINGLE FORWARD"tcp" PORT 443
edit> add service outgoing GROUP ping traceroute dns
edit>
edit> replace rule 1 ALLOW www "*" localhost
edit> replace rule 2 ALLOW https "*" localhost
edit> replace rule 3 ALLOW mgt mgt_net localhost
edit> replace rule 4 ALLOW outgoing localhost "*"
edit> replace rule 5 ALLOW smtp localhost mgt_net
edit>
edit> save
edit> verify
Configuration verified successfully (not activated).
# ./ssadm activate Initial
Configuration activated successfully on www.
检查网络连接,确定改动的规则已经生效 。如果要恢复初始设置,将所有的规则删除后,加入下

面一行:
replace rule 1 ALLOW "common""*""*"

最后,关闭防火墙的远程图形管理功能,只使用"ssadm"命令行工具进行管理 。
注释掉/etc/rc2.d/S63sunscreen文件中的下面一行:
$SS_LIBDIR/run_httpd start efshttpd
在/opt/SUNWicg/SunScreen/lib/ss_boot中,注释掉:
$SS_LIBDIR/ssadmserver star>/dev/console 2>&1

6、进一步增强系统的可靠性:路由、邮件、 解析及工具的设置
到此,系统已经进行了初步的加固,以root方式登录 。
* 设置路由
* 对于缺省路由,将网关的IP地址添加到/etc/defaultrouter文件中 。
* 对于静态路由,使用route命令创建/etc/init.d/static_routes文件及

/etc/rc2.d/S99static_routes符号连接
* 清空路由表,为特定网络指定路由,如:
route -f add net 129.97 `cat /etc/defaultrouter`
* 如果需要运行路由守护进程(不建议使用),要清楚其工作原理,否则它可能会导致你网络通信

的不正常 。使用"-q"参数的“安静”模式(quiet mode),或者在使用ifconfig命令配置网络接囗

设备时,使用"private"参数,告诉网络接囗设备不要对外广播路由信息 。运行“安静”模式,要

在/etc/yassp.conf文件中设置SUNSTARTUP=YES并确定没有设置缺省路由 。
* 配置/etc/hosts文件,添加不想通过DNS解晰的服务器名 。
* DNS客户端:(对于关键任务的主机不要设置)在/etc/resolv.conf文件中添加域名及DNS服务器

名,在/etc/nsswitch.conf文件中hosts行添加DNS条目 。
* 环境的设置:在/.cshrc /.profile:设置aliases和变量(如VISUAL,EDITOR和PATH,路径的环境

推荐阅读


上一篇:奶牛镇的小时光螃蟹玩偶在哪

下一篇:视频王中王卡是什么 看视频免流量?