|
使用Yassp工具包安装安全的Solaris系统(一)(1) 1、安装系统前的准备工作
2、系统的初始化安装
3、安装YASSP工具包
4、在/etc/vfsab文件中对mount文件系统加以限制
5、在Solaris 8中安装Sunscreen EFS防火墙
6、进一步增强系统的可靠性:路由、邮件、 解析及工具的设置
7、补丁
8、RPC
9、日志、Cron、权限
10、限制SUID类型的文件
11、安装完整性检查工具:如Tripwire
12、安装、检测并提高应用程序的可靠性
13、开始工作
1、安装系统前的准备工作
* 简化:建议在一台主机上只运行一至两种服务。使用多台服务器,而不要只用一台超级服务器去完成所有的工作。这样便于应用的隔离,可靠性的提高,也易于排错及进行软/硬件地升级。切记,只运行必要的程序。
* 硬件:考虑使用串囗终端安装系统。保证网络环境的可信以及封闭。
* 保证安全地下载软件:在一个封闭的或者没有对外路由的网络环境中,通过ftp与网络内部其它主机传送文件。如果网络并不是完全封闭的,要在文件传输完成后,马上断开网络的连接,以减小遭到攻击的机会。添加一个以/tmp为HOME目录的非特权用户专门用来在主机间传送文件。
* 清楚系统的用途、硬件的配置等。有时为了提高系统的可靠性可能会导致某些程序不能正常运行,如CDE/OpenWindows,Disksuite及Legato运行都需要RPC的支持,但是在用作为防火墙的主机上,要关闭RPC。
* 理解各种应用的工作方式非常重要(比如应用如何使用端囗、设备及文件),这样才可以判断哪些方面需要加强及存在的风险。
2、系统的初始化安装
连接串囗终端,加电,按下Stop-A键使主机进入到OK提示符模式,使用boot cdrom -install命令开始安装过程。
选择以最终用户包(end user bundle)或者核心包(core)模式进行安装,设置主机名,终端类型,IP地址,所在时区等,不要开启任何的命名服务,如NIS或NFS。不要打开电源管理或者mount远程文件系统。
注:对于Solaris 8系统,使用F4功能键可以对最终用户包内的软件进行定制。
分区注意的事项:
* 对于syslog、web、新闻、代理服务器或者防火墙过滤主机,要为其/var文件系统建立一个独立的,较大磁盘空间的分区。将要存储大量数据的服务器,如web或ftp服务器,也应该使用独立的分区存储其数据。
* 将/usr及/opt分区与根区分离,使得/usr及/opt分区可以使用只读(read-only)方式mount。
* 如果一定要使用Disksuite工具,设置RAID及磁盘镜像,需要为其保留5MB的磁盘空间。使用Veritas的文件卷管理,还需要额外的两个分区。
* 分区实例:
2GB硬盘,不在本地记录日志,将在/opt下安装大量程序
200MB /(root+var),200MB swap,400MB /usr,1.2GB on /opt
2GB硬盘,为程序保留最大空间,/var分区独立(使得日志文件不会把根区占满)
1.6GB /(root+usr+opt),200MB swap,200MB /var
9GB硬盘,主机提供服务
200MB /,500MB swap,2GB /usr,5GB /opt,1GB /var
| 
