如何提高Disksuite的安全性
Disksuite是系統(tǒng)內(nèi)置的工具，用來做磁盤鏡象及設(shè)置RAID 。它需要RPC的支持（在inetd中運(yùn)行的

rpc.metamhd和rpc.metad） 。
1． 盡量不運(yùn)行Disksuite
* 硬件RAID的好處在于不需要特殊的軟件支持 。這對于對安全性要求較高的系統(tǒng)十分有利 。而且

當(dāng)出現(xiàn)問題時(shí)，你會發(fā)現(xiàn)Disksuite并不是太容易使用的 。
* 對于象是系統(tǒng)盤等，數(shù)據(jù)并不會頻繁變動的系統(tǒng)盤，作鏡像（cold mirroring）就足夠了,使用

腳本mirror_boot.sh可以完成此項(xiàng)工作 。
2． 運(yùn)行Disksuite，但是停止RPC服務(wù) 。停止inetd.conf中的"metad"服務(wù)會引起以下結(jié)果：
* "metatool"將不會工作，但是命令行工具還可以運(yùn)行 。為了應(yīng)付系統(tǒng)盤的災(zāi)難性錯誤，最好了

解這些命令行工具 。
* Disksets-系統(tǒng)間共享的metadevices將不能使用 。
3． 如果使用Disksuite和RPC，使用WIEtse Venema的RPCBIND 。

* Solaris8系統(tǒng)自帶的Sunscreen EFS Lite Firewall可以用來對rpc服務(wù)的存取進(jìn)行限制 。
* IPfilter也可以用來做限制RPC服務(wù)訪問的本地防火墻 。
* IPfilter可以在8以前的老版本的Solaris上運(yùn)行，并且是免費(fèi)的 。
* It"s doesn"t have an RPC state based engine though(so it can"t filter on RPC

program names or allow RPC to specific destinations) 。
* But it can be used to allow all localhost RPC traffic(enough for some RPC

applications such as Disksuite or CDE)and deny all remote traffice except,say,HTTP or

whatever service is provided to remote hosts 。
* 使用Wietse Venema的rpcbind(包含在Yassp的tarball里)，可以提供類似tcp wrapper的訪問控

制和日志記錄 。Rpcbind是一種“目錄”服務(wù)用來定位某一種服務(wù)（通過RPC名或者RPC號） 。因?yàn)?

它并不是連接服務(wù)的中介，因此它并不能真正為RPC程序提供訪問控制 。用端囗掃描器可以檢測激

活的RPC服務(wù)，除非內(nèi)核被定制成過濾這些連接，否則并不能防止對服務(wù)的訪問 。

9、日志、Cron、許可
配置日志及pruning:
* Syslog日志：Yassp使用修改過的/etc/syslog.conf配置，開啟了更多的日志記錄保存在

/var/adm/messages中 。同時(shí)也安裝了一個(gè)可選的/etc/syslog.conf.server，是為loGhosts設(shè)計(jì)

的并將不同的服務(wù)存在分開的log文件中 。
* Yassp關(guān)閉了root帳號cron中有關(guān)log的條目 。添加了運(yùn)行"daily"腳本 。





配置Syslog
Syslog客戶端：在/etc/hosts文件中指定log服務(wù)器 。
* 測試log服務(wù)器是否正常
logger -p auth.warn "test of syslog"，檢查是否記錄在log服務(wù)器里 。
* 在log服務(wù)器及本地同時(shí)記錄日志，取消/etc/syslog.conf中的下一行注釋：
*.err;auth.info;kern.debug /var/adm/messages
* 如果日志記錄不能正常工作，可以參照syslog.conf中的例子及提示 。
Syslog服務(wù)器（loghost）：
* log服務(wù)器需要一塊大的磁盤用來保存日志文件 。
* 在Solaris8系統(tǒng)中，Yassp將以"-t"參數(shù)啟動syslog，因此它將不接受其它主機(jī)的記錄日志的請

求 。如果想要設(shè)置集中的log服務(wù)器，需要在/etc/yassp.conf中設(shè)置SYSLOGFLAGS="" 。
* Yassp還安裝了一個(gè)/etc/syslog.conf.server配置文件，是針對log服務(wù)器并將不同的服務(wù)產(chǎn)生

的日志存于/var/log目錄下不同的文件中 。用它覆蓋配置文件并重新啟動syslog:
mv /etc/syslog.conf /etc/syslog.conf.client
cp /etc/syslog.conf.server /etc/syslog.conf
kill -l `cat /etc/syslog.pid`
* 使用rotate_log工具對日志進(jìn)行管理和壓縮，在root的cron中加入：
##Prune syslog logs weekly,keeping the last 6 months or so:
55 23 * * 6 /secure/rotate_log -n 40 alertlog
55 23 * * 6 /secure/rotate_log -n 40 authlog
55 23 * * 6 /secure/rotate_log -n 40 cronlog
55 23 * * 6 /secure/rotate_log -n 40 daemonlog

推薦閱讀

• 

  如何區(qū)分食用薄荷
• 

  顏淵死,顏路請子之車以為之槨的之的意思 顏淵死顏路請子之車以為之槨翻譯
• 

  曾鞏簡介?
• 

  ppt如何設(shè)置動畫窗格
• 

  底字是什么結(jié)構(gòu)的字
• 

  地平線零之曙光擔(dān)心的原因任務(wù)怎么做 擔(dān)心的原因支線攻略
• 

  鄂州天氣預(yù)報(bào)怎么查
• 

  肉為什么要排酸
• 

  電視柜旁邊擺什么旺財(cái) 電視柜適合擺放的植物好
• 

  榴蓮沒有開口可以吃嗎
• 

  小米5c測評 小米5c評測
• 

  華為是目前非常強(qiáng)的一家企業(yè) 一千左右華為和小米哪個(gè)耐用
• 

  投影快捷鍵ctrl加什么
• 

  鯉魚能吃嗎，鯉魚和草魚能生吃嗎
• 

  格力空調(diào)故障代碼E6
• 

  海爾售后服務(wù)有哪些，海爾冰箱售后服務(wù)都有些什么服務(wù)

• Solaris 安裝帶顏色分辨的 ls
• Solaris 8 下RAID1和RAID5的安裝及恢復(fù)
• 黑鯊helo里安裝軟件的操作方法
• Solaris 9 X86網(wǎng)卡（D-LINK DFE-530TX)安裝成功文檔
• Solaris Veritas安裝記錄
• 安裝 Solaris 9.0 OS 的 x86 Platform Edition 介紹
• Solaris 8 安裝之后的幾個(gè)常用步驟
• Solaris 9.0 for x86 安裝 Apache-2.0.45+php-4.3.1+mysql-4.1.0
• 使用終端安裝 Solaris 9
• 添加了ssh軟件安裝 Solaris 系統(tǒng)安全實(shí)施總結(jié)