日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

二 使用Yassp工具包安裝安全的Solaris系統(tǒng)

云知道

4、在/etc/vfsab文件中對(duì)安裝文件系統(tǒng)做限制
在安裝文件系統(tǒng)時(shí),使用一些參數(shù)可以提高文件系統(tǒng)的安全性和魯棒性 。使用mount命令檢查哪些

參數(shù)生效,這些參數(shù)包括:nosuid、logging、noatime、size=xxxm、ro 。
Mount參數(shù)
OS版本
描 述
用 途
nosuid
2.x
關(guān)閉SUID程序及SUID設(shè)備
不允許存在SUID的/var、 /home或者數(shù)據(jù)磁盤分區(qū)及設(shè)備(建議使用chroot environments). 。如

果/tmp分區(qū)
不在磁盤上,此參數(shù)無(wú)效 。
logging
2.7或者更高版本
為分區(qū)記錄transaction日志 。可以大提高文件系統(tǒng)檢查的速度,特別是針對(duì)大容量的磁盤 。缺點(diǎn)

是需要耗費(fèi)時(shí)間進(jìn)行寫log的操作 。
/usr /opt /home分區(qū)
建議除根區(qū)(如果使用了Veritas的VxVM)和對(duì)磁盤寫性能要求非常高的分區(qū)外,都使用此參數(shù) 。
noatime
2.7或者更高版本
允許mount的文件系統(tǒng),在每次訪問(wèn)文件時(shí)對(duì)文件節(jié)點(diǎn)號(hào)不做更新,這樣可以顯著提高某些服務(wù),

如對(duì)大量小文件進(jìn)行頻繁IO操作的web cache或者新聞服務(wù) 。
/var或者文件頻繁存取的分區(qū) (web緩存或news分區(qū)) 。
size=100m
2.5.1 or later
允許/tmp分區(qū)只使用100MB的交換空間 。這個(gè)值通常取交換的30% 。
在mount /tmp時(shí)使用
ro
2.x
只讀 。將文件系統(tǒng)mount成為只讀只能對(duì)文件系統(tǒng)做有限制的保護(hù)(因?yàn)楣粽咭坏┤〉胷oot權(quán)限

,他可以將文件系統(tǒng)重新mount成讀寫) 。
可以縮短系統(tǒng)啟動(dòng)時(shí),執(zhí)行fsck的時(shí)間,提高性能的同時(shí),可以避免管理員無(wú)意中的錯(cuò)誤(如誤

刪除文件等) 。
/usr及/opt分區(qū)最好mount成為只讀方式,但是將/usr分區(qū)mount成為只讀方式的情況下,通常需

要將/usr/local建立的另外的分區(qū)上 。

在編輯vfstab文件時(shí)要特別小心,對(duì)/ 及/usr分區(qū)的錯(cuò)誤改動(dòng)可能會(huì)導(dǎo)致系統(tǒng)不能引導(dǎo) 。如果出

現(xiàn)這種情況,使用安裝光盤將以單用戶模式引導(dǎo)后,mount上有錯(cuò)誤的磁盤,更正vfstab文件后,

reboot使改動(dòng)生效 。
下面是vfstab文件的兩個(gè)例子:
一個(gè)只有/及/var的服務(wù)器,操作系統(tǒng)是Solaris2.8
fd - /dev/fd fd - no -
/proc - /proc proc - no -
/dev/dsk/c0t3d0s1 - - swap - no logging
/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0 / ufs 1 no logging
/dev/dsk/c0t3d0s7 /dev/rdsk/c0t3d0s7 /var ufs 1 no logging,nosuid,noatime
swap - /tmp tmpfs - yes size=100m
有較多分區(qū)的服務(wù)器
fd - /dev/fd fd - no -
/proc - /proc proc - no -
swap - /tmp tmpfs - yes size=200m
/dev/dsk/c0t8d0s0 /dev/rdsk/c0t8d0s0 / ufs 1 no logging
/dev/dsk/c0t8d0s1 - - swap - no -
/dev/dsk/c0t8d0s4 /dev/rdsk/c0t8d0s4 /usr ufs 1 no logging
/dev/dsk/c0t8d0s6 /dev/rdsk/c0t8d0s6 /var ufs 1 no nosuid,noatime,logging
/dev/dsk/c0t8d0s5 /dev/rdsk/c0t8d0s5 /opt ufs 2 yes logging

5、在Solaris 8中安裝Sunscreen EFS防火墻
安裝本地防火墻對(duì)系統(tǒng)進(jìn)行保護(hù) 。
1. 在Solaris 8系統(tǒng)的iPlanet CD#2光盤上,帶有Sunscreen EFS的限制版 。也可以從Sun的主頁(yè)

下載此版本 。
2. 對(duì)于老版本的Solaris系統(tǒng),可以使用Ipfilter作為本機(jī)防火墻 。

Sunscreen EFS可以保護(hù)網(wǎng)絡(luò)通信,下面使用命令行對(duì)防火墻規(guī)則的設(shè)置作簡(jiǎn)單介紹 。
* 防火墻的安裝:在最終用戶模式安裝Solaris8系統(tǒng),安裝防火墻時(shí),如果提示沒有安裝

SUNWsprot,需要用Solaris2號(hào)光盤先行安裝:
pkgadd -d /cdrom/sol_8_sparc_2/Solaris_8/Product SUNWsprot
再使用iPlanet CD#2光盤,啟動(dòng)Sunscreen安裝工具:
/cdrom/cdrom0/SunScreen/screenInstaller
除了Naming services=DNS(不使用NIS)外,其它選項(xiàng)都使用缺省設(shè)置 。
配置:設(shè)置簡(jiǎn)單的防火墻規(guī)則,找到正在運(yùn)行的防火墻規(guī)則,顯示缺省規(guī)則并對(duì)其進(jìn)行編輯 。
#cd /opt/SUNWicg/SunScreen/bin;

推薦閱讀