list rule 1 "common""*""*"ALLOW edit>list address "*"RANGE 0.0.0.0 255.255.255.255 "le0.net"RANGE 176.17.17.0 176.。二 使用Yassp工具包安裝安全的Solaris系統(tǒng)( 二 )。" />

日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

二 使用Yassp工具包安裝安全的Solaris系統(tǒng)( 二 )

云知道


#./ssadm active
Active configuration:www default Initial.2
#./ssadm edit Initial
edit>list rule
1 "common""*""*"ALLOW
edit>list address
"*"RANGE 0.0.0.0 255.255.255.255
"le0.net"RANGE 176.17.17.0 176.17.17.255
"localhost"HOST
"smtp-server"HOST 1.1.1.1
"www_le0"GROUP{}{}
edit>list service common
"commom"GROUP"tcp all""udp all""syslog""dns""rpc all""nfs prog""icmp

all""rip""ftp""real audio""pmap udp all""pmap tcp all""rpc tcp

all""nis""archIE""traceroute""ping"
可以看出,缺省的規(guī)則讓很少的服務(wù)通過(guò) 。

我們假設(shè)在設(shè)置一臺(tái)HTTPD服務(wù)器(在80端囗),并使用SSH進(jìn)行管理 。允許使用ping和

traceroute命令進(jìn)行初步的錯(cuò)誤檢查 。我們需要如下設(shè)置防火墻的規(guī)則:
#./ssadm edit Initial
edit>add service ssh SINGLE FORWARD "tcp" PORT 22
edit>add service myhttp GROUP ping traceroute ssh www
edit>replace rule 1 ALLOW myhttp"*""*"
edit>list rule
1 "myhttp""*""*"ALLOW
edit>save
edit>verify
Configuration verified successfully(not activated)
edit>quit
www#./ssadm activate Initial
Configuration activated successfully on www
* 在一臺(tái)管理機(jī)上,允許使用ssh和smtp(用來(lái)email報(bào)警),可以對(duì)外使用ping/traceroute,進(jìn)行

檢查,為降低風(fēng)險(xiǎn),只響應(yīng)其它管理主機(jī)的ping/traceroute請(qǐng)求 。允許通過(guò)HTTPS及使用dns查詢

。
# cd /opt/SUNWicg/SunScreen/bin;
# ./ssadm edit Initial
edit> add address mgt_net RANGE 176.17.17.0 176.17.17.255
edit> add service mgt GROUP ping traceroute ssh
edit> add service https SINGLE FORWARD"tcp" PORT 443
edit> add service outgoing GROUP ping traceroute dns
edit>
edit> replace rule 1 ALLOW www "*" localhost
edit> replace rule 2 ALLOW https "*" localhost
edit> replace rule 3 ALLOW mgt mgt_net localhost
edit> replace rule 4 ALLOW outgoing localhost "*"
edit> replace rule 5 ALLOW smtp localhost mgt_net
edit>
edit> save
edit> verify
Configuration verified successfully (not activated).
# ./ssadm activate Initial
Configuration activated successfully on www.
檢查網(wǎng)絡(luò)連接,確定改動(dòng)的規(guī)則已經(jīng)生效 。如果要恢復(fù)初始設(shè)置,將所有的規(guī)則刪除后,加入下

面一行:
replace rule 1 ALLOW "common""*""*"

最后,關(guān)閉防火墻的遠(yuǎn)程圖形管理功能,只使用"ssadm"命令行工具進(jìn)行管理 。
注釋掉/etc/rc2.d/S63sunscreen文件中的下面一行:
$SS_LIBDIR/run_httpd start efshttpd
在/opt/SUNWicg/SunScreen/lib/ss_boot中,注釋掉:
$SS_LIBDIR/ssadmserver star>/dev/console 2>&1

6、進(jìn)一步增強(qiáng)系統(tǒng)的可靠性:路由、郵件、 解析及工具的設(shè)置
到此,系統(tǒng)已經(jīng)進(jìn)行了初步的加固,以root方式登錄 。
* 設(shè)置路由
* 對(duì)于缺省路由,將網(wǎng)關(guān)的IP地址添加到/etc/defaultrouter文件中 。
* 對(duì)于靜態(tài)路由,使用route命令創(chuàng)建/etc/init.d/static_routes文件及

/etc/rc2.d/S99static_routes符號(hào)連接
* 清空路由表,為特定網(wǎng)絡(luò)指定路由,如:
route -f add net 129.97 `cat /etc/defaultrouter`
* 如果需要運(yùn)行路由守護(hù)進(jìn)程(不建議使用),要清楚其工作原理,否則它可能會(huì)導(dǎo)致你網(wǎng)絡(luò)通信

的不正常 。使用"-q"參數(shù)的“安靜”模式(quiet mode),或者在使用ifconfig命令配置網(wǎng)絡(luò)接囗

設(shè)備時(shí),使用"private"參數(shù),告訴網(wǎng)絡(luò)接囗設(shè)備不要對(duì)外廣播路由信息 。運(yùn)行“安靜”模式,要

在/etc/yassp.conf文件中設(shè)置SUNSTARTUP=YES并確定沒有設(shè)置缺省路由 。
* 配置/etc/hosts文件,添加不想通過(guò)DNS解晰的服務(wù)器名 。
* DNS客戶端:(對(duì)于關(guān)鍵任務(wù)的主機(jī)不要設(shè)置)在/etc/resolv.conf文件中添加域名及DNS服務(wù)器

名,在/etc/nsswitch.conf文件中hosts行添加DNS條目 。
* 環(huán)境的設(shè)置:在/.cshrc /.profile:設(shè)置aliases和變量(如VISUAL,EDITOR和PATH,路徑的環(huán)境

推薦閱讀