日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

使用Yassp工具包安裝安全的Solaris系統(tǒng)( 三 )

云知道


OPENssh
SECclean是一個(gè)腳本文件,它通過(guò)對(duì)文件權(quán)限的配置,tcp/ip的調(diào)整,關(guān)閉不必要的服務(wù)加強(qiáng)系統(tǒng)的可靠性 。
Yassp beta#15中的問(wèn)題:
1. SSH:
* Yassp在Solaris7及以前版本的系統(tǒng)中不安裝SSH,只在Solaris8中安裝 。
* Scp的服務(wù)器端需要如下設(shè)置:
chmod 755 /usr/local /opt/local
ln -s /usr/local/bin/scp /usr/bin/scp
2. Solaris 8 10/00版本的系統(tǒng)中,有一個(gè)新的守護(hù)進(jìn)程'picld',是一種對(duì)客戶端發(fā)布特定平臺(tái)信息的機(jī)制,picld進(jìn)程負(fù)責(zé)維護(hù)及控制客戶及內(nèi)插模塊對(duì)PICL(Platform Information and
Control Library)信息的訪問(wèn) 。
關(guān)閉此進(jìn)程
mv /etc/rcS.d/S95picld /etc/rcS.d/.S95picld
mv /etc/init.d/picld /etc/init.d/.picld
3. Tocsin是Yassp內(nèi)含的入侵檢測(cè)工具,用來(lái)偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包,缺省情況下不安裝 。
pkgadd -d aubtocsin
配置YASSP
安裝完YASSP后,首先瀏覽一下/etc/yassp.conf配置文件,帶有注釋,很容易理解 。查看yassp.conf及yassp的man pages幫助 。一般情況下,除了SSH,不需要改動(dòng)什么 。
1. 帳號(hào)
* 守護(hù)進(jìn)程及用戶(DEF_UMASK)的缺省umask值都被設(shè)置成為077,禁止組及全局訪問(wèn) 。在某些情況下,可能需要將umask值改為027,使組可讀 。
* cleanup_passwd腳本會(huì)關(guān)閉/usr/passwd文件中的用戶帳號(hào),但是不會(huì)刪除他們 。Yassp.conf文件中的USERDENIED變量包含缺省的列表 。加入非標(biāo)準(zhǔn)的應(yīng)用帳號(hào) 。
* 如果確定刪除某些帳號(hào),將其加入yassp.conf文件中的USEDELETED變量項(xiàng)中,并從新執(zhí)行cleanup_passwd 。
注:此操作可能會(huì)產(chǎn)生無(wú)主文件或?qū)е洛e(cuò)誤,如刪除uucp將使tip命令不能使用 。
* ROOTALLOWED變量包含所有UID為0的帳號(hào)列表,cleanup_passwd會(huì)關(guān)閉所有列表之外的UID為0的帳號(hào) 。
2. Cron:
* 非root用戶需要使用at/cron命令時(shí),需要編輯/etc/cron.d目錄下的allow/deny文件 。
* root的cron列表將會(huì)被替換 。如果在安裝yassp之前,你已經(jīng)在cron中添加了條目,這些條目需要重新加入,舊的cron列表備份于/yassp.bk目錄中 。
* yassp的daily腳本用來(lái)整理日志記錄,在cron中將其注釋掉 。
3. SSH:Yassp將同時(shí)安裝SSH的客戶及服務(wù)器端
* 最新版本的SSH可以被“tcp wrapper"保護(hù),因此使用前,要在/etc/hosts.allow文件中放開(kāi),缺省是全部關(guān)閉 。
* SSH服務(wù)對(duì)所有主機(jī)開(kāi)放,編輯/etc/hosts.allow加入
sshd : ALL
* 允許X11轉(zhuǎn)發(fā)使用SSH,編輯/etc/hosts.allow加入
sshdfwd-X11 : LOCAL
* 提示:在hosts.allow/deny,SSH的規(guī)則中不要使用反向finger查詢 。
* 在SSH中,通常使用'scp'傳送文件 。' sftp'使用于新的SSH2中,如果需要,在
/etc/sshd_config中打開(kāi)它,當(dāng)然,由于這是一項(xiàng)新的功能,因此有可能會(huì)存在問(wèn)題 。Subsystems ftp /opt/local/libexec/sftp-server
* 不接受RSA用戶認(rèn)識(shí),而只允許使用囗令 。
RSAAuthentication no
* 檢查服務(wù)器(/etc/sshd_config)及客戶端(/etc/ssh_config)其它的設(shè)置,如設(shè)置只允許特定的用戶使用SSH,禁止用守護(hù)進(jìn)程的帳號(hào)使用SSH 。
4. Syslog:在Solaris8系統(tǒng)中,Yassp會(huì)以‘-t'參數(shù)啟動(dòng)syslog,因此它將不接受其它主機(jī)syslog連接 。因此,如果你想使用一臺(tái)中心log服務(wù)器,需要設(shè)置SYSLOGFLAGS=""
5. 如果需要啟動(dòng)INETD服務(wù),設(shè)置RUNINETD值為YES,并在/etc/inetd.conf中開(kāi)放相應(yīng)的服務(wù) 。
缺省情況下,yassp會(huì)關(guān)閉所有的服務(wù) 。如果確實(shí)需要,使用tcp wrapper,編輯
/etc/hosts.allow和/etc/hosts.deny文件中對(duì)訪問(wèn)服務(wù)進(jìn)行限制 。
6. nscd守護(hù)進(jìn)程
* 不啟動(dòng)nscd進(jìn)程,有些應(yīng)用,如Netscape的http代理服務(wù)將不能工作,設(shè)置NETSCAPE或者NSCD變量可以設(shè)置激活nscd進(jìn)程 。
* 關(guān)閉nscd進(jìn)程將加重nameserver的負(fù)載,因此,通過(guò)調(diào)整resolv.conf文件中nameserver的順序,可以達(dá)到平衡負(fù)載的目的 。

推薦閱讀