ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_forwarding 0
根據(jù)RFC1948建議在/etc/default/inetinit中增加如下的生成初始化序列號(hào)設(shè)置來(lái)防止TCP序列號(hào)預(yù)測(cè)攻擊(ip欺騙):
TCP_STRONG_ISS=2
在/etc/system中增加如下設(shè)置來(lái)防止某些緩沖溢出攻擊 。這些保護(hù)是那些需在堆棧中執(zhí)行的攻擊方式 。但需要硬件的支持(只在sun4u/sun4d/sun4m系統(tǒng)中有效)：
【Solaris安全手冊(cè)】set noexec_user_stack=1
set noexec_user_stack_log=1
使用默認(rèn)路由：在/etc/defaultrouter中增加IP地址，或使用route在/etc/rc2.d/S99static_routes中建立啟動(dòng)文件 。為了使動(dòng)態(tài)路由無(wú)效：
touch /etc/notrouter
為了使多路廣播(multicasting)無(wú)效請(qǐng)?jiān)?etc/init.d/inetsvc中注解掉
route add 224.0.0.0周圍的幾行 。
為了記錄INETD連接的所有信息，在inetd低端的啟動(dòng)行中增加-t參數(shù)，
即:: /usr/sbin/inetd -s -t
在/etc/hosts中配置一些你想取舍的主機(jī)(一些你不想通過(guò)DNS解析的) 。
/etc/inetd.conf:
先使所有服務(wù)無(wú)效；
配置你真正需要的服務(wù)，但必須使用FWTK netacl或tcp wrappers來(lái)允許最小限度的IP地址訪問(wèn)和各種記錄
4，連接并測(cè)試網(wǎng)絡(luò)
系統(tǒng)通過(guò)上面的安全剝離和篩選，你必須肯定系統(tǒng)能正常工作，把它連接到一個(gè)安全隔離的網(wǎng)絡(luò) 。重起并以ROOT身份登錄控制臺(tái)，檢查控制臺(tái)啟動(dòng)時(shí)的錯(cuò)誤信息并根據(jù)需要進(jìn)行修改 。
5，安裝系統(tǒng)管理工具軟件
這部分將安裝標(biāo)準(zhǔn)的工具和實(shí)用程序 。最重要的是SSH，這些工具必須在其他機(jī)器上編譯和精心測(cè)試過(guò)的 。
環(huán)境：
DNS客戶端：在/etc/resolv.conf中增加域名和DNS服務(wù)；在/etc/nsswitch.conf中增加DNS入口的主機(jī) 。
EMAIL：如果主機(jī)不需要在子網(wǎng)外發(fā)送EMAIL，就不需要使用mailhost的別名 。否則的話必須編輯/etc/mail/aliases，在/etc/hosts中設(shè)置mailhost，在/etc/mail/sendmail.cf取消Dj行的注釋并把它設(shè)置為Dj$w.YOURDOMAIN.COM.
如果DNS沒(méi)有配置，就在 /etc/hosts中增加這太機(jī)器的別名hostname.YOURDOMAIN.COM 。
現(xiàn)在發(fā)送一封測(cè)試EMAIL:mailx -v -s test_email root 在/.cshrc/.profile中設(shè)置別名，變量如：VISUAL, EDITOR和PATH，但不要包含'.'號(hào) 。
為L(zhǎng)OGIN登錄進(jìn)程安裝SSH 。配置SSH守護(hù)程序(/etc/sshd_config)以便訪問(wèn)限制在帶有known public keys的主機(jī)(/etc/ssh_known_hosts)并使rhosts認(rèn)證無(wú)效 。如果遠(yuǎn)程管理確實(shí)需要的話，使用.shosts要比.rhosts好的多 。檢查Inetd中的telnetd/ftpd是否仍然激活，如果是的話請(qǐng)?jiān)?etc/inetd.conf中注釋掉，在進(jìn)行SSH測(cè)試 。
安裝一些其他的一些必須工具如：gzip;traceroute;top(不帶SUID);lsof.
安裝和建立Perl5到/bin/perl.
在/secure中安裝安全腳本如：rotate_cron, rotate_log, wtrim.pl, rdistd
并改變屬性來(lái)保護(hù)/secure:chmod -R 700 /secure; chown -R root /secure
6,在次配置和篩選系統(tǒng)安全：
許多在CD中OS的補(bǔ)丁是不夠及時(shí)的，因此從sunsolve.sun.ch中獲取patchdiag
工具來(lái)查看安全補(bǔ)丁并下載安裝這些補(bǔ)丁 。
配置登錄記錄
在/etc/default/su中使SU記錄有效 。
使用以下方法使嘗試登錄失敗記錄有效：
touch /var/log/loginlog;
chmod 600 /var/log/loginlog;
chgrp sys /var/log/loginlog
SYSLOG記錄：根據(jù)syslog.conf例子來(lái)分散LOG分析記錄，即把多項(xiàng)服務(wù)的記錄
分散到各個(gè)獨(dú)立的LOG文件，有條件的話在(/etc/hosts)中指定一臺(tái)機(jī)器作為loGhost
syslog loghost
需要一個(gè)大的磁盤作為L(zhǎng)OG記錄的存儲(chǔ)介質(zhì) 。
建立空的LOGS文件并設(shè)立相應(yīng)的權(quán)限：
cd /var/log; touch daemonlog authlog kernlog userlog maillog lprlog
cronlog newslog locallog alertlog;

推薦閱讀

• 

  檢驗(yàn)科管理流程
• 

  植物黃油與動(dòng)物黃油配料 植物黃油與動(dòng)物黃油
• 

  西藍(lán)花開(kāi)花了怎么辦 西藍(lán)花開(kāi)花了怎么解決
• 

  阿拉善什么意思
• 

  《香蜜2》什么時(shí)候播呢？香蜜2主演還是楊紫嗎？
• 

  林正英和曾志偉一起演的什么電影
• 

  凱越自動(dòng)擋多少錢?
• 

  暗示的可怕力量，你怎樣“暗示”孩子，他就會(huì)擁有怎樣的未來(lái)
• 

  軟考高級(jí)是不是相當(dāng)于高級(jí)工程師
• 

  烤紅薯和蒸紅薯哪個(gè)熱量高,烤紅薯吃了上火嗎
• 

  躬耕不輟付春華意思
• 

  備用手機(jī)買華為什么好,哪款手機(jī)用來(lái)做備用機(jī)比較好
• 

  白羊佳苑在哪里,16日廣東路小區(qū)景明佳園等處停電檢修
• 

  飛機(jī)可以攜帶多大的充電寶
• 

  如何選擇游戲鼠標(biāo) 怎么選擇游戲鼠標(biāo)
• 

  如何取消支付寶基金定投

• 以Solaris架設(shè)FTP虛擬系統(tǒng)
• Solaris10中新的Dtrace工具
• solaris下做raid1做磁盤鏡像
• Solaris 做Raid1小結(jié)！
• 1 Solaris下實(shí)現(xiàn)socks5代理
• 2 Solaris下實(shí)現(xiàn)socks5代理
• 4 Solaris下實(shí)現(xiàn)socks5代理
• 3 Solaris下實(shí)現(xiàn)socks5代理
• 使用JumpStart快速安裝Solaris
• 使用Yassp工具包安裝安全的Solaris系統(tǒng)