跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11 安全准则 Oracle Solaris 11 Information Library (简体中文) |
此时,您可能已经创建了可承担角色的用户,且创建了角色。只有 root 角色可以修改系统文件。
从以下网络任务中,根据您的站点要求执行可提供附加安全性的任务。这些网络任务可通知远程登录的用户:系统受到保护,这些网络任务还可增强 IP、ARP 和 TCP 协议。
|
使用以下过程在远程登录和文件传输时显示警告。
开始之前
您必须是 root 角色。在在标题文件中放置安全消息的步骤 1 中创建了 /etc/issue 文件。
# vi /etc/ssh/sshd_config # Banner to be printed before authentication starts. Banner /etc/issue
# svcadm refresh ssh
有关更多信息,请参见 issue(4) 和 sshd_config(4) 手册页。
# vi /etc/proftpd.conf # Banner to be printed before authentication starts. DisplayConnect /etc/issue
# svcadm restart ftp
有关更多信息,请参见 ProFTPD Web 站点。
使用此过程可在安装后阻止网络路由,方法是指定缺省路由器。否则,请在手动配置路由后执行此过程。
注 - 许多网络配置过程都要求禁用路由选择守护进程。因此,您可能已在某个大型配置过程中禁用此守护进程。
开始之前
您必须分配有 "Network Management"(网络管理)权限配置文件。
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
如果服务未运行,则可在此处停止。
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
另请参见
routeadm(1M) 手册页
缺省情况下,Oracle Solaris 将转发广播包。如果您的站点安全策略要求您降低广播泛洪的可能性,请使用此过程更改缺省设置。
注 - 在禁用 _forward_directed_broadcasts 网络属性时,将禁用广播 ping。
开始之前
您必须分配有 "Network Management"(网络管理)权限配置文件。
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
另请参见
ipadm(1M) 手册页
使用此过程可防止散播有关网络拓扑的信息。
开始之前
您必须分配有 "Network Management"(网络管理)权限配置文件。
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
另请参见
有关更多信息,请参见《Oracle Solaris 可调参数参考手册》中的"_respond_to_echo_broadcast 和 _respond_to_echo_multicast(ipv4 或 ipv6)"和 ipadm(1M) 手册页。
对于充当其他域的网关的系统(例如防火墙或 VPN 节点),使用此过程可打开严格多宿主。
Oracle Solaris 11 发行版为 IPv4 和 IPv6 引入了新的属性 hostmodel。此属性可控制 IP 包在多宿主系统上的发送和接收行为。
开始之前
您必须分配有 "Network Management"(网络管理)权限配置文件。
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
另请参见
有关更多信息,请参见《Oracle Solaris 可调参数参考手册》中的"hostmodel(ipv4 或 ipv6)"和 ipadm(1M) 手册页。
有关严格多宿主使用情况的更多信息,请参见《Oracle Solaris 管理:IP 服务》中的"如何在隧道模式下使用 IPsec 保护 VPN"。
使用此过程可通过控制不完整的暂挂连接数阻止拒绝服务 (denial of service, DOS) 攻击。
开始之前
您必须分配有 "Network Management"(网络管理)权限配置文件。
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
另请参见
有关更多信息,请参见《Oracle Solaris 可调参数参考手册》中的"_conn_req_max_q0"和 ipadm(1M) 手册页。
使用此过程可通过控制允许的传入连接数阻止 DOS 攻击。
开始之前
您必须分配有 "Network Management"(网络管理)权限配置文件。
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
另请参见
有关更多信息,请参见《Oracle Solaris 可调参数参考手册》中的"_conn_req_max_q"和 ipadm(1M) 手册页。
以下过程设置 TCP 初始序列号生成参数以遵守 RFC 1948。
开始之前
您必须承担 root 角色才能修改系统文件。
# vi /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
许多缺省情况下安全的网络参数是可调的,因此可进行更改。如果站点条件允许,可将以下可调参数恢复为缺省值。
开始之前
您必须分配有 "Network Management"(网络管理)权限配置文件。参数的当前值不如缺省值安全。
缺省值可阻止来自欺骗性包的 DOS 攻击。
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
有关更多信息,请参见《Oracle Solaris 可调参数参考手册》中的"forwarding(ipv4 或 ipv6)"。
缺省值可防止散播有关网络拓扑的信息。
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
缺省值可删除系统上的其他 CPU 需求,并防止散播有关网络的信息。
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
缺省值可删除系统上的其他 CPU 需求,并防止散播有关网络的信息。
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
缺省值可阻止系统上的其他 CPU 需求。
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
如果需要 IP 源路由以进行诊断,则不要禁用此网络参数。
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
有关更多信息,请参见《Oracle Solaris 可调参数参考手册》中的"_rev_src_routes"。
缺省值可阻止系统上的其他 CPU 需求。通常,在设计完善的网络上不需要重定向。
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
另请参见
ipadm(1M) 手册页