| Solaris Security Toolkit 4.1 管理指南 |    
|
| Solaris Security Toolkit 4.1 管理指南 |
|
第5章 |
|
本章提供用於配置及管理 JumpStart 伺服器的資訊,以使用 Solaris Security Toolkit 軟體。JumpStart 技術為 Sun 網路基礎的 Solaris 作業系統安裝機制,安裝過程可以使用 Solaris Security Toolkit 軟體。
Solaris Security Toolkit JumpStart 模式根據JumpStart 技術,自 Solaris 作業系統版本 2.1 後即可用。JumpStart 技術藉由完全自動化 Solaris 作業系統及系統軟體安裝、提供修正及系統標準化功能來協助您管理複雜的事務。它提供一種符合快速安裝及部署系統的方法。
使用 JumpStart 技術的優點於系統安全領域是很明顯的。藉由使用 JumpStart 技術及 Solaris Security Toolkit 軟體,自動化安裝 Solaris 作業系統期間,安全化您的系統。此動作協助確保系統安裝時系統安全是標準化的。要取得有關 JumpStart 技術的資訊,請參閱 Sun BluePrints 文件「JumpStart Technology: Effective Use in the Solaris Operating Environment」。
要在 JumpStart 環境中使用,您必須複製在 JASS_HOME_DIR(tar 下載)或 /opt/SUNWjass(pkg 下載)中的 Solaris Security Toolkit 原始程式至 JumpStart 伺服器的根目錄。預設目錄在 JumpStart 伺服器上的 /jumpstart。當完成此作業,JASS_HOME_DIR 即成為 JumpStart 伺服器的根目錄。
本章節假設讀者熟悉 JumpStart 技術而且有現存的 JumpStart 環境可使用。
要整合 Solaris Security Toolkit 軟體至 JumpStart 架構只需要幾個步驟。
|
1. 複製 Solaris Security Toolkit 原始程式至 JumpStart 伺服器的根目錄。
例如,若 Solaris Security Toolkit 歸檔解壓縮至 JASS_REPOSITORY,而 JumpStart 伺服器根目錄是 /jumpstart,下列指令則會複製 Solaris Security Toolkit 原始程式:
一般來說,Solaris Security Toolkit 軟體被安裝在 JumpStart 伺服器的 SI_CONFIG_DIR,它通常也會是 JASS_HOME_DIR。
2. 若您作了 Solaris 2.5.1 作業系統 sysidcfg 檔案的任何修改,確定它們在 JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 目錄中。
若您使用 Solaris 2.5.1 作業系統,JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 中的 sysidcfg 檔案不能直接被使用,原因是此版本的 Solaris 僅支援 SI_CONFIG_DIR 中的 sysidcfg 檔案而非子目錄中的檔案。要免於此項限制 Solaris 2.5.1 作業系統,Solaris Security Toolkit 軟體有 SI_CONFIG_DIR/sysidcfg,它連結至 JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1/sysidcfg 檔案。
3. 利用下列指令複製 JASS_HOME_DIR/Drivers/user.init.SAMPLE 至 JASS_HOME_DIR/Drivers/user.init:
4. 若您遇到多宿主 (multihomed) JumpStart 伺服器的問題,請將 JASS_PACKAGE_MOUNT 及 JASS_PATCH_MOUNT 這兩個項目修改為正確的路徑 JASS_HOME_DIR/Patches 及 JASS_HOME_DIR/Packages 目錄。
5. 若您要安裝 Solaris Security Toolkit 軟體於 SI_CONFIG_DIR 子目錄下,如 SI_CONFIG_DIR/path/to/JASS,然後加入下列至 user.init 檔案:
if [ -z "${JASS_HOME_DIR}" ]; then if [ "${JASS_STANDALONE}" = 0 ]; then JASS_HOME_DIR="${SI_CONFIG_DIR}/path/to/JASS" fi fi export JASS_HOME_DIR |
6. 選擇或建立 Solaris Security Toolkit 驅動程式(例如預設的 secure.driver)。
|
注意 - 切勿變更 Solaris Security Toolkit 軟體內含的程序檔。要允許更有效率的移植到 Solaris Security Toolkit 軟體之新發行版本,分開維護原始檔案及您的自訂檔案。 |
要成功地整合Solaris Security Toolkit 軟體至現存 JumpStart 環境,還需要一處的更改。
8. 若您使用 Solaris Security Toolkit 軟體所提供的 sysidcfg 檔案來自動化 JumpStart 用戶端的安裝,請檢閱它們的適用性。
當剖析 sysidcfg 檔案時,若 JumpStart 伺服器發生任何錯誤,整個檔案的內容會被忽略。
當完成本章節中所有配置步驟後,您可以於用戶端使用 JumpStart 技術,安裝過程中可以成功地強化或最小化作業系統。
JumpStart 設定檔範本是只可於 JumpStart 模式下使用的檔案。需要的或選用的設定檔內容描述於 Sun BluePrints 文件「JumpStart Technology: Effective Use in the Solaris Operating Environment」。
使用 JumpStart 設定檔範本如同您個人站台的修改的範例一般。檢查設定檔來判定您的環境中什麼更改(如有需要)是必要的。
複製設定檔,然後自您的站台作修改。不要修改原始檔案,原因是 Solaris Security Toolkit 軟體更新可會覆寫您的自訂檔案。
下列 JumpStart 設定檔為 Solaris Security Toolkit 軟體內含的檔案:
對於 32 位於最小化系統,JumpStart 設定檔是一個相當通用的 JumpStart 設定檔。它是一個發展最小化系統的合理起始點,被用來做為 minimal-Sun_ONE-WS-Solaris* .profile 最小化程序檔的起始點。
此 JumpStart 設定檔會安裝最小的 Solaris 作業系統叢集 (SUNWCreq)。除了指定磁碟的分割包括 root 及交換分割區,沒有修改其他的配置。
此 JumpStart 設定檔會安裝「一般使用者 Solaris 作業系統」叢集 (SUNWCuser) 以及為程序記錄正常運作所需的兩個 Solaris 作業系統套裝模組。除此之外,磁碟分割被定義為只包含 root 及交換分割區。
此 JumpStart 設定檔會安裝「開發人員 Solaris 作業系統」叢集 (SUNWCprog) 以及為程序記錄正常運作所需的兩個 Solaris 作業系統套裝模組。如同 core.profile 的定義,除了 Solaris 作業系統叢集,只定義另外一個配置是包含 root 及交換的磁碟分割。
此 JumpStart 設定檔會安裝「完整分發 Solaris 作業系統」叢集 (SUNWCall)。如同其他的設定檔,磁碟分割定義含 root 及交換分割區。
此 JumpStart 設定檔會安裝「OEM Solaris 作業系統」叢集 (SUNWCXall)。此叢集為「完整分發」叢集的超集合,它安裝由 OEM 提供的軟體。
所有下列設定檔依據 Sun BluePrints OnLine 文摘,其標題為「Minimizing the Solaris Operating Environment for Security」。所有文章內提到的 Solaris 作業系統版本都有特定的設定檔。下列 JumpStart 設定檔與文章內參照的相同。
所有下列設定檔依據 Sun BluePrints OnLine 文摘,其標題為「Minimizing Domains for Sun Fire V1280, 12K, and 15K Systems」。下列 JumpStart 設定檔與文章內參照的相同。
下面資訊說明 JumpStart 模式可用的程序檔。此模式由 Solaris Security Toolkit 驅動程式新增至 JumpStart 伺服器的 rules 而控制。
若您尚未將您的環境配置為使用 JumpStart 模式,請參閱配置 JumpStart 伺服器及環境。
自 JumpStart 伺服器,要簡化 新增用戶端,請使用此 Solaris Security Toolkit 軟體內含的程序檔。下面段落說明了指令及選項,但是尚未說明底層的 JumpStart 技術。請參閱 Sun BluePrints 文件「JumpStart Technology: Effective Use in the Solaris Operating Environment」,以取得有關 JumpStart 技術的資訊。
add-client 程序檔是一個 add_install_client 指令的包裝函式,它接受下列引數。
表 5-1 說明 add-client 指令的有效輸入。
新增一個名為 jordan JumpStart 用戶端至名為 nomexJumpStart 伺服器。使用 Solaris 8 作業系統 (4/01) 名為 nomex-jumpstart 的介面,您可使用下列 add-client 指令:
要使用 sysidcfg 選項來新增相同的 JumpStart 用戶端 (jordan) ,您可使用下列指令:
#./add-client -c jordan -o Solaris_8_2001-04 -m sun4u -i nomex-jumpstart -s Hosts/jordan updating /etc/bootparams |
要簡化自 JumpStart 伺服器上移除用戶端,使用 Solaris Security Toolkit 軟體內含的程序檔。下面段落說明了指令及選項,但是並未說明底層的 JumpStart 技術。請參閱「JumpStart Technology: Effective Use in the Solaris Operating Environment」,以取得有關 JumpStart 技術的資訊。
rm-client 程序檔是一個 rm_install_client 指令的包裝函式,與 add-client 近似:
其中,client 是 JumpStart 用戶端可分解的主機名稱。
表 5-2 說明 rm-client 指令的有效輸入。
要移除一個名為 jordan 的 JumpStart 用戶端,您可使用以下的 rm-client 指令:
| Solaris Security Toolkit 4.1 管理指南 | 817-7656-10 |
|
Copyright © 2004, Sun Microsystems, Inc. 版權所有.
配置 JumpStart 模式