系统管理指南：安全性服务

运行 ASET（任务列表）

任务	说明	参考
从命令行运行 ASET	以指定的 ASET 级别保护系统。查看执行日志可了解更改。	如何交互运行 ASET
按固定间隔以批处理模式运行 ASET	设置 cron（时钟守护进程）作业以确保 ASET 保护系统。	如何定期运行 ASET
停止以批处理模式运行 ASET	删除 ASET cron 作业。	如何停止定期运行 ASET
将 ASET 报告存储在服务器上	收集来自客户机的 ASET 报告以便集中进行监视。	如何在服务器上收集 ASET 报告

要设置 ASET 中的变量，请参见ASET 环境变量。要配置 ASET，请参见配置 ASET。

如何交互运行 ASET

成为超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见配置 RBAC（任务列表）。

使用 aset 命令交互运行 ASET。
# /usr/aset/aset -l level -d pathname
level

指定安全级别。有效值为 low、medium 或 high。缺省设置为 low。有关安全级别的详细信息，请参见ASET 安全级别。

pathname

指定 ASET 的工作目录。缺省设置为 /usr/aset。

查看屏幕上显示的 ASET 执行日志，验证 ASET 是否正在运行。

执行日志消息可确定正在运行的任务。

示例 7–1 交互运行 ASET

在以下示例中，ASET 在低安全级别运行，并且使用缺省工作目录。

# /usr/aset/aset -l low

======= ASET Execution Log =======

 

ASET running at security level low

 

Machine = jupiter; Current time = 0111_09:26

 

aset: Using /usr/aset as working directory

 

Executing task list ...

	firewall

	env

	sysconf

	usrgrp

	tune

	cklist

	eeprom

 

All tasks executed. Some background tasks may still be running.

 

Run /usr/aset/util/taskstat to check their status:

 /usr/aset/util/taskstat [aset_dir]

 

where aset_dir is ASET's operating

directory,currently=/usr/aset.

 

When the tasks complete, the reports can be found in:

 /usr/aset/reports/latest/*.rpt

 

You can view them by:

 more /usr/aset/reports/latest/*.rpt

如何定期运行 ASET

成为超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见配置 RBAC（任务列表）。

如有必要，设置希望 ASET 定期运行的时间。

应该在系统需求较少时运行 ASET。/usr/aset/asetenv 文件中的 PERIODIC_SCHEDULE 环境变量用于设置 ASET 的定期运行时间。缺省情况下，时间设置为每天午夜。

如果希望设置其他时间，请编辑 /usr/aset/asetenv 文件中的 PERIODIC_SCHEDULE 变量。有关设置 PERIODIC_SCHEDULE 变量的详细信息，请参见PERIODIC_SCHEDULE 环境变量。

使用 aset 命令向 crontab 文件中添加项。
# /usr/aset/aset -p
-p 选项可在 crontab 文件中插入一行，使 ASET 在 /usr/aset/asetenv 文件中的 PERIODIC_SCHEDULE 环境变量确定的时间开始运行。

显示 crontab 项以检验安排 ASET 运行的时间。
# crontab -l root

如何停止定期运行 ASET

承担主管理员角色，或成为超级用户。

主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

编辑 crontab 文件。
# crontab -e root

删除 ASET 项。

保存更改并退出。

显示 crontab 项，检验 ASET 项是否已删除。
# crontab -l root

如何在服务器上收集 ASET 报告

承担主管理员角色，或成为超级用户。

主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

在服务器上设置目录：
1. 转到 /usr/aset 目录。
  mars# cd /usr/aset
2. 创建 rptdir 目录。
  mars# mkdir rptdir
3. 转到 rptdir 目录并创建 client_rpt 目录。
  
  此步骤可为客户机创建 client_rpt 子目录。对于每台需要收集报告的客户机，请重复此步骤。
  mars# cd rptdir mars# mkdir client_rpt
  在以下示例中，创建了目录 all_reports 以及子目录 pluto_rpt 和 neptune_rpt。
  mars# cd /usr/aset mars# mkdir all_reports mars# cd all_reports mars# mkdir pluto_rpt mars# mkdir neptune_rpt

将 client_rpt 目录添加到 /etc/dfs/dfstab 文件中。

这些目录应可选择进行读取还是写入。

例如，可使用读写权限共享 dfstab 文件中的以下各项。
share -F nfs -o rw=pluto /usr/aset/all_reports/pluto_rpt share -F nfs -o rw=neptune /usr/aset/all_reports/neptune_rpt

使 dfstab 文件中的资源可供客户机使用。
# shareall

在每台客户机上，在挂载点 /usr/aset/masters/reports 上挂载服务器中的客户机子目录。
# mount server:/usr/aset/client_rpt /usr/aset/masters/reports

编辑 /etc/vfstab 文件以在系统引导时自动挂载目录。

neptune 上的 /etc/vfstab 中的以下样例项列出了要从 mars、/usr/aset/all_reports/neptune_rpt 以及 neptune 上的挂载点 /usr/aset/reports 挂载的目录。系统引导时，vfstab 中列出的目录会自动挂载。
mars:/usr/aset/all_reports/neptune.rpt /usr/aset/reports nfs - yes hard