ASET 任务列表

本节介绍 ASET 所执行的任务。您应该了解每项 ASET 任务。通过了解 ASET 的目标、ASET 执行的操作以及 ASET 影响的系统组件，可以有效地理解和使用其报告。

ASET 报告文件包含的消息尽可能详细地说明了每项 ASET 任务发现的所有问题。这些消息有助于诊断和更正这些问题。但是，要成功使用 ASET，您需要对系统管理和系统组件有大致的了解。如果您是初级管理员，可以参阅其他 Solaris 系统管理文档。您可以参阅相关的手册页来学习 ASET 管理。

taskstat 实用程序用于标识已完成的任务，以及仍在运行的任务。每项完成的任务都会生成一个报告文件。有关 taskstat 实用程序的完整说明，请参阅 taskstat(1M)。

系统文件权限调优

此任务会将系统文件的权限设置为指定的安全级别。此任务在安装系统时运行。如果您稍后决定更改先前建立的级别，请再次运行此任务。在低安全级别，权限会设置为适合于开放式信息共享环境的值。在中安全级别，会加强对权限的控制，以便为大多数环境提供足够高的安全性。在高安全级别，会控制权限以严格限制访问。

此任务对系统文件权限或参数设置所做的任何修改都会报告在 tune.rpt 文件中。有关 ASET 在设置权限时参考的文件的示例，请参见，请参见调优文件示例。

系统文件检查

此任务会检查系统文件，并将每个文件与主文件中相应文件的说明进行比较。主文件是 ASET 首次运行此任务时创建的。主文件包含 checklist 针对指定安全级别执行的系统文件设置。

针对每种安全级别，将定义要检查其文件的目录的列表。可以使用缺省列表，也可以修改列表，以便针对每个级别指定不同的目录。

对于每个文件，会检查以下条件：

• 属主和组

• 权限位

• 大小以及校验和

• 链接数目

• 上次修改时间

ASET 发现的任何差异都会报告在 cklist.rpt 文件中。此文件包含将系统文件大小、权限及校验和的值与主文件进行比较的结果。

用户和组检查

此任务会检查用户帐户和组的一致性和完整性。此任务使用 passwd 和 group 文件中的定义。此任务检查本地口令文件、NIS 口令文件或 NIS+ 口令文件，并报告 NIS+ 的口令文件问题，但不会进行更正。此任务将检查以下违规：

• 重复的名称或 ID

• 格式不正确的项

• 缺少口令的帐户

• 无效的登录目录

• nobody 帐户

• 空的组口令

• NIS 服务器或 NIS+ 服务器上的 /etc/passwd 文件中的加号 (+)

差异会报告在 usrgrp.rpt 文件中。

系统配置文件检查

在执行此任务的过程中，ASET 会检查各种系统表，其中大多数系统表位于 /etc 目录中。这些文件包括：

• /etc/default/login

• /etc/hosts.equiv

• /etc/inetd.conf

• /etc/aliases

• /var/adm/utmpx

• /.rhosts

• /etc/vfstab

• /etc/dfs/dfstab

• /etc/ftpd/ftpusers

ASET 会对这些文件执行各种检查和修改，并在 sysconf.rpt 文件中报告问题。

环境变量检查

此任务会检查为超级用户和其他用户设置 PATH 和 UMASK 环境变量的方式，并检查 /.profile、/.login 和 /.cshrc 文件。

检查环境安全性的结果会报告在 env.rpt 文件中。

eeprom 检查

此任务会检查 eeprom 安全参数的值，以确保此参数设置在合适的安全级别。 可以将 eeprom 安全参数设置为 none、command 或 full。

ASET 不会更改此设置，但会在 eeprom.rpt 文件中报告其建议。

防火墙设置

此任务确保系统可以安全地用作网络中继。此任务通过将专用系统设置为防火墙，保护内部网络不受外部公共网络的干扰，防火墙系统对此进行了说明。防火墙系统可分隔两个网络。在这种情况下，每个网络都作为不可信对象访问另一个网络。防火墙设置任务将禁止 Internet 协议 (Internet Protocol, IP) 包的转发。防火墙还会对外部网络隐藏路由信息。

防火墙任务可以在所有安全级别运行，但是仅在最高级别执行操作。如果要在高安全级别运行ASET，但发现系统不需要防火墙保护，则可以取消防火墙任务。可以通过编辑 asetenv 文件删除此任务。

所做的任何更改都会报告在 firewall.rpt 文件中。