從 Solaris 10 11/06 發行版本開始,您可以選擇在初始安裝期間變更網路安全設定,以停用 Secure Shell 以外的所有網路服務,或是限制這些網路服務只能回應本端要求。這個選項會將遠端攻擊者可能嘗試攻擊的潛在弱點減到最少。此外,這個選項也為客戶提供僅啟用所需服務的基礎。這個安全性選項只能在初始安裝期間使用,升級期間無法使用。升級會維護任何先前設定的服務。如有需要,您可以在升級後使用 netservices 指令來限制網路服務。
根據使用的安裝程式,您可以選擇限制網路服務或依預設啟用服務:
對於 Solaris 互動式安裝,可以選擇和先前的 Solaris 發行版本一樣,依預設啟用網路服務。或者,您也可以選擇限制網路服務。如需有人參與之安裝操作的詳細說明,請參閱「Solaris 10 11/06 安裝指南:基本安裝」中的第 2 章「使用 Solaris 安裝程式進行安裝 (作業)」。
對於自動 JumpStart 安裝,可以使用 sysidcfg 檔案中的新關鍵字 service_profile,來設定這個安全性限制。如需這個關鍵字的更多資訊,請參閱「Solaris 10 11/06 安裝指南:網路安裝」中的「service_profile 關鍵字」。
如果您選擇限制網路安全性,數個服務會完全停用。其他服務仍然會啟用,但它們只限制在本機連線。Secure Shell 保持完全啟用。
例如,下表會列出 Solaris 10 11/06 發行版本中限制在本機連線的網路服務。
表 3–3 Solaris 10 11/06 SMF 限定服務
服務 |
FMRI |
特性 |
---|---|---|
rpcbind |
svc:/network/rpc/bind |
config/local_only |
syslogd |
svc:/system/system-log |
config/log_from_remote |
sendmail |
svc:/network/smtp:sendmail |
config/local_only |
smcwebserver |
svc:/system/webconsole:console |
options/tcp_listen |
WBEM |
svc:/application/management/wbem |
options/tcp_listen |
X 伺服器 |
svc:/application/x11/x11-server |
options/tcp_listen |
dtlogin |
svc:/application/graphical-login/cde-login |
dtlogin/args |
ToolTalk |
svc:/network/rpccde-ttdbserver:tcp |
proto=ticotsord |
dtcm |
svc:/network/rpccde-calendar-manager |
proto=ticits |
BSD 列印 |
svc:/application/print/rfc1179:default |
bind_addr=localhost |
使用限定的網路安全性功能時,所有受影響的服務都會受服務管理架構 (SMF) 的控制。在初始安裝後,任何個別的網路服務都可以使用 svcadm 和 svccfg 指令來啟用。
限定的網路存取是透過呼叫 /var/svc/profile 之下 SMF 升級檔案的 netservices 指令來達成的。netservices 指令可以用來切換服務啟動運作方式。
若要手動停用網路服務,請執行下列指令:
# netservices limited |
這個指令可以用於已升級的系統上,依預設這些系統不會進行變更。在啟用個別服務之後,這個指令也可以用於重新建立限定狀態。
同樣地,預設服務可以和先前的 Solaris 發行版本一樣,藉由執行下列指令來啟用:
# netservices open |
如需有關修訂安全性設定的更多資訊,請參閱「System Administration Guide: Basic Administration」中的「How to Create an SMF Profile」。另請參閱以下線上手冊。
「netservices(1M) 線上手冊」
「svcadm(1M) 線上手冊」
svccfg(1M) 指令