规划网络安全性
从 Solaris 10 11/06 发行版开始,您可以在初始安装期间选择更改网络安全性设置,以便禁用除安全 Shell 之外的所有网络服务,或对这些服务进行限制以使它们只响应本地请求。此选项可最大限度地减少远程攻击者可能会尝试利用的潜在漏洞。此外,基于此选项,客户可以只启用他们需要的服务。此安全性选项仅在初始安装期间可用,在升级期间不可用。升级时会保留以前设置的所有服务。如有必要,可在升级后通过使用 netservices 命令对网络服务进行限制。
根据所用安装程序的不同,您可以选择在缺省情况下使服务保持启用状态,也可以选择限制网络服务:
-
对于 Solaris 交互式安装,您可以像以前的 Solaris 发行版中那样,选择在缺省情况下启用网络服务。或者,您可以选择相应选项来限制网络服务。有关实际安装的详细描述,请参见《Solaris 10 8/07 安装指南:基本安装》中的第 2 章 “使用 Solaris 安装程序执行安装(任务)”。
-
对于自动 JumpStart 安装,您可以在 sysidcfg 文件中使用新关键字 service_profile 来设置此安全性限制。有关此关键字的详细信息,请参见《Solaris 10 8/07 安装指南:基于网络的安装》中的“service_profile 关键字”。
受限制安全性的特定信息
如果您选择限制网络安全性,将会完全禁用许多服务。其他服务仍处于启用状态,但这些服务会被限制为只能进行本地连接。安全 Shell 仍然处于完全启用状态。
例如,下表列出了在 Solaris 10 11/06 发行版中被限制为只能进行本地连接的网络服务。
表 4–6 Solaris 10 11/06 SMF 受限制服务|
服务 |
FMRI |
属性 |
|---|---|---|
|
rpcbind |
svc:/network/rpc/bind |
config/local_only |
|
syslogd |
svc:/system/system-log |
config/log_from_remote |
|
sendmail |
svc:/network/smtp:sendmail |
config/local_only |
|
smcwebserver |
svc:/system/webconsole:console |
options/tcp_listen |
|
WBEM |
svc:/application/management/wbem |
options/tcp_listen |
|
X 服务器 |
svc:/application/x11/x11-server |
options/tcp_listen |
|
dtlogin |
svc:/application/graphical-login/cde-login |
dtlogin/args |
|
ToolTalk |
svc:/network/rpccde-ttdbserver:tcp |
proto=ticotsord |
|
dtcm |
svc:/network/rpccde-calendar-manager |
proto=ticits |
|
BSD 打印 |
svc:/application/print/rfc1179:default |
bind_addr=localhost |
在安装后修改安全性设置
使用受限制的网络安全性功能时,所有受影响的服务都由服务管理框架 (Service Management Framework, SMF) 控制。任何单个网络服务都可在初始安装后通过使用 svcadm 和 svccfg 命令来启用。
可通过调用 /var/svc/profile 下的 SMF 升级文件中的 netservices 命令来实现受限网络访问。netservices 命令可用于切换服务启动行为。
要手动禁用网络服务,请运行以下命令:
# netservices limited |
可在已升级的系统中使用此命令(缺省情况下这些系统未进行任何更改)。也可以使用此命令在启用各个服务后重建受限状态。
同样,可以像以前的 Solaris 发行版中那样,通过运行以下命令启用缺省服务:
# netservices open |
有关修改安全性设置的详细信息,请参见《系统管理指南:基本管理》中的“如何创建 SMF 配置文件”。另请参见以下手册页。
-
netservices(1M)
-
svcadm(1M)
-
svccfg(1M) 命令。
- © 2010, Oracle Corporation and/or its affiliates