Guida all'installazione di Solaris 10 5/08: pianificazione dell'installazione e dell'aggiornamento

Pianificazione della sicurezza di rete

A partire da Solaris 10 11/06, durante l'installazione iniziale è possibile modificare le impostazioni di sicurezza della rete in modo da disabilitare o consentire il solo utilizzo locale di tutti i servizi di rete, fatta eccezione per SSH (Secure Shell). Questa opzione riduce la vulnerabilità del sistema a possibile attacchi o violazioni eseguiti da un utente remoto. Consente inoltre ai clienti di abilitare solo i servizi effettivamente richiesti. Questa opzione di sicurezza è disponibile solo per l'installazione iniziale e non per gli aggiornamenti. La procedura di aggiornamento mantiene le impostazioni precedenti per i servizi. Se necessario, è possibile limitare i servizi di rete dopo un aggiornamento usando il comando netservices.

In base al programma di installazione in uso, è possibile scegliere di limitare i servizi di rete da abilitare oppure di abilitarli come impostazione predefinita:

Specifiche per aumentare la sicurezza di rete

Se si sceglie di aumentare la sicurezza della rete, vari servizi vengono completamente disabilitati. Altri servizi restano in funzione ma sono limitati alle connessioni locali. Il servizio SSH è sempre completamente abilitato.

Ad esempio, la tabella seguente elenca i servizi di rete limitati alle sole connessioni locali in Solaris 10 11/06.

Tabella 4–6 Servizi SMF limitati in Solaris 10 11/06

Servizio 

FMRI 

Proprietà 

rpcbind 

svc:/network/rpc/bind

config/local_only

syslogd 

svc:/system/system-log

config/log_from_remote

sendmail 

svc:/network/smtp:sendmail

config/local_only

smcwebserver 

svc:/system/webconsole:console

options/tcp_listen

WBEM 

svc:/application/management/ wbem

options/tcp_listen

Server X 

svc:/application/x11/x11-server

options/tcp_listen

dtlogin 

svc:/application/graphical-login/cde-login

dtlogin/args

ToolTalk 

svc:/network/rpccde-ttdbserver:tcp

proto=ticotsord

dtcm 

svc:/network/rpccde-calendar-manager

proto=ticits

stampa BSD 

svc:/application/print/rfc1179:default

bind_addr=localhost

Revisione delle impostazioni di sicurezza dopo l'installazione.

Se si è scelto di limitare l'abilitazione dei servizi di rete, tutti i servizi coinvolti sono controllati da SMF (Service Management Framework). Dopo l'installazione iniziale, i singoli servizi di rete possono essere abilitati usando i comandi svcadm e svccfg.

L'accesso limitato ai servizi di rete viene ottenuto richiamando il comando netservices dal file di aggiornamento di SMF presente in /var/svc/profile. È possibile utilizzare il comando netservices per modificare il comportamento di avvio dei servizi.

Per disabilitare i servizi di rete manualmente, eseguire il comando seguente:


# netservices limited

Questo comando può essere utilizzato sui sistemi che sono stati aggiornati, sui quali non vengono apportate modifiche ai servizi di rete durante l'aggiornamento. Il comando consente anche di limitare nuovamente l'utilizzo dei servizi di rete dopo che sono stati abilitati singolarmente.

Analogamente, è possibile abilitare i servizi di rete come avveniva nelle precedenti versioni di Solaris eseguendo il seguente comando:


# netservices open

Per maggiori informazioni sulla revisione delle impostazioni di sicurezza, vedere How to Create an SMF Profile in System Administration Guide: Basic Administration. Vedere anche le seguenti pagine man.