A partire da Solaris 10 11/06, durante l'installazione iniziale è possibile modificare le impostazioni di sicurezza della rete in modo da disabilitare o consentire il solo utilizzo locale di tutti i servizi di rete, fatta eccezione per SSH (Secure Shell). Questa opzione riduce la vulnerabilità del sistema a possibile attacchi o violazioni eseguiti da un utente remoto. Consente inoltre ai clienti di abilitare solo i servizi effettivamente richiesti. Questa opzione di sicurezza è disponibile solo per l'installazione iniziale e non per gli aggiornamenti. La procedura di aggiornamento mantiene le impostazioni precedenti per i servizi. Se necessario, è possibile limitare i servizi di rete dopo un aggiornamento usando il comando netservices.
In base al programma di installazione in uso, è possibile scegliere di limitare i servizi di rete da abilitare oppure di abilitarli come impostazione predefinita:
Nell'installazione interattiva di Solaris, è possibile scegliere di abilitare i servizi di rete come avveniva nelle precedenti versioni di Solaris. In caso contrario, è possibile scegliere di limitare i servizi di rete. Per una descrizione dettagliata delle installazioni interattive, vedere il Capitolo 2, Uso del programma di installazione di Solaris (procedure) in Guida all’installazione di Solaris 10 5/08: installazioni di base.
Nelle installazioni JumpStart automatizzate, è possibile impostare l'opzione di sicurezza inserendo la nuova parola chiave service_profile nel file sysidcfg. Per maggiori informazioni su questa parola chiave, vedere Parola chiave service_profile in Guida all’installazione di Solaris 10 5/08: installazioni di rete .
Se si sceglie di aumentare la sicurezza della rete, vari servizi vengono completamente disabilitati. Altri servizi restano in funzione ma sono limitati alle connessioni locali. Il servizio SSH è sempre completamente abilitato.
Ad esempio, la tabella seguente elenca i servizi di rete limitati alle sole connessioni locali in Solaris 10 11/06.
Tabella 4–6 Servizi SMF limitati in Solaris 10 11/06
Servizio |
FMRI |
Proprietà |
---|---|---|
rpcbind |
svc:/network/rpc/bind |
config/local_only |
syslogd |
svc:/system/system-log |
config/log_from_remote |
sendmail |
svc:/network/smtp:sendmail |
config/local_only |
smcwebserver |
svc:/system/webconsole:console |
options/tcp_listen |
WBEM |
svc:/application/management/ wbem |
options/tcp_listen |
Server X |
svc:/application/x11/x11-server |
options/tcp_listen |
dtlogin |
svc:/application/graphical-login/cde-login |
dtlogin/args |
ToolTalk |
svc:/network/rpccde-ttdbserver:tcp |
proto=ticotsord |
dtcm |
svc:/network/rpccde-calendar-manager |
proto=ticits |
stampa BSD |
svc:/application/print/rfc1179:default |
bind_addr=localhost |
Se si è scelto di limitare l'abilitazione dei servizi di rete, tutti i servizi coinvolti sono controllati da SMF (Service Management Framework). Dopo l'installazione iniziale, i singoli servizi di rete possono essere abilitati usando i comandi svcadm e svccfg.
L'accesso limitato ai servizi di rete viene ottenuto richiamando il comando netservices dal file di aggiornamento di SMF presente in /var/svc/profile. È possibile utilizzare il comando netservices per modificare il comportamento di avvio dei servizi.
Per disabilitare i servizi di rete manualmente, eseguire il comando seguente:
# netservices limited |
Questo comando può essere utilizzato sui sistemi che sono stati aggiornati, sui quali non vengono apportate modifiche ai servizi di rete durante l'aggiornamento. Il comando consente anche di limitare nuovamente l'utilizzo dei servizi di rete dopo che sono stati abilitati singolarmente.
Analogamente, è possibile abilitare i servizi di rete come avveniva nelle precedenti versioni di Solaris eseguendo il seguente comando:
# netservices open |
Per maggiori informazioni sulla revisione delle impostazioni di sicurezza, vedere How to Create an SMF Profile in System Administration Guide: Basic Administration. Vedere anche le seguenti pagine man.
netservices(1M)
svcadm(1M)
comandi svccfg(1M).