Solaris 10 5/09 Installationshandbuch: Planung von Installationen und Upgrades

Planung der Netzwerksicherheit

Ab der Solaris-Version 10 11/06 können Sie die Netzwerkeinstellungen bei der Erstinstallation so einrichten, dass alle Netzwerkdienste mit Ausnahme von Secure Shell entweder deaktiviert werden oder nur auf lokale Anfragen reagieren. Diese Option minimiert potenzielle Anfälligkeiten gegen Hacker-Angriffe. Darüber bietet diese Funktion die Möglichkeit, nur die wirklich benötigten Netzwerkdienste zu aktivieren. Diese Sicherheitsoption ist jedoch nur während der Erstinstallation und nicht bei einem Upgrade verfügbar. Bei einem Upgrade werden alle vorher aktivierten Netzwerkdienste beibehalten. Falls erforderlich, können Sie die Netzwerkdienste nach einem Upgrade mithilfe des Befehls netservices einschränken.

Je nach dem verwendeten Installationsprogramm können Sie Netzwerkdienste einschränken oder die standardmäßig eingestellten Dienste beibehalten:

Aspekte bei eingeschränkten Netzwerkdiensten

Wenn Sie sich für eine Einschränkung von Netzwerkdiensten entscheiden, werden zahlreiche Dienste deaktiviert. Andere Dienste sind noch aktiviert, jedoch auf lokale Verbindungen beschränkt Die Sicherheits-Shell bleibt vollständig aktiviert.

In der folgenden Tabelle sind Beispiele für Netzwerkdienste aufgeführt, die bei Solaris 10 11/06 auf lokale Verbindungen beschränkt sind.

Tabelle 4–6 Solaris 10 11/06 SMF: eingeschränkte Netzwerkdienste

Dienst 

FMRI 

Eigenschaft 

rpcbind 

svc:/network/rpc/bind

config/local_only

syslogd 

svc:/system/system-log

config/log_from_remote

sendmail 

svc:/network/smtp:sendmail

config/local_only

smcwebserver 

svc:/system/webconsole:console

options/tcp_listen

WBEM 

svc:/application/management/ wbem

options/tcp_listen

X-Server 

svc:/application/x11/x11- server

options/tcp_listen

dtlogin 

svc:/application/graphical- login/cde-login

dtlogin/args

ToolTalk 

svc:/network/rpccde-ttdbserver: tcp

proto=ticotsord

dtcm 

svc:/network/rpccde-calendar- manager

proto=ticits

BSD print 

svc:/application/print/rfc1179: default

bind_addr=localhost

Ändern der Sicherheitseinstellungen nach der Installation

Beim Einschränken von Netzwerkdiensten werden all diese eingeschränkten Dienste vom Service Management Framework (SMF) verwaltet. Einzelne Netzwerkdienste können nach einer Erstinstallation mithilfe der Befehle svcadm und svccfg aktiviert werden.

Der eingeschränkte Netzwerkzugriff wird durch Aufruf·des Befehls netservices aus der SMF-Upgradedatei in /var/svc/profile erreicht. Mit dem Befehl netservices kann das Verhalten des Dienstes beim Starten geändert werden.

Führen Sie den folgenden Befehl aus, um Netzwerkdienste manuell zu deaktivieren:


# netservices limited

Dieser Befehl kann auf Systemen, auf denen ein Upgrade durchgeführt wurde und standardmäßig keine Änderungen vorgenommen wurden, verwendet werden. Darüber dient dieser Befehl auch zum Wiederherstellen des eingeschränkten Zustands nach dem Aktivieren einzelner Dienste.

In ähnlicher Weise können Dienste so wie sie in früheren Solaris-Versionen aktiviert waren, durch Ausführen des folgenden Befehls aktiviert werden:


# netservices open

Weitere Informationen zum Ändern von Sicherheitseinstellungen finden Sie in How to Create an SMF Profile in System Administration Guide: Basic Administration . Siehe auch die folgenden Manpages: