Ab der Solaris-Version 10 11/06 können Sie die Netzwerkeinstellungen bei der Erstinstallation so einrichten, dass alle Netzwerkdienste mit Ausnahme von Secure Shell entweder deaktiviert werden oder nur auf lokale Anfragen reagieren. Diese Option minimiert potenzielle Anfälligkeiten gegen Hacker-Angriffe. Darüber bietet diese Funktion die Möglichkeit, nur die wirklich benötigten Netzwerkdienste zu aktivieren. Diese Sicherheitsoption ist jedoch nur während der Erstinstallation und nicht bei einem Upgrade verfügbar. Bei einem Upgrade werden alle vorher aktivierten Netzwerkdienste beibehalten. Falls erforderlich, können Sie die Netzwerkdienste nach einem Upgrade mithilfe des Befehls netservices einschränken.
Je nach dem verwendeten Installationsprogramm können Sie Netzwerkdienste einschränken oder die standardmäßig eingestellten Dienste beibehalten:
Beim interaktiven Solaris-Installationsprogramm können Sie die standardmäßig in früheren Solaris-Versionen aktivierten Netzwerkdienste aktivieren oder Netzwerkdienste einschränken. Eine ausführliche Beschreibung der interaktiven Installation finden Sie in Kapitel 2, Installation mit dem Solaris-Installationsprogramm für UFS-Dateisysteme (Vorgehen) in Solaris 10 5/09 Installationshandbuch: Grundinstallation.
Bei automatischen JumpStart-Installationen können Sie diese Beschränkungen mithilfe des neuen Schlüsselwortes service_profile in der Datei sysidcfg einstellen. Weitere Informationen zu diesem Schlüsselwort finden Sie in service_profile-Schlüsselwort in Solaris 10 5/09 Installationshandbuch: Netzwerkbasierte Installation.
Wenn Sie sich für eine Einschränkung von Netzwerkdiensten entscheiden, werden zahlreiche Dienste deaktiviert. Andere Dienste sind noch aktiviert, jedoch auf lokale Verbindungen beschränkt Die Sicherheits-Shell bleibt vollständig aktiviert.
In der folgenden Tabelle sind Beispiele für Netzwerkdienste aufgeführt, die bei Solaris 10 11/06 auf lokale Verbindungen beschränkt sind.
Tabelle 4–6 Solaris 10 11/06 SMF: eingeschränkte Netzwerkdienste
Dienst |
FMRI |
Eigenschaft |
---|---|---|
rpcbind |
svc:/network/rpc/bind |
config/local_only |
syslogd |
svc:/system/system-log |
config/log_from_remote |
sendmail |
svc:/network/smtp:sendmail |
config/local_only |
smcwebserver |
svc:/system/webconsole:console |
options/tcp_listen |
WBEM |
svc:/application/management/ wbem |
options/tcp_listen |
X-Server |
svc:/application/x11/x11- server |
options/tcp_listen |
dtlogin |
svc:/application/graphical- login/cde-login |
dtlogin/args |
ToolTalk |
svc:/network/rpccde-ttdbserver: tcp |
proto=ticotsord |
dtcm |
svc:/network/rpccde-calendar- manager |
proto=ticits |
BSD print |
svc:/application/print/rfc1179: default |
bind_addr=localhost |
Beim Einschränken von Netzwerkdiensten werden all diese eingeschränkten Dienste vom Service Management Framework (SMF) verwaltet. Einzelne Netzwerkdienste können nach einer Erstinstallation mithilfe der Befehle svcadm und svccfg aktiviert werden.
Der eingeschränkte Netzwerkzugriff wird durch Aufruf·des Befehls netservices aus der SMF-Upgradedatei in /var/svc/profile erreicht. Mit dem Befehl netservices kann das Verhalten des Dienstes beim Starten geändert werden.
Führen Sie den folgenden Befehl aus, um Netzwerkdienste manuell zu deaktivieren:
# netservices limited |
Dieser Befehl kann auf Systemen, auf denen ein Upgrade durchgeführt wurde und standardmäßig keine Änderungen vorgenommen wurden, verwendet werden. Darüber dient dieser Befehl auch zum Wiederherstellen des eingeschränkten Zustands nach dem Aktivieren einzelner Dienste.
In ähnlicher Weise können Dienste so wie sie in früheren Solaris-Versionen aktiviert waren, durch Ausführen des folgenden Befehls aktiviert werden:
# netservices open |
Weitere Informationen zum Ändern von Sicherheitseinstellungen finden Sie in How to Create an SMF Profile in System Administration Guide: Basic Administration . Siehe auch die folgenden Manpages:
netservices(1M)
svcadm(1M)
svccfg(1M)-Befehle.