規劃網路安全性
從 Solaris 10 11/06 發行版本開始,您可以選擇在初始安裝期間變更網路安全性設定,以便停用除 Secure Shell 之外的所有網路服務,或限制這些服務僅回應本機請求。這個選項會將遠端攻擊者可能嘗試攻擊的潛在弱點減到最少。此外,這個選項也為客戶提供僅啟用所需服務的基礎。此安全性選項只能在初始安裝期間使用,不能在升級時使用。升級會維護任何先前設定的服務。如有需要,您可以在升級後使用 netservices 指令來限制網路服務。
根據使用的安裝程式,您可以選擇限制網路服務或依預設啟用服務:
-
對於 Solaris 互動式安裝,可以選擇和先前的 Solaris 發行版本一樣,依預設啟用網路服務。或者,您也可以選擇限制網路服務。如需實際安裝的詳細說明,請參閱「Solaris 10 5/09 安裝指南:基本安裝」中的第 2 章「使用 Solaris 安裝程式安裝 UFS 檔案系統) (作業)」。
-
對於自動 JumpStart 安裝,可以使用 sysidcfg 檔案中的新關鍵字 service_profile,來設定這個安全性限制。如需有關此關鍵字的進一步資訊,請參閱「Solaris 10 5/09 安裝指南:網路安裝」中的「service_profile 關鍵字」。
限定安全性的詳細資訊
如果您選擇限制網路安全性,相當多的服務會完全停用。其他服務仍然會啟用,但它們只限制在本機連線。Secure Shell 保持完全啟用。
例如,下表會列出 Solaris 10 11/06 發行版本中限制在本機連線的網路服務。
表 4–6 Solaris 10 11/06 SMF 限定服務|
服務 |
FMRI |
特性 |
|---|---|---|
|
rpcbind |
svc:/network/rpc/bind |
config/local_only |
|
syslogd |
svc:/system/system-log |
config/log_from_remote |
|
sendmail |
svc:/network/smtp:sendmail |
config/local_only |
|
smcwebserver |
svc:/system/webconsole:console |
options/tcp_listen |
|
WBEM |
svc:/application/management/wbem |
options/tcp_listen |
|
X server |
svc:/application/x11/x11-server |
options/tcp_listen |
|
dtlogin |
svc:/application/graphical-login/cde-login |
dtlogin/args |
|
ToolTalk |
svc:/network/rpccde-ttdbserver:tcp |
proto=ticotsord |
|
dtcm |
svc:/network/rpccde-calendar-manager |
proto=ticits |
|
BSD print |
svc:/application/print/rfc1179:default |
bind_addr=localhost |
安裝後修訂安全性設定
使用限定的網路安全性功能時,所有受影響的服務都會受服務管理架構 (SMF) 的控制。在初始安裝後,任何個別的網路服務都可以使用 svcadm 和 svccfg 指令來啟用。
您可以從 /var/svc/profile 中的 SMF 升級檔案,呼叫 netservices 指令來限制網路存取。netservices 指令可以用來切換服務啟動運作方式。
若要手動停用網路服務,請執行下列指令:
# netservices limited |
這個指令可以用於已升級的系統上,依預設這些系統不會進行變更。在啟用個別服務之後,這個指令也可以用於重新建立限定狀態。
同樣地,預設服務可以和先前的 Solaris 發行版本一樣,藉由執行下列指令來啟用:
# netservices open |
如需有關修訂安全性設定的進一步資訊,請參閱「System Administration Guide: Basic Administration」中的「How to Create an SMF Profile」。另請參閱以下線上手冊。
-
「netservices(1M) 線上手冊」
-
「svcadm(1M) 線上手冊」
-
svccfg(1M) 指令
- © 2010, Oracle Corporation and/or its affiliates