对 Solaris 的变更

本节讨论可在主机配置过程中对 Solaris 服务进行的 一次性变更以及可重新配置的变更。若您接受缺省安装设置，这些变更将在安装了 Solaris for ISPs 的主机上进行。

---

注意：

您必须复审（若有必要也可修改）在主机配置期间对基础 Solaris 的这些变更。这些变更可能不会合并进未来版本的 Solaris for ISPs。

---

一次性设置

Solaris for ISPs 包含一个基础配置单元，它只运行一次，用以保证口令的安全性以及保护文件属主的文件权限。它进行一组缺省变更，作为初始安装进程的一部分。此单元的功能类似于如下位置的正文： ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz。要撤消这些变更，请转向 "回复变更"。

本节将研究在基础软件包中只自动执行一次的初始安装步骤。您在安装 Solaris for ISPs 之前必须注意这一节。

---

注意：

正文将被执行。然而，这些变更仅当引起冲突的对文件的变更尚未被您设置时才会发生。

---

• 它运行一段正文，使得当作 Solaris 软件包的一部分来安装的文件的模式更加安全。这些变更如下：

  • 去除对 setuid 和 setgid 的组和全球读权限。

  • 去除在满足下列任一标准的所有非 setuid 文件上的组和全球写权限：

    • 文件具有组和全球可读权限，但没有全球可写权限。

    • 文件具有全球可执行权限。

    • 文件具有完全相同的属主、组和全球权限。

    • 它是一个拥有 bin 的目录或非可变文件，并且具有完全相同的组和全球读及可执行权限。

  • 去除属主在不属于根的可执行文件上的写权限。

• 它将 umask 077 添加到 /.cshrc 和 /.profile。这使得对在交互式根外壳下创建的文件的缺省文件权限只能被根读写。

• 它将根添加到 /etc/ftpusers 从而禁止根 FTP 到主机的能力。

• 它将 noshell 设置为 sys、uucp、nuucp 和 listen 帐户的缺省外壳以便记录未经授权的登录企图。这使得在系统上检测入侵变得更容易。

• 它在 /etc/default/passwd 中设置 MAXWEEKS=12 。若使用本地文件来管理口令，这将强制所有口令定期变更。

• 它创建 S35umask，使由系统守护程序创建的文件的缺省文件权限为只能被文件属主写入。

• 它通过在文件 /etc/rc2.d/S69inet 中添加行 ndd-set/dev/ipip_respond_to_echo_broadcast 0，从而禁止某个“拒绝服务”攻击。

• 它将 /etc/syslog.conf 替换为一个新版本，以便确保更颗粒化的记录和检测入侵。此新版本根据设备和记录级别两者来隔离消息，然后将高级别的消息发送到中央记录服务器。

• 它执行 bsmconv 并配置 /etc/security 以记录管理动作和登录及注销。这将启用 C2 审查，可以捕获 syslog 所遗漏的事件。

• 本单元做出的所有变更都记录到 /var/sadm/install/contents。这将支持将来安装修补程序。

可重新配置的设置

使用缺省配置安装 Solaris for ISPs 平台扩展和服务，将覆盖安装它们的主机上的缺省服务特性。这个过程创建了一个更加安全的服务器，因为它禁止了对于在系统上安装的 Solaris for ISPs 软件来说并非必要的 Solaris 网络实用程序。

---

注意：

在配置主机过程中，您必须复审，并且若有必要还可能要修改缺省配置。

---

若您接受缺省安装设置，即意味着这些 Solaris 服务将被禁止，除非另有说明。虽然并不要求禁止这些服务，可我们建议禁止这些服务以 避免潜在的安全漏洞以及保护资源。要变更这些服务的值，inetd.conf 将被修改，除非另有说明。要回复这些变更，请转向 "回复变更"

堵住潜在的安全漏洞

我们建议禁止下列服务以确保对口令的保护和限制未经授权的个人对主机的访问。

---

注意：

若您接受缺省设置，您将不再能够使用这些被禁止的 "r" 命令访问主机。

---

• rexecd: 禁止该服务以终止对通过 rexec(3N) 执行远程命令功能的支持，该功能以明文形式传递口令。

• rlogind: 禁止该服务以确保口令的安全，因为它在远程记录时依靠 .rhosts 和 hosts.equiv 进行无口令鉴别。

• rshd: 禁止该服务以保护口令，因为它在执行远程命令时依靠 .rhosts 和 hosts.equiv 进行无口令鉴别。

  ---

  注意：

  若您接受缺省设置，下列服务将启用。您必须复审并有可能要修改设置。

  ---

• telnetd: 若您接受缺省安装设置，注意该服务会被启用，因为它启用远程登录机制。

• ftpd: 若您接受缺省安装设置，注意该服务会被启用，因为它提供对远程网络站点之间以不安全性最低的方式传送文件的支持。若您选择 Sun Internet FTP Server 进行安装，该服务将被禁止。

  ---

  注意：

  若您需要 telnet 和 FTP 服务的安全性，请将您的网络设置成文件传送请求只在网络内部进行。

  ---

我们建议禁止下列服务，以防止未经授权的用户访问信息。禁止这些服务将会增强系统的安全性，并通过阻止主机对这些网络请求做出响应而限制对系统信息的访问。

• fingerd: 禁止该服务以使某个基于网络的 finger 请求无法接触信息。

• netstat: 禁止该服务以确保各种与网络有关的数据结构的内容不被远程调用 netstat 所暴露。

• rstatd: 禁止该服务以防止对系统统计信息的访问。

• rusersd: 禁止该服务以保护有关已登录用户的信息。

• systat: 禁止该服务以中止对在主机上远程运行 ps 的支持。

• routing: 禁止该服务以确保主机未当作路由器来操作。若被禁止，则创建文件 /etc/notrouter。

• sendmail: 禁止该服务以防止“拒绝服务”攻击以及禁止对接收和发送 邮件的支持。 S88sendmail 被修改。

• sprayd: 禁止该服务以中止对测试网络和记录由 spray 发送的包的支持。

保护资源

我们建议禁止下列 CDE 和 OpenWindows 服务，除非您的环境需要它们。禁止这些服务将增强系统的性能。

• cmsd: 禁止该服务，因为仅当 CDE 日历位于主机上时才需要它。

• dtspcd: 禁止该服务以中止对 CDE 会话的支持。

• kcms_server: 禁止该服务以中止对远程访问 OpenWindows KCMS 简要表的支持。

• ttdbserverd: 禁止该服务以中止对适当的 CDE 操作所要求的 Tooltalk 数据库服务器的支持。

我们建议禁止下列网络 (inetd) 服务，除非您的环境要求它们。禁止这些服务将会释放资源并增强系统性能。若您需要下面列出的任何网络实用程序，请修改缺省配置。

• chargen: 禁止该服务以中止对测试 inetd 和生成字符的支持。

• discard: 禁止该服务以中止丢弃来自正在测试的 inetd 的全部输入。

• echo: 禁止该服务以中止对来自正在测试的 inetd 的所有输入回显 (echo back) 的支持。

• fs.auto: 禁止该服务以禁用字体服务器。

  ---

  注意：

  若您接受缺省设置，下列服务将被启用。您必须复审，还有可能要修改设置。

  ---

• time: 若您接受缺省安装设置，注意该服务将被启用，因为它阻止某人远程查询系统的时间。它返回机器可读的时间。

• cachefsd: 若您接受缺省安装设置，注意该服务将被启用。这是 cacheFS 守护程序。

我们建议禁止下列服务，除非它对于您的环境必不可少。禁止这些服务将增强系统的性能。如果您需要下面列出的任何服务，请修改缺省配置。

• automountd: 禁止该服务，因为它仅仅支持自动装配而非普通 NFS 装配。要变更其值，S74autofs 将被修改。

• comsat: 禁止该服务以中止在主机上新邮件的 biff(1) 通知。

• daytime: 禁止该服务以中止对返回当前时间的支持。

• rquotad: 禁止该服务以确保主机未被当作支持其文件系统上的磁盘限额的 NFS 服务器来操作。

• sadmind: 禁止该服务以中止对用 Solstice AdminSuite 来执行分布式系统管理操作的支持。

• talkd: 禁止该服务以中止对运行交互式谈话程序的支持。

• tnamed: 禁止该服务以中止对 DARPA 名称服务器协议的支持。

• lpd: 禁止该服务以确保主机未被当作 BSD 打印服务器来操作。这并不禁止系统 V 打印服务器。

• uucpd: 禁止该服务并中止支持将以源文件自变量命名的文件复制到以目标文件自变量命名的文件。

• walld: 禁止该服务并中止对由 wall 发送消息的支持。

• Xaserver: 禁止该服务并中止对基于 X 的音频的支持。

---

注意：

您也可以在主机配置过程中参考联机帮助，以获得有关启用或禁用 Solaris 服务方面的帮助。

---

回复变更

在主机配置期间所做的变更，目的是加强和调节系统的安全性和性能，可能不会合并进下一版本的 Solaris for ISPs。本节将讨论为了回复在主机配置期间对基础 Solaris 所做的变更，您可以采取的步骤。

登录到您打算在其中回复变更的计算机，并提供自己的根访问权。确定您要回复的变更，然后按照圆点列表中的指导进行：

• 为安全和优化性能起见，基础 Solaris 服务被加以调节，这是从主机配置图形用户接口 (GUI) 进行的。这些变更是可重新配置的，您可以使用主机配置 GUI 来重设其值。参考 Solaris for ISPs 安装指南 和主机配置联机帮助来重设 Solaris 服务值。

• 在安装后创建的 /etc/rc2.d 中的两个附加的引导文件 S35umask 和 S68echo，当 Solaris for ISPs Platform 组件被卸载时自动去除。

  ---

  注意：

  您必须手动回复对系统配置所做的某些 一次性设置。要回复固化的变更：

  ---

• 输入： # /opt/SUNWfixm/bin/fixmodes -u 以回复一次性设置。

• 输入： # bsmunconv 以便从 C2 审查模式切换到 C1 模式。这将关闭为捕获 syslog 遗漏的事件而打开的审查。

• 将当前版本的 /.cshrc、/.profile、/.zshenv、/etc/ftpusers、/etc/default/passwd、/etc/syslog.conf 与 file.pre-hcfconfig 版本的文件相对比。当前文件包含固化的变更和在执行固化之后可能已做的任何其它编辑。确定主机配置软件所做的变更，然后使用文本编辑器回复这些变更。

  ---

  注意：

  没有确定在主机配置当时或以后所做的变更之前，请勿 file.pre-hcfconfig 复制到当前版本的 file。

  ---