一次性设置

Solaris for ISPs 包含一个基础配置单元，它只运行一次，用以保证口令的安全性以及保护文件属主的文件权限。它进行一组缺省变更，作为初始安装进程的一部分。此单元的功能类似于如下位置的正文： ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz。要撤消这些变更，请转向 "回复变更"。

本节将研究在基础软件包中只自动执行一次的初始安装步骤。您在安装 Solaris for ISPs 之前必须注意这一节。

正文将被执行。然而，这些变更仅当引起冲突的对文件的变更尚未被您设置时才会发生。

• 它运行一段正文，使得当作 Solaris 软件包的一部分来安装的文件的模式更加安全。这些变更如下：

  • 去除对 setuid 和 setgid 的组和全球读权限。

  • 去除在满足下列任一标准的所有非 setuid 文件上的组和全球写权限：

    • 文件具有组和全球可读权限，但没有全球可写权限。

    • 文件具有全球可执行权限。

    • 文件具有完全相同的属主、组和全球权限。

    • 它是一个拥有 bin 的目录或非可变文件，并且具有完全相同的组和全球读及可执行权限。

  • 去除属主在不属于根的可执行文件上的写权限。

• 它将 umask 077 添加到 /.cshrc 和 /.profile。这使得对在交互式根外壳下创建的文件的缺省文件权限只能被根读写。

• 它将根添加到 /etc/ftpusers 从而禁止根 FTP 到主机的能力。

• 它将 noshell 设置为 sys、uucp、nuucp 和 listen 帐户的缺省外壳以便记录未经授权的登录企图。这使得在系统上检测入侵变得更容易。

• 它在 /etc/default/passwd 中设置 MAXWEEKS=12 。若使用本地文件来管理口令，这将强制所有口令定期变更。

• 它创建 S35umask，使由系统守护程序创建的文件的缺省文件权限为只能被文件属主写入。

• 它通过在文件 /etc/rc2.d/S69inet 中添加行 ndd-set/dev/ipip_respond_to_echo_broadcast 0，从而禁止某个“拒绝服务”攻击。

• 它将 /etc/syslog.conf 替换为一个新版本，以便确保更颗粒化的记录和检测入侵。此新版本根据设备和记录级别两者来隔离消息，然后将高级别的消息发送到中央记录服务器。

• 它执行 bsmconv 并配置 /etc/security 以记录管理动作和登录及注销。这将启用 C2 审查，可以捕获 syslog 所遗漏的事件。

• 本单元做出的所有变更都记录到 /var/sadm/install/contents。这将支持将来安装修补程序。