第 3章 設置說明
SolarisTM for ISPsTM 以一組平台延伸和服務提供 ISP 核心架構 。這一章討論的是如何配置網路主機以便安裝 Solaris for ISPs 延伸及服務。這一份配置資訊基本上可以讓您順利完成安裝。請仔細閱讀。
安裝概要
您必須在安裝 Solaris for ISPs 之前先完成網路設計。這一節討論兩個 Solaris for ISPs 網路主機設定的測試範例。您可以使用最適合您環境的網路主機設定範例。
網路設定
這一節是描述一個網路設定的基本和擴展範例,以及設定的硬體配置需求和建議。
註解 -
在我們的網路設定範例中假設防火牆不存在。如果您是利用 Internet 防火牆產品控制網路與任何 Solaris for ISPs 主機之間的流量,那您要檢查控制這部主機的安全控制方式,確認可以使用相關的通信型態。這一份文件並不提供有關 Internet 防火牆的建議。
基本設定
這個圖形是基本範例設置的圖解。
圖 3-1 基本配置
基本硬體需求
-
三種高階工作站。
-
主要和次要 DNS 伺服器。
-
主機必須在連結到 Internet 的網路上。
-
您可以使用網路上的任何一個伺服器充當客戶機主機。
-
客戶機主機上必須有全球資訊網瀏覽程式供 Sun Internet Administrator 和 Sun Internet Services Monitor 客戶機軟體使用。
基本範例設置設計
三種伺服器分別稱為主機 A、主機 B 主機 C。例如,主機服務可以配置如下:
-
主機 A: 將此伺服器配置成服務主機。安裝 SWS,Sun Internet FTP Server,並將主機配置成主要 DNS 伺服器。
-
主機 B: 將此伺服器配置成主控台主機。安裝 Sun Internet Administrator,Sun Directory Services 及 Sun Internet Services Monitor。
-
主機 C: 將此伺服器配置成服務主機。安裝 Sun Internet News Server 並將主機配置成次要 DNS 伺服器。
註解 -在此範例設置中所討論的 DNS 伺服器配置僅供參考。您不一定要在DNS 伺服器主機上安裝 Solaris for ISPs 延伸及服務。大部份的延伸及服務只需要能夠定期執行名稱查看即可。
擴展設置
這個圖表說明了擴展範例網路設置。
圖 3-2 擴展配置
擴展硬體需求
-
四種高階工作站
-
主要及次要 DNS 伺服器
-
主機必須是在連接到 Internet 的網路上。
-
您可以利用網路上的任何伺服器來充當客戶機主機。
-
客戶機主機上必須有全球資訊網瀏覽程式供 Sun Internet Administrator 和 Sun Internet Services Monitor 客戶機軟體使用。
擴展範例設置設計
四種伺服器分別稱為主機 A、主機 B、主機 C 和主機 D。例如,主機服務可以如下配置:
-
主機 A: 將此伺服器配置成服務主機。安裝 SWS,Sun Internet FTP Server,並將主機配置成主要 DNS 伺服器。
-
主機 B: 將此伺服器配置成主控台主機。安裝 Sun Internet Services Monitor,並將主機配置成次要 DNS 伺服器。
-
主機 C: 將此伺服器配置成服務主機。安裝 Sun Internet News Server。
-
主機 D: 將此伺服器配置成主控台主機。在這個主機上安裝 Sun Internet Administrator 和 Sun Directory Services 。
註解 -在這個範例設置中所顯示的 DNS 伺服器配置僅供參考。您不一定要在DNS 伺服器主機上安裝 Solaris for ISPs 延伸及服務。大部份的延伸及服務只需要能夠定期執行名稱查看即可。
註解 -
在設計網路主機設置之後,準備主機以便安裝 Solaris for ISPs。請參考"Solaris for ISPs 平台延伸",並按照設計來準備主機。
安全性議題
任何利用 Internet 存取的網路都有安全性風險。另外,Solaris for ISPs 的某些功能也引介了其他的風險。無論任何情況,您都可以執行數種安全措施以保護您的網路。以下幾節是討論一些不錯的系統管理策略及 Solaris for ISPs 功能,可讓您保護網路,避免風險。
標準 Internet 安全性風險
在 Internet 上連接其他網路,可能會使您的網路遭到服務中斷,未授權的侵入及嚴重的破壞。這一節所討論的是您必須知道的標準網路安全性風險。防範這些風險是在"如何嚴格管制安全性"中討論。
-
阻斷服務的侵襲: 這些侵襲會使系統無法服務客戶並且使得客戶無法使用服務。例如,侵襲會以無用的流量填滿網路,導致網路無法服務客戶。最常見的是侵襲會使系統故障或是使系統在服務客戶時非常的緩慢。
-
緩衝區超限運轉利用: 這些包括了利用軟體的弱點在程式任意增加資料,此程式若以 root 執行時,會給予利用者 root 存取權進入您的系統。這也會造成阻斷服務的侵襲。
-
刺探和重播侵襲: 刺探侵襲是指一個入侵者接聽您網路上兩個機器間的流量。流量可能包含了利用telnet,rlogin,或ftp來回傳送未加密的密碼。這可能會導致未授權的個人侵入到您的網路或讀取機密資料。
-
IP 詐騙: 以 IP 詐騙為基礎的侵襲會使電腦陷於未授權的存取。正在接聽您網路流量的入侵者會找尋到安全主機的 IP 位址,並且會假借安全主機的名義傳送訊息。
-
內部暴露: 大部份網路非法入侵是心有不滿的現職或離職員工所為,他們誤用資訊存取權或非法入侵您的網路。
Solaris for ISPs 中的安全性風險
這一節討論 & Product; 中一些使軟體冒安全性風險的功能。請參閱"如何嚴格管制安全性"以了解如何防範這些風險。
-
管理產品: 針對 ftp 或新聞這類個別服務的 & Product 管理產品,會提供新路徑以便存取特權操作。入侵者藉著已知,猜測或是破解管理者的密碼,就可以透過網路開拓其管理者介面以變更服務的行為。但是,附加在 & Product; 的 SunscreenTM SKIP 可辨證進來的流量及確保外送的資料在傳送中不會被其他人查看。
-
遠程指令執行機制: & Console; 透過它的管理者主控台遠程執行機制對所有的指令行管理指令提供存取權。入侵者有可能侵入這個機制並且獲得這些指令的存取權。但是,這些指令的存取權為 root 所限,只授予已註冊的系統管理者。
-
Sun Directory Services: 這個 & Product; 軟體可用來儲存及管理有關其他 Solaris for ISPs 延伸及服務的密碼和資訊。入侵者可能對這類的特權資訊非法入侵及開拓存取權。但是,Sun Directory Services 中大部份的密碼是加密過的。在 Sun Directory Services 中未加密的密碼需要 root 存取權。
如何嚴格管制安全性
要保護您的系統以防未授權使用者存取,毀壞或變更資訊,又要使授權的使用者可以使用網路:
-
定期的變更密碼及鼓勵使用不易猜中的密碼。如果區域檔案是使用於密碼管理,Solaris for ISPs 軟體會強迫定期變更所有的密碼。
-
利用公用碼密碼方式為所有在 IP 層次安全主機之間的流量加密。附加在 Solaris for ISPs 的 SKIP 可辨證進來的流量及確保外送的資料在傳送中不會被其他人變更或查看。
-
利用路由器可以區別安全主機並阻絕已遭詐騙的 IP 位址。
-
修改弱點並使您的軟體不受侵襲。
-
取消不需要的服務以免您的網路增加安全性風險。Solaris for ISPs 主機配置軟體,就如起始安裝處理的一部份,可以取消一些 'r' 指令以確保密碼保護及限制未授權的個人存取主機。
-
只提供員工工作上需要用到的資料或資訊的存取權。
-
執行安全性機制,像網路監控及防火牆。
考慮事項
這一節討論一些 Solaris for ISPs 內定功能,是您必須在主機配置時考慮及處理的。這一節的主題包括:
-
Solaris 的變更-由 Solaris for ISPs 所修改的系統檔案。
-
登錄檔案管理- Solaris for ISPs 的常駐程式。
-
使用者定義的指令集-建立安裝後指令集。
-
內定管理全球資料網伺服器設定-回復 AWS 內定設定。
Solaris 的變更
這一節只討論主機配置期間可對 Solaris 服務作的只作一次的變更及可重新配置的變更。如果您接受內定安裝設定,這些變更會在安裝 Solaris for ISPs 的主機上進行。
註解 -
您必須檢查並且在主機配置時對這些變更做必要的修改以便創建 Solaris。這些變更不會加入到 Solaris for ISPs 未來的版次中。
只有以前的設定
Solaris for ISPs 是由創建配置單元所組成,它只執行一回,以確保密碼的安全性並為檔案所有者保護檔案許可權。它可將內定變更的設定變成起始安裝處理的一部份。這個單元的功能與ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz中指令集的功能類似。要還原這些變更,請前往"還原變更"。
這一節是檢驗在創建套裝軟體中只自動執行一回的起始安裝步驟。您必須在安裝 Solaris for ISPs 之前參考這一節。
註解 -
指令集會執行。但是只有當您尚未設定與檔案相衝突的變更時,這些變更才會發生。
-
它會增加umask 077到/.cshrc 和 /.profile。這會使得在互動式 root shell 下建立的檔案的內定檔案許可權只能由 root 讀取及寫入。
-
它增加 root 到/etc/ftpusers以取消 root ftp 到主機的能力。
-
它設定 noshell 為內定 shell 給sys、uucp、nuucp 和 listen 用戶以便記錄未授權登錄企圖。這樣比較容易在系統上偵測非法入侵。
-
它設定MAXWEEKS=12在/etc/default/passwd。如果區域檔是用於密碼管理,這會強迫所有的密碼定期變更。
-
它建立S35umask以便製作內定檔案許可權給系統常駐程式所建立的檔案,只有檔案所有者可以寫入。
-
它在檔案/etc/rc2.d/S69inet中增加一行 ndd-set/dev/ipip_respond_to_echo_broadcast 0,以取消一個拒絕服務的侵襲。
-
它以新版本來取代/etc/syslog.conf是為了確保更細分的登錄及偵測非法入侵。這新版本按設備和登錄層次隔離訊息,並傳送高階訊息到一個中央登錄伺服器。
-
它執行bsmconv並配置/etc/security以便記錄管理動作,及登入和登出。這會啟動 C2 稽核,可以截取syslog遺失的事件。
-
這個單元做的所有變更都會記錄到/var/sadm/install/contents。在未來這會啟動修補安裝。
重新配置設定
Solaris for ISPs 平台延伸及服務的安裝與他們的內定配置會取代在主機上所安裝的內定服務行為。這個程序藉著取消系統上安裝的非 Solaris for ISPs 軟體根本的 Solaris 網路公用程式來建立更安全的伺服器。
註解 -
您必須在主機配置時檢查內定配置並且做必要的修改。
如果您接受內定安裝設置,除非特別聲明,否則 Solaris 服務會取消。取消這些服務並非必需的,但是我們建議您取消這些服務以避免潛在的安全性漏洞和保護資源。要變更這些服務的值,inetd.conf會做修改,除非有特別規定。要還原這些變更,請前往"還原變更"
關閉潛在安全性漏洞
我們建議您取消下列的服務以確保密碼保護及限制未授權的個人對主機的存取權。
註解 -
如果您接受內定設定,您將無法再利用這些取消的 & ldquo; r& rdquo; 指令存取主機。
-
rexecd: 取消這個服務以便中斷經由rexec(3N)功能遠程指令執行的支援,它是以未加密方式傳送密碼。
-
rlogind: 取消這個服務以確保密碼的安全性,因為在遠程登入時,它倚靠.rhosts及hosts.equiv做無密碼辨證。
-
rshd: 取消這個服務以保護密碼,因為在遠程指令執行時,它倚靠.rhosts及hosts.equiv做無密碼辦證。
註解 -如果您接受內定設定,下列服務將會啟動。您必須檢查及修改設定。
-
telnetd: 如果您接受內定安裝設定,要注意這個服務會啟動是因為這啟動了遠程登入機制。
-
ftpd: 如果您接受內定安裝設定,要注意這個服務啟動是因為它提供支援以最低程度的安全性方式與網路站台傳輸檔案。如果您選取以 Sun Internet FTP Server 來安裝,這個服務會取消。
註解 -如果您需要給予 telnet 及 FTP 服務安全性,請設定您的網路,使檔案傳輸要求在網路內提出。
我們建議您取消下列服務以防止未授權使用者截取資訊。取消這些服務會增強系統安全性並且藉著阻礙主機回應這些網路要求來限制存取系統資訊。
-
fingerd: 取消這個服務以防止以網路為基礎的 finger 要求獲取資訊。
-
netstat: 取消這個服務確保各種不同網路相關的資料結構內容不會因為netstat的遠程呼叫而暴露。
-
rstatd: 取消這個服務防存取系統統計資料。
-
rusersd: 取消這個服務保護有關登入使用者的資訊。
-
systat: 取消這個服務以便中斷支援在主機上遠程執行ps。
-
routing: 取消這個服務確保主機不會像路由器般的操作。如果取消,會建立一個/etc/notrouter的檔案。
-
sendmail: 取消這個服務以便防止拒絕服務的侵襲,並且取消支援接收和傳送郵件。S88sendmail會做修改。
-
sprayd: 取消這個服務以便中斷支援測試網路和噴散傳送的記錄套裝軟體。
保護資源
我們建議您取消下列的 CDE 及 OpenWindows 服務,除非它們是您環境所需要使用的。取消這個服務會增強系統效能。
-
cmsd: 取消這個服務,它只有在 CDE 日曆位於主機上時才需要使用。
-
dtspcd: 取消這個服務以便中斷支援 CDE 階段作業。
-
kcms_server: 取消這個服務以便中斷支援遠程存取 OpenWindows KCMS 設定檔。
-
ttdbserverd: 取消這個服務以便中斷支援 ToolTalk 資料庫伺服器需要的適當 CDE 操作。
我們建議您取消下列網路(inetd)服務,除非您的環境需要使用。取消這個服務會釋放資源並增強系統效能。如果您需要下列任何的網路公用程式,請修改內定配置。
-
chargen: 取消這個服務以便中斷支援測試inetd及產生字元。
-
discard: 取消這個服務以便中斷放棄所有來自測試inetd的輸入。
-
echo: 取消這個服務以便中斷支援回應所有來自測試inetd的輸入。
-
fs.auto: 取消這個服務以便取消字形伺服器。
註解 -如果您接受內定設定,下列的服務將會取消。您必須檢查設定並且做修改。
-
time: 如果您接受內定安裝設定,要注意這個服務將會啟動,因它使別人能遠程查詢系統時間。它會傳回機器可讀取的時間。
-
cachefsd: 如果您接受內定安裝設定,要注意這個服務將會啟動。這是cacheFS常駐程式。
我們建議您取消下列服務,除非它他們是您環境上所必備的。取消這個服務會增強系統效能。如果您需要下列任何的服務,請修改內定配置。
-
automountd: 取消這個服務,如果它只有支援自動裝設而非一般 NFS 裝設。要變更它的值,S74autofs將會做修改。
-
comsat: 取消這個服務以便中斷主機上新郵件的biff(1)通知。
-
daytime: 取消這個服務以便中斷支援回傳時刻。
-
rquotad: 取消這個服務確保主機不會操作的像一個 NFS 伺服器,在它的檔案系統支援磁碟分配。
-
sadmind: 取消這個服務以便中斷支援利用 Solstice AdminSuite 執行分散或系統管理操作。
-
talkd: 取消這個服務以便中斷支援執行交談式 talk 程式。
-
tnamed: 取消這個服務以便中斷支援 DARPA 名稱伺服器通信協定。
-
lpd: 取消這個服務確保主機不會當成 BSD 列印伺服器操作。這不會取消系統 V 列印伺服器。
-
uucpd: 取消這個服務並且中斷支援複製由原始檔引數所命名的檔案到目標檔引數。
-
walld: 取消這個服務並且中斷支援由防火牆傳送的訊息。
-
Xaserver: 取消這個服務並且中斷支援以 X 為基礎的聲訊。
註解 -
您也可以在主機配置時參考線上解說有關啟動或取消 Solaris 服務的輔助說明。
還原變更
主機配置期間為了強化及精細調整系統的安全性和效能所作的變更,不會納入 Solaris for ISPs 的下一個版次。這一節所討論的步驟,您可用以還原在機配置期間為創建 Solaris而作的變更。
在您要還原變更的位置登入電腦並且給您自己 root 存取權。決定您所要還原的變更並且遵循分項符號中的指令:
-
創建Solaris 服務會從主機配置圖形使用者介面 (GUI) 調整安全性和最佳效能。這些變更是可以重新配置的,並且您可以利用主機配置 GUI 重設值。請參閱Solaris for ISPs 安裝手冊和主機配置線上解說,以便重設 Solaris 服務值。
-
另外兩個啟動檔案,S35umask和S68echo,在建立於安裝後的/etc/rc2.d中,它們會在 Solaris for ISPs 平台元件解除安裝時自動刪除。
註解 -您必須手動還原一些以前製作給系統配置的變更要還原強化變更:
-
請輸入:# /opt/SUNWfixm/bin/fixmodes -u以便還原以前的變更。
-
請輸入:# bsmunconv以便從 C2 監聽模態轉換到 C1 模態。這會關閉對擷取syslog所遺失的事件而開啟的監聽。
-
比較/.cshrc、/.profile、/.zshenv、/etc/ftpusers、/etc/default/passwd、/etc/syslog.conf的目前版本與 file.pre-hcfconfig檔案的版本。目前檔案包含了強化變更及其他執行強化後所做的修改。決定由主機配置軟體所作的變更並且利用文字編輯程式來還原變更。
註解 -若未決定主機配置所作的及其後的變更,請不要複製檔案.pre-hcfconfig到目前版本的檔案。
登錄檔管理
這一節描述常駐程式,hclfmd,它執行登錄檔管理。這個常駐程式以 root 執行。它在開機時間啟動,並且執行下列功能:
-
它解析/etc/syslog.conf中的登錄檔列表,針對的是不以/dev起頭的檔案路徑 (關聯到系統裝置的檔案) 及每天執行解除、日誌和循環傳送。
針對每個以syslogd,所寫入的登錄檔,它執行下列功能:
-
它改變現存登錄檔名稱並建立一個新的每日登錄。
-
它傳送重新啟動信號(-HUP)到 syslog 常駐程式以便建立一個新的每日登錄。
-
它藉由每週壓縮每日登錄檔產生一個每週歸檔並儲存為名稱。YYYYMMDD-YYYYMMDD.tar.z。
-
它放棄超過一個月的每週歸檔。
-
-
它從/etc/security/audit_control得到稽核登錄的位置,並且每日執行解除、日誌及循環傳送。
它對每一個區域已裝設稽核目錄執行下列功能:
-
它執行audit -n以便建立新的每日登錄。這發出信號給監聽目錄以關閉目前的稽核檔並在目前的稽核目錄中開啟一個新的稽核檔。
-
它藉由每週壓縮每日登錄檔產生一個每週歸檔並儲存為稽核。YYYYMMDD-YYYYMMDD.tar.z。
-
它放棄超過一個月的每週歸檔。
-
-
它每10分鐘執行一次非法入侵偵測。
建立使用者定義的指令集
這一節討論一些安裝和 / 或配置更新, 在安裝 Solaris for ISPs 之後您要提供執行的。這些參數可以寫成一個 shell 指令集。例如,您可以寫一個指令像:echo "foo" >> /etc/ftpusers
您所建立的指令集路徑可以在配置主機 (配置後指令螢幕) 給 Solaris for ISPs 安裝時註冊。此外,您也可以串連這些指令。您所提供的配置後指令會在批次安裝時由 Solaris for ISPs 安裝後指令集執行。
註解 -
這個指令集的建立是選擇性的。
下列是一些您可以放在您的指令集的安裝後系統設置範例,可在安裝之後執行。例如:
-
寫一個程式驗證及確定系統設置變更。
-
寫一個程式在安裝後通知或列印可用的磁碟空間。
-
寫一個程式重新配置來自 syslog 失敗授權登錄的通知訊息。請參閱"登錄檔管理"。
-
寫一個程式配置其他的獨立軟體。
-
-
Enter some 在/etc/hosts中請輸入一些 DNS 伺服器 IP 位址。
-
設定/etc/resolv.conf。
-
修改/etc/nsswitch.conf。
註解 -這一節所討論的 DNS 伺服器配置僅供參考。您不必要重新配置您現有的 DNS 伺服器。請參閱相關文件以便重新配置您的 DNS 伺服器支援 Solaris for ISPs 延伸及服務所要求的一般名稱尋找。
-
回復內定 AWS 設定
Sun Internet Administrator 利用全球資訊網伺服器從它的使用者界面做為管理功能。這個全球資訊網可參照為管理全球資訊網伺服器 (AWS)。如果必要,您也可以重新配置管理全球資訊網伺服器以符合您的需要。請參閱線上解說重新配置管理全球資訊網伺服器。為了確保您不會失去內定配置,這一節討論內定管理全球資訊網伺服器配置檔案的位置及回復內定設定的方法。
管理全球資訊網伺服器內定配置檔案位在/etc/opt/SUNWixamc/awsconf/default/*和/var/opt/SUNWixamc/awsconf。當重新配置管理「全球資訊網伺服器」時,只有/var/opt/SUNWixamc/awsconf檔案配置必須變更。
要回復內定設定,複製/etc/opt/SUNWixamc/awsconf/default/*到/var/opt/SUNWixamc/awsconf。
註解 -
為了 Sun Internet Administrator 主控台的有效運作,請勿變更aws.conf、site.conf、map.conf、realms.conf 和 access.acl中的內定設定。
- © 2010, Oracle Corporation and/or its affiliates