考慮事項

這一節討論一些 Solaris for ISPs 內定功能，是您必須在主機配置時考慮及處理的。這一節的主題包括：

• Solaris 的變更-由 Solaris for ISPs 所修改的系統檔案。

• 登錄檔案管理- Solaris for ISPs 的常駐程式。

• 使用者定義的指令集-建立安裝後指令集。

• 內定管理全球資料網伺服器設定-回復 AWS 內定設定。

Solaris 的變更

這一節只討論主機配置期間可對 Solaris 服務作的只作一次的變更及可重新配置的變更。如果您接受內定安裝設定，這些變更會在安裝 Solaris for ISPs 的主機上進行。

---

註解 -

您必須檢查並且在主機配置時對這些變更做必要的修改以便創建 Solaris。這些變更不會加入到 Solaris for ISPs 未來的版次中。

---

只有以前的設定

Solaris for ISPs 是由創建配置單元所組成，它只執行一回，以確保密碼的安全性並為檔案所有者保護檔案許可權。它可將內定變更的設定變成起始安裝處理的一部份。這個單元的功能與ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz中指令集的功能類似。要還原這些變更，請前往"還原變更"。

這一節是檢驗在創建套裝軟體中只自動執行一回的起始安裝步驟。您必須在安裝 Solaris for ISPs 之前參考這一節。

---

註解 -

指令集會執行。但是只有當您尚未設定與檔案相衝突的變更時，這些變更才會發生。

---

• 它執行一個指令集，使安裝為Solaris 套裝軟體的檔案模態更加安全。這些變更如下：

  • 對setuid和setgid刪除群組和通用讀取許可權。

  • 在所有符合下列任何一個條件的非setuid檔案上刪除群組和通用寫入權：

    • 檔案有群組和通用讀取許可權，但沒有通用寫入權。

    • 檔案有通用執行許可權。

    • 檔案有區別所有者、群組、及通用許可權。

    • 它是一個雙重所有目錄或固定檔案，並且有相同的群組及通用讀取和執行許可權。

  • 刪除不屬於 root 的可執行檔其所有者的寫入權。

• 它會增加umask 077到/.cshrc 和 /.profile。這會使得在互動式 root shell 下建立的檔案的內定檔案許可權只能由 root 讀取及寫入。

• 它增加 root 到/etc/ftpusers以取消 root ftp 到主機的能力。

• 它設定 noshell 為內定 shell 給sys、uucp、nuucp 和 listen 用戶以便記錄未授權登錄企圖。這樣比較容易在系統上偵測非法入侵。

• 它設定MAXWEEKS=12在/etc/default/passwd。如果區域檔是用於密碼管理，這會強迫所有的密碼定期變更。

• 它建立S35umask以便製作內定檔案許可權給系統常駐程式所建立的檔案，只有檔案所有者可以寫入。

• 它在檔案/etc/rc2.d/S69inet中增加一行 ndd-set/dev/ipip_respond_to_echo_broadcast 0，以取消一個拒絕服務的侵襲。

• 它以新版本來取代/etc/syslog.conf是為了確保更細分的登錄及偵測非法入侵。這新版本按設備和登錄層次隔離訊息，並傳送高階訊息到一個中央登錄伺服器。

• 它執行bsmconv並配置/etc/security以便記錄管理動作，及登入和登出。這會啟動 C2 稽核，可以截取syslog遺失的事件。

• 這個單元做的所有變更都會記錄到/var/sadm/install/contents。在未來這會啟動修補安裝。

重新配置設定

Solaris for ISPs 平台延伸及服務的安裝與他們的內定配置會取代在主機上所安裝的內定服務行為。這個程序藉著取消系統上安裝的非 Solaris for ISPs 軟體根本的 Solaris 網路公用程式來建立更安全的伺服器。

---

註解 -

您必須在主機配置時檢查內定配置並且做必要的修改。

---

如果您接受內定安裝設置，除非特別聲明，否則 Solaris 服務會取消。取消這些服務並非必需的，但是我們建議您取消這些服務以避免潛在的安全性漏洞和保護資源。要變更這些服務的值，inetd.conf會做修改，除非有特別規定。要還原這些變更，請前往"還原變更"

關閉潛在安全性漏洞

我們建議您取消下列的服務以確保密碼保護及限制未授權的個人對主機的存取權。

---

註解 -

如果您接受內定設定，您將無法再利用這些取消的 & ldquo; r& rdquo; 指令存取主機。

---

• rexecd： 取消這個服務以便中斷經由rexec(3N)功能遠程指令執行的支援，它是以未加密方式傳送密碼。

• rlogind： 取消這個服務以確保密碼的安全性，因為在遠程登入時，它倚靠.rhosts及hosts.equiv做無密碼辨證。

• rshd： 取消這個服務以保護密碼，因為在遠程指令執行時，它倚靠.rhosts及hosts.equiv做無密碼辦證。

  ---

  註解 -

  如果您接受內定設定，下列服務將會啟動。您必須檢查及修改設定。

  ---

• telnetd： 如果您接受內定安裝設定，要注意這個服務會啟動是因為這啟動了遠程登入機制。

• ftpd： 如果您接受內定安裝設定，要注意這個服務啟動是因為它提供支援以最低程度的安全性方式與網路站台傳輸檔案。如果您選取以 Sun Internet FTP Server 來安裝，這個服務會取消。

  ---

  註解 -

  如果您需要給予 telnet 及 FTP 服務安全性，請設定您的網路，使檔案傳輸要求在網路內提出。

  ---

我們建議您取消下列服務以防止未授權使用者截取資訊。取消這些服務會增強系統安全性並且藉著阻礙主機回應這些網路要求來限制存取系統資訊。

• fingerd： 取消這個服務以防止以網路為基礎的 finger 要求獲取資訊。

• netstat： 取消這個服務確保各種不同網路相關的資料結構內容不會因為netstat的遠程呼叫而暴露。

• rstatd： 取消這個服務防存取系統統計資料。

• rusersd： 取消這個服務保護有關登入使用者的資訊。

• systat： 取消這個服務以便中斷支援在主機上遠程執行ps。

• routing： 取消這個服務確保主機不會像路由器般的操作。如果取消，會建立一個/etc/notrouter的檔案。

• sendmail： 取消這個服務以便防止拒絕服務的侵襲，並且取消支援接收和傳送郵件。S88sendmail會做修改。

• sprayd： 取消這個服務以便中斷支援測試網路和噴散傳送的記錄套裝軟體。

保護資源

我們建議您取消下列的 CDE 及 OpenWindows 服務，除非它們是您環境所需要使用的。取消這個服務會增強系統效能。

• cmsd： 取消這個服務，它只有在 CDE 日曆位於主機上時才需要使用。

• dtspcd： 取消這個服務以便中斷支援 CDE 階段作業。

• kcms_server： 取消這個服務以便中斷支援遠程存取 OpenWindows KCMS 設定檔。

• ttdbserverd： 取消這個服務以便中斷支援 ToolTalk 資料庫伺服器需要的適當 CDE 操作。

我們建議您取消下列網路(inetd)服務，除非您的環境需要使用。取消這個服務會釋放資源並增強系統效能。如果您需要下列任何的網路公用程式，請修改內定配置。

• chargen： 取消這個服務以便中斷支援測試inetd及產生字元。

• discard： 取消這個服務以便中斷放棄所有來自測試inetd的輸入。

• echo： 取消這個服務以便中斷支援回應所有來自測試inetd的輸入。

• fs.auto： 取消這個服務以便取消字形伺服器。

  ---

  註解 -

  如果您接受內定設定，下列的服務將會取消。您必須檢查設定並且做修改。

  ---

• time： 如果您接受內定安裝設定，要注意這個服務將會啟動，因它使別人能遠程查詢系統時間。它會傳回機器可讀取的時間。

• cachefsd： 如果您接受內定安裝設定，要注意這個服務將會啟動。這是cacheFS常駐程式。

我們建議您取消下列服務，除非它他們是您環境上所必備的。取消這個服務會增強系統效能。如果您需要下列任何的服務，請修改內定配置。

• automountd： 取消這個服務，如果它只有支援自動裝設而非一般 NFS 裝設。要變更它的值，S74autofs將會做修改。

• comsat： 取消這個服務以便中斷主機上新郵件的biff(1)通知。

• daytime： 取消這個服務以便中斷支援回傳時刻。

• rquotad： 取消這個服務確保主機不會操作的像一個 NFS 伺服器，在它的檔案系統支援磁碟分配。

• sadmind： 取消這個服務以便中斷支援利用 Solstice AdminSuite 執行分散或系統管理操作。

• talkd： 取消這個服務以便中斷支援執行交談式 talk 程式。

• tnamed： 取消這個服務以便中斷支援 DARPA 名稱伺服器通信協定。

• lpd： 取消這個服務確保主機不會當成 BSD 列印伺服器操作。這不會取消系統 V 列印伺服器。

• uucpd： 取消這個服務並且中斷支援複製由原始檔引數所命名的檔案到目標檔引數。

• walld： 取消這個服務並且中斷支援由防火牆傳送的訊息。

• Xaserver： 取消這個服務並且中斷支援以 X 為基礎的聲訊。

---

註解 -

您也可以在主機配置時參考線上解說有關啟動或取消 Solaris 服務的輔助說明。

---

還原變更

主機配置期間為了強化及精細調整系統的安全性和效能所作的變更，不會納入 Solaris for ISPs 的下一個版次。這一節所討論的步驟，您可用以還原在機配置期間為創建 Solaris而作的變更。

在您要還原變更的位置登入電腦並且給您自己 root 存取權。決定您所要還原的變更並且遵循分項符號中的指令：

• 創建Solaris 服務會從主機配置圖形使用者介面 (GUI) 調整安全性和最佳效能。這些變更是可以重新配置的，並且您可以利用主機配置 GUI 重設值。請參閱Solaris for ISPs 安裝手冊和主機配置線上解說，以便重設 Solaris 服務值。

• 另外兩個啟動檔案，S35umask和S68echo，在建立於安裝後的/etc/rc2.d中，它們會在 Solaris for ISPs 平台元件解除安裝時自動刪除。

  ---

  註解 -

  您必須手動還原一些以前製作給系統配置的變更要還原強化變更：

  ---

• 請輸入：# /opt/SUNWfixm/bin/fixmodes -u以便還原以前的變更。

• 請輸入：# bsmunconv以便從 C2 監聽模態轉換到 C1 模態。這會關閉對擷取syslog所遺失的事件而開啟的監聽。

• 比較/.cshrc、/.profile、/.zshenv、/etc/ftpusers、/etc/default/passwd、/etc/syslog.conf的目前版本與 file.pre-hcfconfig檔案的版本。目前檔案包含了強化變更及其他執行強化後所做的修改。決定由主機配置軟體所作的變更並且利用文字編輯程式來還原變更。

  ---

  註解 -

  若未決定主機配置所作的及其後的變更，請不要複製檔案.pre-hcfconfig到目前版本的檔案。

  ---

登錄檔管理

這一節描述常駐程式，hclfmd，它執行登錄檔管理。這個常駐程式以 root 執行。它在開機時間啟動，並且執行下列功能：

• 它解析/etc/syslog.conf中的登錄檔列表，針對的是不以/dev起頭的檔案路徑 (關聯到系統裝置的檔案) 及每天執行解除、日誌和循環傳送。

  針對每個以syslogd，所寫入的登錄檔，它執行下列功能：

  • 它改變現存登錄檔名稱並建立一個新的每日登錄。

  • 它傳送重新啟動信號(-HUP)到 syslog 常駐程式以便建立一個新的每日登錄。

  • 它藉由每週壓縮每日登錄檔產生一個每週歸檔並儲存為名稱。YYYYMMDD-YYYYMMDD.tar.z。

  • 它放棄超過一個月的每週歸檔。

• 它從/etc/security/audit_control得到稽核登錄的位置，並且每日執行解除、日誌及循環傳送。

  它對每一個區域已裝設稽核目錄執行下列功能：

  • 它執行audit -n以便建立新的每日登錄。這發出信號給監聽目錄以關閉目前的稽核檔並在目前的稽核目錄中開啟一個新的稽核檔。

  • 它藉由每週壓縮每日登錄檔產生一個每週歸檔並儲存為稽核。YYYYMMDD-YYYYMMDD.tar.z。

  • 它放棄超過一個月的每週歸檔。

• 它每10分鐘執行一次非法入侵偵測。

  • 它偵測並在 syslog 檔中報告每個失敗的授權登錄。

  • 根據內定，/etc/opt/SUNWisp/hc/hclfmd.conf會配置為對 syslog 中每個失敗的授權登錄者傳送郵件到 root。

    ---

    註解 -

    您可以重新配置這個檔案。根據內定，它的配置如下：/var/log/badauth：/usr/bin/mailx -s“%f”root < %c：

    • /var/log/badauth是製作登錄的檔案。

    • /usr/bin/mailx -s是傳送郵件到 root 的指令。

    • “%f”是郵件的主題行，包含了偵測到登錄的檔案名稱，和

    • “%c”是syslog檔案的新內容。

    ---

建立使用者定義的指令集

這一節討論一些安裝和 / 或配置更新, 在安裝 Solaris for ISPs 之後您要提供執行的。這些參數可以寫成一個 shell 指令集。例如，您可以寫一個指令像：echo "foo" >> /etc/ftpusers

您所建立的指令集路徑可以在配置主機 (配置後指令螢幕) 給 Solaris for ISPs 安裝時註冊。此外，您也可以串連這些指令。您所提供的配置後指令會在批次安裝時由 Solaris for ISPs 安裝後指令集執行。

---

註解 -

這個指令集的建立是選擇性的。

---

下列是一些您可以放在您的指令集的安裝後系統設置範例，可在安裝之後執行。例如：

• 寫一個程式驗證及確定系統設置變更。

• 寫一個程式在安裝後通知或列印可用的磁碟空間。

• 寫一個程式重新配置來自 syslog 失敗授權登錄的通知訊息。請參閱"登錄檔管理"。

• 寫一個程式配置其他的獨立軟體。

• 寫一個程式配置 DNS 主機：

  • Enter some 在/etc/hosts中請輸入一些 DNS 伺服器 IP 位址。

  • 設定/etc/resolv.conf。

  • 修改/etc/nsswitch.conf。

    ---

    註解 -

    這一節所討論的 DNS 伺服器配置僅供參考。您不必要重新配置您現有的 DNS 伺服器。請參閱相關文件以便重新配置您的 DNS 伺服器支援 Solaris for ISPs 延伸及服務所要求的一般名稱尋找。

    ---

回復內定 AWS 設定

Sun Internet Administrator 利用全球資訊網伺服器從它的使用者界面做為管理功能。這個全球資訊網可參照為管理全球資訊網伺服器 (AWS)。如果必要，您也可以重新配置管理全球資訊網伺服器以符合您的需要。請參閱線上解說重新配置管理全球資訊網伺服器。為了確保您不會失去內定配置，這一節討論內定管理全球資訊網伺服器配置檔案的位置及回復內定設定的方法。

管理全球資訊網伺服器內定配置檔案位在/etc/opt/SUNWixamc/awsconf/default/*和/var/opt/SUNWixamc/awsconf。當重新配置管理「全球資訊網伺服器」時，只有/var/opt/SUNWixamc/awsconf檔案配置必須變更。

要回復內定設定，複製/etc/opt/SUNWixamc/awsconf/default/*到/var/opt/SUNWixamc/awsconf。

---

註解 -

為了 Sun Internet Administrator 主控台的有效運作，請勿變更aws.conf、site.conf、map.conf、realms.conf 和 access.acl中的內定設定。

---