Solaris 的變更

這一節只討論主機配置期間可對 Solaris 服務作的只作一次的變更及可重新配置的變更。如果您接受內定安裝設定，這些變更會在安裝 Solaris for ISPs 的主機上進行。

---

註解 -

您必須檢查並且在主機配置時對這些變更做必要的修改以便創建 Solaris。這些變更不會加入到 Solaris for ISPs 未來的版次中。

---

只有以前的設定

Solaris for ISPs 是由創建配置單元所組成，它只執行一回，以確保密碼的安全性並為檔案所有者保護檔案許可權。它可將內定變更的設定變成起始安裝處理的一部份。這個單元的功能與ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz中指令集的功能類似。要還原這些變更，請前往"還原變更"。

這一節是檢驗在創建套裝軟體中只自動執行一回的起始安裝步驟。您必須在安裝 Solaris for ISPs 之前參考這一節。

---

註解 -

指令集會執行。但是只有當您尚未設定與檔案相衝突的變更時，這些變更才會發生。

---

• 它執行一個指令集，使安裝為Solaris 套裝軟體的檔案模態更加安全。這些變更如下：

  • 對setuid和setgid刪除群組和通用讀取許可權。

  • 在所有符合下列任何一個條件的非setuid檔案上刪除群組和通用寫入權：

    • 檔案有群組和通用讀取許可權，但沒有通用寫入權。

    • 檔案有通用執行許可權。

    • 檔案有區別所有者、群組、及通用許可權。

    • 它是一個雙重所有目錄或固定檔案，並且有相同的群組及通用讀取和執行許可權。

  • 刪除不屬於 root 的可執行檔其所有者的寫入權。

• 它會增加umask 077到/.cshrc 和 /.profile。這會使得在互動式 root shell 下建立的檔案的內定檔案許可權只能由 root 讀取及寫入。

• 它增加 root 到/etc/ftpusers以取消 root ftp 到主機的能力。

• 它設定 noshell 為內定 shell 給sys、uucp、nuucp 和 listen 用戶以便記錄未授權登錄企圖。這樣比較容易在系統上偵測非法入侵。

• 它設定MAXWEEKS=12在/etc/default/passwd。如果區域檔是用於密碼管理，這會強迫所有的密碼定期變更。

• 它建立S35umask以便製作內定檔案許可權給系統常駐程式所建立的檔案，只有檔案所有者可以寫入。

• 它在檔案/etc/rc2.d/S69inet中增加一行 ndd-set/dev/ipip_respond_to_echo_broadcast 0，以取消一個拒絕服務的侵襲。

• 它以新版本來取代/etc/syslog.conf是為了確保更細分的登錄及偵測非法入侵。這新版本按設備和登錄層次隔離訊息，並傳送高階訊息到一個中央登錄伺服器。

• 它執行bsmconv並配置/etc/security以便記錄管理動作，及登入和登出。這會啟動 C2 稽核，可以截取syslog遺失的事件。

• 這個單元做的所有變更都會記錄到/var/sadm/install/contents。在未來這會啟動修補安裝。

重新配置設定

Solaris for ISPs 平台延伸及服務的安裝與他們的內定配置會取代在主機上所安裝的內定服務行為。這個程序藉著取消系統上安裝的非 Solaris for ISPs 軟體根本的 Solaris 網路公用程式來建立更安全的伺服器。

---

註解 -

您必須在主機配置時檢查內定配置並且做必要的修改。

---

如果您接受內定安裝設置，除非特別聲明，否則 Solaris 服務會取消。取消這些服務並非必需的，但是我們建議您取消這些服務以避免潛在的安全性漏洞和保護資源。要變更這些服務的值，inetd.conf會做修改，除非有特別規定。要還原這些變更，請前往"還原變更"

關閉潛在安全性漏洞

我們建議您取消下列的服務以確保密碼保護及限制未授權的個人對主機的存取權。

---

註解 -

如果您接受內定設定，您將無法再利用這些取消的 & ldquo; r& rdquo; 指令存取主機。

---

• rexecd： 取消這個服務以便中斷經由rexec(3N)功能遠程指令執行的支援，它是以未加密方式傳送密碼。

• rlogind： 取消這個服務以確保密碼的安全性，因為在遠程登入時，它倚靠.rhosts及hosts.equiv做無密碼辨證。

• rshd： 取消這個服務以保護密碼，因為在遠程指令執行時，它倚靠.rhosts及hosts.equiv做無密碼辦證。

  ---

  註解 -

  如果您接受內定設定，下列服務將會啟動。您必須檢查及修改設定。

  ---

• telnetd： 如果您接受內定安裝設定，要注意這個服務會啟動是因為這啟動了遠程登入機制。

• ftpd： 如果您接受內定安裝設定，要注意這個服務啟動是因為它提供支援以最低程度的安全性方式與網路站台傳輸檔案。如果您選取以 Sun Internet FTP Server 來安裝，這個服務會取消。

  ---

  註解 -

  如果您需要給予 telnet 及 FTP 服務安全性，請設定您的網路，使檔案傳輸要求在網路內提出。

  ---

我們建議您取消下列服務以防止未授權使用者截取資訊。取消這些服務會增強系統安全性並且藉著阻礙主機回應這些網路要求來限制存取系統資訊。

• fingerd： 取消這個服務以防止以網路為基礎的 finger 要求獲取資訊。

• netstat： 取消這個服務確保各種不同網路相關的資料結構內容不會因為netstat的遠程呼叫而暴露。

• rstatd： 取消這個服務防存取系統統計資料。

• rusersd： 取消這個服務保護有關登入使用者的資訊。

• systat： 取消這個服務以便中斷支援在主機上遠程執行ps。

• routing： 取消這個服務確保主機不會像路由器般的操作。如果取消，會建立一個/etc/notrouter的檔案。

• sendmail： 取消這個服務以便防止拒絕服務的侵襲，並且取消支援接收和傳送郵件。S88sendmail會做修改。

• sprayd： 取消這個服務以便中斷支援測試網路和噴散傳送的記錄套裝軟體。

保護資源

我們建議您取消下列的 CDE 及 OpenWindows 服務，除非它們是您環境所需要使用的。取消這個服務會增強系統效能。

• cmsd： 取消這個服務，它只有在 CDE 日曆位於主機上時才需要使用。

• dtspcd： 取消這個服務以便中斷支援 CDE 階段作業。

• kcms_server： 取消這個服務以便中斷支援遠程存取 OpenWindows KCMS 設定檔。

• ttdbserverd： 取消這個服務以便中斷支援 ToolTalk 資料庫伺服器需要的適當 CDE 操作。

我們建議您取消下列網路(inetd)服務，除非您的環境需要使用。取消這個服務會釋放資源並增強系統效能。如果您需要下列任何的網路公用程式，請修改內定配置。

• chargen： 取消這個服務以便中斷支援測試inetd及產生字元。

• discard： 取消這個服務以便中斷放棄所有來自測試inetd的輸入。

• echo： 取消這個服務以便中斷支援回應所有來自測試inetd的輸入。

• fs.auto： 取消這個服務以便取消字形伺服器。

  ---

  註解 -

  如果您接受內定設定，下列的服務將會取消。您必須檢查設定並且做修改。

  ---

• time： 如果您接受內定安裝設定，要注意這個服務將會啟動，因它使別人能遠程查詢系統時間。它會傳回機器可讀取的時間。

• cachefsd： 如果您接受內定安裝設定，要注意這個服務將會啟動。這是cacheFS常駐程式。

我們建議您取消下列服務，除非它他們是您環境上所必備的。取消這個服務會增強系統效能。如果您需要下列任何的服務，請修改內定配置。

• automountd： 取消這個服務，如果它只有支援自動裝設而非一般 NFS 裝設。要變更它的值，S74autofs將會做修改。

• comsat： 取消這個服務以便中斷主機上新郵件的biff(1)通知。

• daytime： 取消這個服務以便中斷支援回傳時刻。

• rquotad： 取消這個服務確保主機不會操作的像一個 NFS 伺服器，在它的檔案系統支援磁碟分配。

• sadmind： 取消這個服務以便中斷支援利用 Solstice AdminSuite 執行分散或系統管理操作。

• talkd： 取消這個服務以便中斷支援執行交談式 talk 程式。

• tnamed： 取消這個服務以便中斷支援 DARPA 名稱伺服器通信協定。

• lpd： 取消這個服務確保主機不會當成 BSD 列印伺服器操作。這不會取消系統 V 列印伺服器。

• uucpd： 取消這個服務並且中斷支援複製由原始檔引數所命名的檔案到目標檔引數。

• walld： 取消這個服務並且中斷支援由防火牆傳送的訊息。

• Xaserver： 取消這個服務並且中斷支援以 X 為基礎的聲訊。

---

註解 -

您也可以在主機配置時參考線上解說有關啟動或取消 Solaris 服務的輔助說明。

---

還原變更

主機配置期間為了強化及精細調整系統的安全性和效能所作的變更，不會納入 Solaris for ISPs 的下一個版次。這一節所討論的步驟，您可用以還原在機配置期間為創建 Solaris而作的變更。

在您要還原變更的位置登入電腦並且給您自己 root 存取權。決定您所要還原的變更並且遵循分項符號中的指令：

• 創建Solaris 服務會從主機配置圖形使用者介面 (GUI) 調整安全性和最佳效能。這些變更是可以重新配置的，並且您可以利用主機配置 GUI 重設值。請參閱Solaris for ISPs 安裝手冊和主機配置線上解說，以便重設 Solaris 服務值。

• 另外兩個啟動檔案，S35umask和S68echo，在建立於安裝後的/etc/rc2.d中，它們會在 Solaris for ISPs 平台元件解除安裝時自動刪除。

  ---

  註解 -

  您必須手動還原一些以前製作給系統配置的變更要還原強化變更：

  ---

• 請輸入：# /opt/SUNWfixm/bin/fixmodes -u以便還原以前的變更。

• 請輸入：# bsmunconv以便從 C2 監聽模態轉換到 C1 模態。這會關閉對擷取syslog所遺失的事件而開啟的監聽。

• 比較/.cshrc、/.profile、/.zshenv、/etc/ftpusers、/etc/default/passwd、/etc/syslog.conf的目前版本與 file.pre-hcfconfig檔案的版本。目前檔案包含了強化變更及其他執行強化後所做的修改。決定由主機配置軟體所作的變更並且利用文字編輯程式來還原變更。

  ---

  註解 -

  若未決定主機配置所作的及其後的變更，請不要複製檔案.pre-hcfconfig到目前版本的檔案。

  ---