規劃網路安全性

從 Solaris 10 11/06 發行版本開始，您可以選擇在初始安裝期間變更網路安全性設定，以便停用除 Secure Shell 之外的所有網路服務，或限制這些服務僅回應本機請求。這個選項會將遠端攻擊者可能嘗試攻擊的潛在弱點減到最少。此外，這個選項也為客戶提供僅啟用所需服務的基礎。此安全性選項只能在初始安裝期間使用，不能在升級時使用。升級會維護任何先前設定的服務。如有需要，您可以在升級後使用 netservices 指令來限制網路服務。

根據使用的安裝程式，您可以選擇限制網路服務或依預設啟用服務：

對於 Solaris 互動式安裝，可以選擇和先前的 Solaris 發行版本一樣，依預設啟用網路服務。或者，您也可以選擇限制網路服務。如需手動安裝的詳細說明，請參閱「Oracle Solaris 10 8/11 安裝指南：基本安裝」中的第 2 章「使用 Solaris 安裝程式安裝 UFS 檔案系統 (作業)」。
對於自動 JumpStart 安裝，可以使用 sysidcfg 檔案中的新關鍵字 service_profile，來設定這個安全性限制。如需此關鍵字的進一步資訊，請參閱「Oracle Solaris 10 8/11 安裝指南：網路安裝」中的「service_profile 關鍵字」。

限定安全性的詳細資訊

如果您選擇限制網路安全性，相當多的服務會完全停用。其他服務仍然會啟用，但它們只限制在本機連線。Secure Shell 保持完全啟用。

例如，下表會列出 Solaris 10 11/06 發行版本中限制在本機連線的網路服務。

表 4-6 Solaris 10 11/06 SMF 限定服務

服務	FMRI	特性
rpcbind	`svc:/network/rpc/bind`	`config/local_only`
syslogd	`svc:/system/system-log`	`config/log_from_remote`
sendmail	`svc:/network/smtp:sendmail`	`config/local_only`
smcwebserver	`svc:/system/webconsole:console`	`options/tcp_listen`
WBEM	`svc:/application/management/wbem`	`options/tcp_listen`
X server	`svc:/application/x11/x11-server`	`options/tcp_listen`
dtlogin	`svc:/application/graphical-login/cde-login`	`dtlogin/args`
ToolTalk	`svc:/network/rpccde-ttdbserver:tcp`	`proto=ticotsord`
dtcm	`svc:/network/rpccde-calendar-manager`	`proto=ticits`
BSD print	`svc:/application/print/rfc1179:default`	`bind_addr=localhost`

安裝後修訂安全性設定

使用限定的網路安全性功能時，所有受影響的服務都會受服務管理架構 (SMF) 的控制。在初始安裝後，任何個別的網路服務都可以使用 svcadm 和 svccfg 指令來啟用。

您可以從 /var/svc/profile 中的 SMF 升級檔案，呼叫 netservices 指令來限制網路存取。netservices 指令可以用來切換服務啟動運作方式。

若要手動停用網路服務，請執行下列指令：

# netservices limited

這個指令可以用於已升級的系統上，依預設這些系統不會進行變更。在啟用個別服務之後，這個指令也可以用於重新建立限定狀態。

同樣地，預設服務可以和先前的 Solaris 發行版本一樣，藉由執行下列指令來啟用：

# netservices open

如需修訂安全性設定的進一步資訊，請參閱「System Administration Guide: Basic Administration」中的「How to Create an SMF Profile」。另請參閱以下線上手冊。

「netservices(1M) 線上手冊」
「svcadm(1M) 線上手冊」
svccfg(1M) 指令

跳過導航連結
結束列印檢視
	Oracle Solaris 10 8/11 安裝指南：安裝與升級規劃 Oracle Solaris 10 8/11 Information Library (繁體中文)