跳過導航連結 | |
結束列印檢視 | |
Oracle Solaris 11 安全性指導方針 Oracle Solaris 11 Information Library (繁體中文) |
此時,您可能已建立可擔任角色的使用者,並且建立角色。僅有 root 角色才可以修改系統檔案。
根據您的網站需求,從下列網路作業執行能夠提供額外安全性的作業。這些網站作業會通知遠端登入的使用者其系統已受保護以及強化 IP、ARP 及 TCP 通訊協定。
|
在遠端登入和檔案傳輸時會使用此程序來顯示警告。
開始之前
您必須為 root 角色。您已在 將安全訊息放置在標題檔案中 的 步驟 1 中建立 /etc/issue 檔案。
# vi /etc/ssh/sshd_config # Banner to be printed before authentication starts. Banner /etc/issue
# svcadm refresh ssh
如需更多資訊,請參閱「issue(4) 線上手冊」和「sshd_config(4) 線上手冊」。
# vi /etc/proftpd.conf # Banner to be printed before authentication starts. DisplayConnect /etc/issue
# svcadm restart ftp
如需更多資訊,請參閱 ProFTPD 網站。
使用此程序指定預設路由器以防止在安裝之後執行網路路由。否則,請在手動配置路由之後執行此程序。
備註 - 許多網路配置程序都需要停用路由常駐程式。因此,做為較大配置程序中的一部分,您可能要停用此常駐程式。
開始之前
您必須被指派網路管理權限設定檔。
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
如果服務未執行,您可進行到此步驟為止。
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
另請參閱
「routeadm(1M) 線上手冊」
依預設,&OSOL 會轉寄廣播封包。如果您的網站安全性策略需要降低廣播大量湧入的可能性,請使用此程序變更預設。
備註 - 當您停用 _forward_directed_broadcasts 網路特性時,也會停用廣播偵測。
開始之前
您必須被指派網路管理權限設定檔。
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
另請參閱
「ipadm(1M) 線上手冊」
使用此程序防止網路拓樸資訊的散播。
開始之前
您必須被指派網路管理權限設定檔。
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
另請參閱
如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「_respond_to_echo_broadcast and _respond_to_echo_multicast (ipv4 or ipv6)」和「ipadm(1M) 線上手冊」。
針對做為其他網域之閘道器的系統 (例如防火牆或 VPN 節點),使用此程序以開啟限制多址功能。
Oracle Solaris 11 發行版本為 IPv4 和 IPv6 引進了一項新的 hostmodel 特性。此特性會控制多址系統上 IP 封包的傳送與接收運作方式。
開始之前
您必須被指派網路管理權限設定檔。
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
另請參閱
如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual 」中的「hostmodel (ipv4 or ipv6)」和「ipadm(1M) 線上手冊」。
如需更多使用限制多址功能的資訊,請參閱「Oracle Solaris Administration: IP Services」中的「How to Protect a VPN With IPsec in Tunnel Mode」。
使用此程序控制未完成擱置連線數,防止組絕服務 (DOS) 攻擊。
開始之前
您必須被指派網路管理權限設定檔。
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
另請參閱
如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「_conn_req_max_q0」和「ipadm(1M) 線上手冊」。
使用此程序控制許可的傳入連線數,防止 DOS 攻擊。
開始之前
您必須被指派網路管理權限設定檔。
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
另請參閱
如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「_conn_req_max_q」和「ipadm(1M) 線上手冊」。
此程序會設定 TCP 初始順序編號產生參數以遵循 RFC 1948。
開始之前
您必須是 root 角色才能修改系統檔案。
# vi /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
依預設,許多安全的網路參數皆可調整,因此您可進行變更。如果網站條件許可,請將下列可調整的參數回復為預設值。
開始之前
您必須被指派網路管理權限設定檔。參數目前的值比預設值的安全性低。
預設值會防止來自詐騙封包的 DOS 攻擊。
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「forwarding (ipv4 or ipv6)」。
預設值會防止網路拓樸資訊的散播。
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
預設值會依系統需求移除額外的 CPU,並防止網路資訊的散播。
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
預設值會依系統需求移除額外的 CPU,並防止網路資訊的散播。
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
預設值會依系統需求防止使用額外的 CPU。
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
如果您因診斷目的需要 IP 來源發送,請勿停用此網路參數。
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
如需更多資訊,請參閱「Oracle Solaris Tunable Parameters Reference Manual」中的「_rev_src_routes」。
預設值會依系統需求防止使用額外的 CPU。一般而言,在設計優良的網路上不需要重新導向功能。
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
另請參閱
「ipadm(1M) 線上手冊」