规划网络安全性

从 Solaris 10 11/06 发行版开始，您可以在初始安装期间选择更改网络安全性设置，以便禁用除安全 Shell 之外的所有网络服务，或对这些服务进行限制，使它们只响应本地请求。此选项可最大限度地减少远程攻击者可能会尝试利用的潜在漏洞。此外，基于此选项，客户可以只启用他们需要的服务。此安全性选项仅在初始安装期间可用，在升级期间不可用。升级时会保留以前设置的所有服务。如有必要，可在升级后通过使用 netservices 命令对网络服务进行限制。

根据所用安装程序的不同，您可以选择在缺省情况下使服务保持启用状态，也可以选择限制网络服务：

对于 Oracle Solaris 交互式安装，与以前的 Oracle Solaris 发行版中一样，可以选择缺省情况下启用网络服务。或者，您可以选择相应选项来限制网络服务。有关手动安装的详细说明，请参见《Oracle Solaris 10 1/13 安装指南：基本安装》中的第 2 章 "使用适用于 UFS 文件系统的 Oracle Solaris 安装程序进行安装（任务）"。
对于 JumpStart 安装，您可以在 sysidcfg 文件中使用新关键字 service_profile 来设置此安全限制。有关此关键字的详细信息，请参见《Oracle Solaris 10 1/13 安装指南：基于网络的安装》中的"service_profile 关键字"。

受限制安全性的特定信息

如果选择限制网络安全性，将有许多服务被完全禁用。其他服务仍处于启用状态，但这些服务会被限制为只能进行本地连接。安全 Shell 仍然处于完全启用状态。

下表列出了 Solaris 10 11/06 发行版中被限制为只能进行本地连接的网络服务。

表 3-4 Solaris 10 11/06 SMF 受限制服务

服务	FMRI	属性
`rpcbind`	`svc:/network/rpc/bind`	`config/local_only`
`syslogd`	`svc:/system/system-log`	`config/log_from_remote`
`sendmail`	`svc:/network/smtp:sendmail`	`config/local_only`
`smcwebserver`	`svc:/system/webconsole:console`	`options/tcp_listen`
WBEM	`svc:/application/management/wbem`	`options/tcp_listen`
X 服务器	`svc:/application/x11/x11-server`	`options/tcp_listen`
`dtlogin`	`svc:/application/graphical-login/cde-login`	`dtlogin/args`
ToolTalk	`svc:/network/rpccde-ttdbserver:tcp`	`proto=ticotsord`
`dtcm`	`svc:/network/rpccde-calendar-manager`	`proto=ticits`
BSD 打印	`svc:/application/print/rfc1179:default`	`bind_addr=localhost`

在安装后修改安全性设置

使用受限制的网络安全性功能时，所有受影响的服务都由服务管理框架 (Service Management Framework, SMF) 控制。任何单个网络服务都可在初始安装后通过使用 svcadm 和 svccfg 命令来启用。

通过从 /var/svc/profile 中的 SMF 升级文件调用 netservices 命令来实现受限制的网络访问。netservices 命令可用于切换服务启动行为。

要手动禁用网络服务，请运行以下命令：

# netservices limited

可在已升级的系统中使用此命令（缺省情况下这些系统未进行任何更改）。也可以使用此命令在启用各个服务后重建受限状态。

同样，像以前的 Oracle Solaris 发行版中那样，可以通过运行以下命令启用缺省服务：

# netservices open

有关修改安全性设置的详细信息，请参见《Oracle Solaris 管理：基本管理》中的"如何创建 SMF 配置文件"。另请参见以下手册页：

netservices(1M)
svcadm(1M)
svccfg(1M)

跳过导航链接
退出打印视图
	Oracle Solaris 10 1/13 安装指南：规划安装和升级 Oracle Solaris 10 1/13 Information Library (简体中文)