Solaris安全操作指南.docVIP

Solaris安全操作指南Solaris系统安全安装 1.1?安装步骤 Solaris?8?为例，描述系统安装的过程及相关的安全注意事项。请系统管理员在安装系统前，认真阅读Sun公司提供的系统安装指南和参考手册，了解系统安装的基本操作步骤。  请确定网络是断开，即网线没有接入网络中。如果用户希望自动配置NIS服务，则需要网络处于连通状态，但是这样做会带来一些安全隐患，因为在安装期间，RPC服务处于启动状态，存在潜在的安全威胁。建议在系统处于安全保护状态下，才将系统联入网络。 Openboot口令和安全 CD。为了防止无关人员执行EEPROM上的命令，请在OK提示符下，使用命令setenv设置EEPROM的安全模式为”command”，并设置相应的口令，要求口令至少为8位，必须有字母、数字和标点，不能使用名字、完整的英文单词或生日作为口令。下面是一个示例： ok?setenv?security-mode?command security-mode?=?command  请再次确定已经设置了EEPROM的安全模式和口令，并且口令满足一定的复杂读要求。 OK?boot?cdrom 在OK状态下，设置系统启动设备为CD-ROM。 Solaris?安装程序 SUN公司提供安装手册所描述的步骤进行。在系统安装min-root，并进入StartWeb安装环境后，系统管理员注意下列安全事项： 1.?????????设置root口令 root的口令，使其符合复杂性要求，即口令长度必须为8位，包含数字、字母和标点，不能为完整的英文单词或句子。 2.?????????选择系统安装的类型  强烈建议：系统安装选择自定义核心组（core?group）软件包，并且不安装附带软件和附加产品。  软件包编号 ?软件包描述 ?备注 ? SUNWast ?通过监视或限制对系统文件和目录的访问来提高系统安全性的管理公用程序 ?此为SUN提供的安全工具，具体使用可以参阅有关手册  关于Solaris?8?系统安装的软件包信息，请系统管理员参阅附录3，以便根据具体应用选取相应的软件包。 3.?????????网络配置 DHCP或NIS，则需要将系统接入网络，注意接入网络的时间要尽可能短，如果配置DHCP或NIS完毕，请暂时将网络再次断开。下一步是选择IP或DHCP，这里会询问是否安装IPv6，除非必要，否则禁用。同时，SUN的建议是安装所需要的所有服务，因为服务安全的，但是不要采用这个选项。后期在配置服务和网络的时候会证明前者的做法是会带来安全问题的，因为在默认安装后，系统将开放RPC、aotumount、NFS等可能不必要且有潜在危险的服务。 4.?????????名字服务配置 NIS，建议最好不要使用NIS，除非必要。不要在安装中配置DNS，因为在安装时，系统要求联网以便校验DNS服务。系统就暴露在不安全的网络环境下了。建议在系统完成安装，并且根据本手册提供的方法完成系统加固之后，才对DNS进行配置。同样的，如果DNS服务的配置是必要的，那么系统接入网络的时间要尽可能的短，配置完毕立即断开网络连接。 5.?????????磁盘分区 /var分区与root分区分开，以防止日志文件耗尽root分区的空间。确保root分区足够大，建立一个/var分区用于存放系统记录文件和Email文件等。Swap分区为RAM的2倍。通常使用SUN的默认配置，需要进行一些调整。建议分为三个区，即/、/opt和/var。可以在/opt区创建/usr/local，以方便备份管理。 6.?????????注意 Solaris系统安装的顺序可能略有不同，系统管理员可根据具体情况，在上述相应的安装步骤中做好安全配置工作。 Solaris?Minimization?for?Security。 1.2?安装后的工作  系统在安装core?group后，默认开放如下不必要的服务： 1、??NFS 2、??RPC 3、??automount 4、??echo、time、chargen等TCP/IP简单服务  系统安装完成后，系统管理员应该查看和备份系统关键信息，包括系统进程、网络服务信息、suid/sgid文件或目录、系统用户等。  为了提高系统的安全性以及可维护性，建议安装建议的安全辅助工具。 安装补丁程序 在安装完其他系统软件和第三方软件后，马上更新系统补丁程序。并更新Tripwire数据库（如果使用了该软件的话）。?第二章?Solaris系统安全配置 2.1?系统安全配置的原则 Solaris的安全配置可以从以下几个方面来考虑: