文档介绍:Solaris安全手册
1. Preparation
最小限度保证安全的方法是只在主机上运行一个或两个服务。使用一个机器比只使用一个拥有所有权利的机器安全的多,因为这样可以隔离,方便查找问题所在。总之:在你的机器上运行你一些最必要的服务。考虑拆除键盘,屏幕,这样可以避免使用X11和知道命令行所示,在一个隔离的信任的网络段中进行测试。明确你的系统和硬件配置能产生什么样的结果,如在安装SUN的Disksuite时要考虑
你是否需要RPC服务,因为DISKSUITE必须使用RPC服务。明确各种应用程序是怎样工作的如:使用什么端口和文件.
2,初始化安装操作系统。
连接串口控制台,开机,当出现OK提示时发送Stop-A信息(~#,~%b,或者F5,主要取决于你使用tip,cu或者vt100终端),然后开始安装过程-boot cdrom - install
使用最小安装 end user bundle(除非你要额外的server/developer工具),设置主机名,终端,IP参数,时区等等,不要激活NIS或者NFS及不要激活电源管理。选择手工划分分区:把/usr和/opt和ROOT分离开来以便这些分区可以以只读方式挂(mount)起来。考虑把大的/var文件系统和拥有较多的数据量如(ount):为了减少木马和不授权的修改,在/etc/vfstab,在mount /时请使用remount,nosuid选项;在/var上请带上nosuid选项;在/tmp后加上
size=100m,nosuid选项(允许/tmp只能使用100M空间及不允许执行SUID程序);
如果软盘不需要的话再把/dev/fd行route在/etc/。为了使动态路由无效:
touch /etc/notrouter
为了使多路广播(multicasting)无效请在/etc/
route add 。
为了记录ID连接的所有信息,在id低端的启动行中增加-t参数,
即:: /usr/sbin/id -s -t
在/etc/hosts中配置一些你想取舍的主机(一些你不想通过DNS解析的)。
/etc/:
先使所有服务无效;
配置你真正需要的服务,但必须使用FAIN.。
现在发送一封测试EMAIL:mailx -v -s test_email root 在/.cshrc/.profile中设置别名,变量如:VISUAL, EDITOR和PATH,但不要包含'.'号。
为LOGIN登录进程安装SSH。配置SSH守护程序(/etc/sshd_config), rdistd
并改变属性来保护/secure:chmod -R 700 /secure; chood 600 /var/log/loginlog;
chgrp sys /var/log/loginlog
SYSLOG记录:,即把多项服务的记录
分散到各个独立的LOG文件,有条件的话在(/etc/hosts)中指定一台机器作为logh