文档介绍:Solaris安全手册发布日期:1999-12-8内容:1,Preparation2,InitialOSinstallation3,Stripping/configuringOS:1stpass4,work5,Installingtools&sysadminsoftware6,Stripping/configuringOS:2ndpass7,CreateTripwireimage,backup,test8,Install,test,,work,。使用一个机器比只使用一个拥有所有权利的机器安全的多,因为这样可以隔离,方便查找问题所在。总之:在你的机器上运行你一些最必要的服务。考虑拆除键盘,屏幕,这样可以避免使用X11和知道命令行所示,在一个隔离的信任的网络段中进行测试。明确你的系统和硬件配置能产生什么样的结果,如在安装SUN的Disksuite时要考虑你是否需要RPC服务,因为DISKSUITE必须使用RPC服务。明确各种应用程序是怎样工作的如:,初始化安装操作系统。连接串口控制台,开机,当出现OK提示时发送Stop-A信息(~#,~%b,或者F5,主要取决于你使用tip,cu或者vt100终端),然后开始安装过程-"bootcdrom-install"使用最小安装enduserbundle(除非你要额外的server/developer工具),设置主机名,终端,IP参数,时区等等,不要激活NIS或者NFS及不要激活电源管理。选择手工划分分区:把/usr和/opt和ROOT分离开来以便这些分区可以以只读方式挂(mount)起来。考虑把大的/var文件系统和拥有较多的数据量如(web,ftp)划分为独立的分区。如果硬盘是2GB建议200MB/(+var),200MBswap,600MB/usr及1GB给/opt如果硬盘是2GB建议300MB/(+var+opt),200MBswap,500MB/usr给ROOT设置一个7到8字符大小写结合等比较强壮的密码,再重启动。接着安全由SUN的安全补丁。一般的在CD上就包含这些安全补丁包。重启动及作为ROOT重启动后,你可以使用showrev-p查看补丁列表。3,配置操作系统磁盘共享(mount):为了减少木马和不授权的修改,在/etc/vfstab,在mount/时请使用"remount,nosuid"选项;在/var上请带上"nosuid"选项;在/tmp后加上"size=100m,nosuid"选项(允许/tmp只能使用100M空间及不允许执行SUID程序);如果软盘不需要的话再把"/dev/fd"行注释掉。(下面的命令假定你使用的是c-shell)使NFS无效:rm/etc//{,}/etc//etc/dfs/dfstab使Sendmail守护程序无效,虽然sendmail不是作为一个守护程序来运行的,但两进制程序是依然存在的,EMAIL还可以通过它了发送(但不能接受)。设定只要一个主机来接受EMAIL,另必须使用smap或其他等同命令来把sendmail危险程度降低到最底。rm/etc/:0****/usr/lib/sendmail-q在关闭一些其他的服务:rm/etc//{S74autofs,,,S72autoinstall}rm/etc//{,,S80PRESERVE}rm/etc//{S85power,K07dmi}rm/etc/:rm/etc//{S47asppp,S89bdconfig,S70uucp}使RPC无效:这一般来说是建议关闭此功能的,但一些程序如DISKSUITE会开启RPC服务,所以一般建议不使用DISKSUITE工具。如果你不想使RPC无效,则一定要使用信息包过滤器。rm/etc/(除非有一个本地打印机存在):rm/etc//{S80lp,S80spc}使namingServicesCachingDaemon(名字服务缓冲守护程序)服务无效:mv/etc//.S76nscd使CDE程序无效(除非你坚持要使用图形控制台):rm/etc