使用Yassp工具包安装安全的Solaris系统 （一）

1、安装系统前的准备工作 
2、系统的初始化安装 
3、安装YASSP工具包 
4、在/etc/vfsab文件中对mount文件系统加以限制 
5、在Solaris 8中安装Sunscreen EFS防火墙 
6、进一步增强系统的可靠性：路由、邮件、 解析及工具的设置 
7、补丁 
8、RPC 
9、日志、Cron、权限 
10、限制SUID类型的文件 
11、安装完整性检查工具：如Tripwire 
12、安装、检测并提高应用程序的可靠性 
13、开始工作 

1、安装系统前的准备工作 
* 简化：建议在一台主机上只运行一至两种服务。使用多台服务器，而不要只用一台超级服务器 

去完成所有的工作。这样便于应用的隔离，可靠性的提高，也易于排错及进行软/硬件地升级。切 

记，只运行必要的程序。 
* 硬件：考虑使用串囗终端安装系统。保证网络环境的可信以及封闭。 
* 保证安全地下载软件：在一个封闭的或者没有对外路由的网络环境中，通过ftp与网络内部其它 

主机传送文件。如果网络并不是完全封闭的，要在文件传输完成后，马上断开网络的连接，以减 

小遭到攻击的机会。添加一个以/tmp为HOME目录的非特权用户专门用来在主机间传送文件。 
* 清楚系统的用途、硬件的配置等。有时为了提高系统的可靠性可能会导致某些程序不能正常运 

行，如CDE/OpenWindows，Disksuite及Legato运行都需要RPC的支持，但是在用作为防火墙的主机 

上，要关闭RPC。 
* 理解各种应用的工作方式非常重要(比如应用如何使用端囗、设备及文件)，这样才可以判断哪 

些方面需要加强及存在的风险。 

2、系统的初始化安装 
连接串囗终端，加电，按下Stop-A键使主机进入到OK提示符模式，使用boot cdrom -install命令 

开始安装过程。 
选择以最终用户包(end user bundle)或者核心包(core)模式进行安装，设置主机名，终端类型， 

IP地址，所在时区等，不要开启任何的命名服务，如NIS或NFS。不要打开电源管理或者mount远程 

文件系统。 
注：对于Solaris 8系统，使用F4功能键可以对最终用户包内的软件进行定制。 

分区注意的事项： 
* 对于syslog、web、新闻、代理服务器或者防火墙过滤主机，要为其/var文件系统建立一个独立 

的，较大磁盘空间的分区。将要存储大量数据的服务器，如web或ftp服务器，也应该使用独立的 

分区存储其数据。 
* 将/usr及/opt分区与根区分离，使得/usr及/opt分区可以使用只读(read-only)方式mount。 
* 如果一定要使用Disksuite工具，设置RAID及磁盘镜像，需要为其保留5MB的磁盘空间。使用 

Veritas的文件卷管理，还需要额外的两个分区。 
* 分区实例： 
2GB硬盘，不在本地记录日志，将在/opt下安装大量程序 
200MB /(root+var)，200MB swap，400MB /usr，1.2GB on /opt 
2GB硬盘，为程序保留最大空间，/var分区独立(使得日志文件不会把根区占满) 
1.6GB /(root+usr+opt)，200MB swap，200MB /var 
9GB硬盘，主机提供服务 
200MB /，500MB swap，2GB /usr，5GB /opt，1GB /var 

系统重启 

为root设置一个不易破解的囗令(7到8位，包含数字、字母及标点符号)。安装过程将保留在 

/var/sadm/install_data/install_log文件中。 

论坛热门帖子:	[lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了，有点迷茫，应该再学些什么提高自己的测试水平和测试能力呢？(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍，希望对大家有用(10-18)
TAG标签:	系统 安全 安装 工具 使用 文件 需要 设置 用户 如果