Solaris安全FAQ

参考资料：The Solaris Security FAQ by Peter Baer Galvin 

1) (概述--略)

2) 怎样将Solaris配置得更加强壮? 

2.1) 哪些文件的许可权限需要改变? 

有个叫fix-modes的软件(ftp://ftp.fwi.uva.nl/pub/solaris/fix-modes.tar.gz)可以在
Solaris 2.4和2.5上运行并改变系统文件及目录的存取权限，这样会使非ROOT的用户更难
于更改系统文件或者取得ROOT权限。

2.2) 如何对ROOT的环境加以配置? 

将umask设为077或者027. 

查看你的环境中路径设置情况，不要有./

2.3) 我该更改哪些启动文件? 

通常情况下，你要检查所有在/etc/rc2.d和/etc/rc3.d以S开头的文件,所有并非必要的设备
或者服务都可以重命名(不要再以S开头)，然后你可以重新启动，从/var/adm/messages中来
观察自启动的情况，并且从ps -elf的输出中加以检查。

2.4) 如何将ROOT的远程登陆取消? 

在/etc/default/login里加上 "CONSOLE"行，在/etc/ftpusers里加上root。

2.5) 如何取消rlogin/rsh服务? 

移去/etc/hosts.equiv和/.rhosts以及各home目录下的.rhosts，并且在/etc/inetd.conf中
把r系列服务都杀掉，然后找出inetd的进程号，重启它。

2.6) 哪些帐号是不必须的? 

移去或者锁定那些不是必须的帐号，比如sys\uucp\nuucp\listen等等，简单的办法是在
/etc/shadow的password域中放上NP字符。

2.7) 怎样保护我的设备? 

在文件/etc/logindevperm中包含了对系统设备的许可权限配置信息，应该检视里面的各项
设定并且手动赋予你所想要的许可权限。

对于抽取式的BSM设备需要设定只有single user允许进入。

2.8) 我应该将/etc的存取权限改为什么才安全? 

用chmod -R g-w /etc命令来移去组用户对/etc的写权限。

2.9) Solaris机器充当路由器? 

默认情况下，如果Solaris机器有超过一块的网卡的话，它将会在不同网卡间转发数据包，这一行为可
以在/etc/init.d/inetinit中得到控制。要在Solaris 2.4或者更低版本机器下关闭它，可以将
ndd -set /dev/ip ip_forwarding 0添加于/etc/init.d/inetinit的未尾。在Solaris 2.5
中，只要touch /etc/notrouter. 

2.10) 如何取消automounter? 

Automounter是由/etc/auto_*这些配置文件控制的，要取消它，只要简单地移去这些文件,
并且/或者将/etc/rc2.d/S74autofs改名。 

2.11) 如何取消NFS服务? 

NFS的共享输出是由/etc/dfs/dfstab文件管理的.可以删除它。要将NFS服务器的守护进程关闭
则可以重命名/etc/rc3.d/S15nfs.server。要防止一台机器成为NFS客户机，可以重命名文件
/etc/rc2.d/S73nfs.client——当重命名这些自启动文件时，要注意不要将文件的首字母设为
“S”。 

2.12) 对cron任务我该注意些什么？ 

你得查看所有的cron任务——在/var/spool/cron/crontabs文件中你可以找到它们。还必须在
/etc/default/cron里设置了"CRONLOG=yes" 来记录corn的动作。 

2.13) 使用动态路由有什么风险吗? 

使用动态路由守护进程的机器用in.routed及in.rdisc来维护路由，这可能会大大增加路由协议的复杂程
度，而且路由更新会消耗相当大比便的可用带宽，因此在可能的情况下，还是建议你使用静态路由。

2.14) 何时及如何运用静态ARP? 

论坛热门帖子:	[lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了，有点迷茫，应该再学些什么提高自己的测试水平和测试能力呢？(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍，希望对大家有用(10-18)
TAG标签:	安全 文件 系统 可以 使用 一个 配置 安装 机器 并且