OPENssh
SECclean是一个脚本文件,它通过对文件权限的配置,tcp/ip的调整,关闭不必要的服务加强系统的可靠性 。
Yassp beta#15中的问题:
1. SSH:
* Yassp在Solaris7及以前版本的系统中不安装SSH,只在Solaris8中安装 。
* Scp的服务器端需要如下设置:
chmod 755 /usr/local /opt/local
ln -s /usr/local/bin/scp /usr/bin/scp
2. Solaris 8 10/00版本的系统中,有一个新的守护进程'picld',是一种对客户端发布特定平台信息的机制,picld进程负责维护及控制客户及内插模块对PICL(Platform Information and
Control Library)信息的访问 。
关闭此进程
mv /etc/rcS.d/S95picld /etc/rcS.d/.S95picld
mv /etc/init.d/picld /etc/init.d/.picld
3. Tocsin是Yassp内含的入侵检测工具,用来侦听网络数据包,缺省情况下不安装 。
pkgadd -d aubtocsin
配置YASSP
安装完YASSP后,首先浏览一下/etc/yassp.conf配置文件,带有注释,很容易理解 。查看yassp.conf及yassp的man pages帮助 。一般情况下,除了SSH,不需要改动什么 。
1. 帐号
* 守护进程及用户(DEF_UMASK)的缺省umask值都被设置成为077,禁止组及全局访问 。在某些情况下,可能需要将umask值改为027,使组可读 。
* cleanup_passwd脚本会关闭/usr/passwd文件中的用户帐号,但是不会删除他们 。Yassp.conf文件中的USERDENIED变量包含缺省的列表 。加入非标准的应用帐号 。
* 如果确定删除某些帐号,将其加入yassp.conf文件中的USEDELETED变量项中,并从新执行cleanup_passwd 。
注:此操作可能会产生无主文件或导致错误,如删除uucp将使tip命令不能使用 。
* ROOTALLOWED变量包含所有UID为0的帐号列表,cleanup_passwd会关闭所有列表之外的UID为0的帐号 。
2. Cron:
* 非root用户需要使用at/cron命令时,需要编辑/etc/cron.d目录下的allow/deny文件 。
* root的cron列表将会被替换 。如果在安装yassp之前,你已经在cron中添加了条目,这些条目需要重新加入,旧的cron列表备份于/yassp.bk目录中 。
* yassp的daily脚本用来整理日志记录,在cron中将其注释掉 。
3. SSH:Yassp将同时安装SSH的客户及服务器端
* 最新版本的SSH可以被“tcp wrapper"保护,因此使用前,要在/etc/hosts.allow文件中放开,缺省是全部关闭 。
* SSH服务对所有主机开放,编辑/etc/hosts.allow加入
sshd : ALL
* 允许X11转发使用SSH,编辑/etc/hosts.allow加入
sshdfwd-X11 : LOCAL
* 提示:在hosts.allow/deny,SSH的规则中不要使用反向finger查询 。
* 在SSH中,通常使用'scp'传送文件 。' sftp'使用于新的SSH2中,如果需要,在
/etc/sshd_config中打开它,当然,由于这是一项新的功能,因此有可能会存在问题 。Subsystems ftp /opt/local/libexec/sftp-server
* 不接受RSA用户认识,而只允许使用囗令 。
RSAAuthentication no
* 检查服务器(/etc/sshd_config)及客户端(/etc/ssh_config)其它的设置,如设置只允许特定的用户使用SSH,禁止用守护进程的帐号使用SSH 。
4. Syslog:在Solaris8系统中,Yassp会以‘-t'参数启动syslog,因此它将不接受其它主机syslog连接 。因此,如果你想使用一台中心log服务器,需要设置SYSLOGFLAGS=""
5. 如果需要启动INETD服务,设置RUNINETD值为YES,并在/etc/inetd.conf中开放相应的服务 。
缺省情况下,yassp会关闭所有的服务 。如果确实需要,使用tcp wrapper,编辑
/etc/hosts.allow和/etc/hosts.deny文件中对访问服务进行限制 。
6. nscd守护进程
* 不启动nscd进程,有些应用,如Netscape的http代理服务将不能工作,设置NETSCAPE或者NSCD变量可以设置激活nscd进程 。
* 关闭nscd进程将加重nameserver的负载,因此,通过调整resolv.conf文件中nameserver的顺序,可以达到平衡负载的目的 。
推荐阅读
- 使用PPT制作出动态文字具体操作流程
- 棉花脱叶剂使用方法
- 方舟生存进化遥控板如何使用
- 使用PPT制作出动态表白文字具体操作方法
- 荣耀20i中隐藏视频的简单使用方法
- Photoshop中使用内容感知工具去除图片多余物体具体操作步骤
- 6230i一周使用报告
- Solaris系统安装步骤
- 由西门子手机的信号强度说起
- 使用Solaris搭建路由器