Solaris™ Security Toolkit 4.2
发行说明
Sun Microsystems, Inc.
www.sun.com
文件号码 819-3798-10
2005 年 7 月,修订版 A
请将有关本文档的意见和建议提交至: http://www.sun.com/hwdocs/feedback
版权所有 2005 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A. 保留所有权利。
对于本文档中介绍的产品, Sun Microsystems, Inc. 对其所涉及的技术拥有相关的知识产权。需特别指出的是 (但不局限于此),这些知识
产权可能包含在 http://www.sun.com/patents 中列出的一项或多项美国专利,以及在美国和其他国家/地区申请的一项或多项其他专利或
待批专利。
本文档及其相关产品的使用、复制、分发和反编译均受许可证限制。未经 Sun 及其许可方 (如果有)的事先书面许可,不得以任何形式、任何
手段复制本产品或文档的任何部分。
第三方软件,包括字体技术,均已从 Sun 供应商处获得版权和使用许可。
本产品的某些部分可能是从 Berkeley BSD 系统衍生出来的,并获得了加利福尼亚大学的许可。 UNIX 是 X/Open Company, Ltd. 在美国和其他
国家/地区独家许可的注册商标。
Sun、Sun Microsystems、Sun 徽标、Java、AnswerBook2、docs.sun.com 和 Solaris 是 Sun Microsystems, Inc. 在美国和其他国家/地区的商标
或注册商标。
所有 SPARC 商标的使用均已获得许可,它们是 SPARC International, Inc. 在美国和其他国家/地区的商标或注册商标。标有 SPARC 商标的产品
均基于由 Sun Microsystems, Inc. 开发的体系结构。
OPEN LOOK 和 Sun™ 图形用户界面是 Sun Microsystems, Inc. 为其用户和许可证持有者开发的。 Sun 感谢 Xerox 在研究和开发可视或图形用
户界面的概念方面为计算机行业所做的开拓性贡献。 Sun 已从 Xerox 获得了对 Xerox 图形用户界面的非独占性许可证,该许可证还适用于实现
OPEN LOOK GUI 和在其他方面遵守 Sun 书面许可协议的 Sun 许可证持有者。
美国政府权利 — 商业用途。政府用户应遵循 Sun Microsystems, Inc. 的标准许可协议,以及 FAR (Federal Acquisition Regulations,即 “联
邦政府采购法规”)的适用条款及其补充条款。
本文档按 “原样”提供,对所有明示或默示的条件、陈述和担保,包括对适销性、适用性或非侵权性的默示保证,均不承担任何责任,除非此
免责声明的适用范围在法律上无效。
请回收
目录
前言 vii
Solaris Security Toolkit 4.2 发行说明 1
Solaris Security Toolkit 4.2 发行版中的更改 1
支持 Solaris 10 OS 2
其他方面的更改 3
Solaris 10 OS 支持情况的详细信息 3
Solaris Security Toolkit 4.2 软件新增的框架函数 3
Solaris Security Toolkit 4.2 中新增的脚本 5
不适用于 Solaris 10 OS 的脚本 5
Solaris Security Toolkit 4.2 版软件中新增的环境变量 6
新增的框架变量 6
新增的脚本行为变量 6
不适用于 Solaris 10 OS 的环境变量 7
从 Solaris Security Toolkit 4.2 软件中删除的功能 7
被自动禁用的 rpcbind 7
▼ 启用 rpcbind 7
支持的 SMS 版本 9
Solaris Security Toolkit 软件的已知限制 9
一般注意事项和问题 10
iii
仅以软件包的格式分发 10
现在可重定位 SUNWjass 和 JASScustm 软件包 10
Solaris Security Toolkit 与 CTRL-C 10
Solaris Security Toolkit 4.2 版软件中的错误 11
使用 NIS 时,多次重新引导可能导致出现审计错误 (错误 ID 6222181) 11
多次重新引导可能导致 svcs 处于未初始化的状态,从而使得对 nddconfig
的审计失败 (错误 ID 6284872) 11
影响 Solaris Security Toolkit 4.2 软件的错误 12
两次审计之间的 ip6_send_redirects 参数可能不同
(错误 ID 6222001) 12
/etc/motd 应作为可变文件安装 (错误 ID 6222495) 12
svc.startd 无法满足 optional_all 的基本条件 (错误 ID 6223370) 13
iv Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
表
表 1 不适用于 Solaris 10 OS 的 Solaris Security Toolkit 脚本 5
表 2 SunOS 版本与 Solaris OS 版本之间的对应关系 9
v
vi Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
前言
本文档是 Solaris™ Security Toolkit 4.2 软件的发行说明。
阅读本书之前
本文档面向 Solaris 系统管理员,要求您对 UNIX® 系统,尤其是对基于 Solaris 操作系
统 (Solaris OS) 的系统具有应用经验。如果您不具备这些知识,请首先阅读 Solaris 用
户和系统管理员文档,并考虑接受 UNIX 系统管理培训。
使用 UNIX 命令
本文档不会介绍基本的 UNIX 命令和操作过程,如关闭系统、启动系统和配置设备等。
欲获知此类信息,请参阅以下文档:
■ 系统附带的软件文档
■ Solaris 操作系统的有关文档,其 URL 如下:
http://docs.sun.com
vii
Shell 提示符
Shell
C shell machine-name%
C shell 超级用户
Bourne shell 和 Korn shell
Bourne shell 和 Korn shell 超级用户
提示符
machine-name#
$
#
印刷约定
*
字体
AaBbCc123
AaBbCc123
AaBbCc123
新词术语强调 新词或术语以及要强调的词。 您必须成为超级用户才能执行此操作。
《书名》 书名 阅读 《用户指南》 的第 6 章。
* 浏览器的设置可能会与这些设置有所不同。
含义 示例
命令、文件和目录的名称;计算
机屏幕输出
用户键入的内容,与计算机屏幕
输出的显示不同
保留未译的新词或术语以及要强
调的词。 要使用实名或值替换的
命令行变量。
编辑 .login 文件。
使用 ls -a 列出所有文件。
% You have mail.
% su
Password:
这些称为 class 选项。
要删除文件,请键入 rm filename。
viii Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
相关文档
可通过访问以下网址获取下表中列出的联机文档:
http://www.sun.com/products-n-solutions/hardware/docs/
Software/enterprise_computing/systems_management/sst/index.html
应用 书名 文件号码 格式 位置
参考 《Solaris Security Toolkit 4.2 Reference Manual》
管理 《Solaris Security Toolkit 4.2 管理指南》
手册页 《Solaris Security Toolkit 4.2 Man Page Guide》
819-1503-10 PDF
HTML
819-3791-10 PDF
HTML
819-1505-10 PDF
联机
联机
联机
文档、支持和培训
Sun 功能
文档
支持
培训
URL
http://www.sun.com/documentation/
http://www.sun.com/support/
http://www.sun.com/training/
说明
下载 PDF 和 HTML 文档,订购印刷的
文档
获取技术支持以及下载修补程序
学习 Sun 课程
第三方 Web 站点
Sun 对本文档提到的第三方 We b 站点的可用性不承担任何责任。对于此类站点或资源
中的 (或通过它们获得的)任何内容、广告、产品或其他资料, Sun 并不表示认可,
也不承担任何责任。对于因使用或依靠此类站点或资源中的 (或通过它们获得的)任
何内容、产品或服务而造成的或连带产生的实际或名义损坏或损失, Sun 概不负责,也
不承担任何责任。
前言 ix
Sun 欢迎您提出意见
Sun 致力于提高其文档的质量,并十分乐意收到您的意见和建议。您可以通过以下网址
提交您的意见和建议:
http://www.sun.com/hwdocs/feedback
请在您的反馈信息中包含文档的书名和文件号码:
《Solaris Security Toolkit 4.2 发行说明》,文件号码 819-3798-10
x Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
Solaris Security Toolkit 4.2 发行说明
本指南介绍了 Solaris™ Security Toolkit 软件(也称作 JumpStart™ 体系结构和安全脚
本 (JASS)) 4.2 版的发行说明,其中包含以下主题:
■ Solaris Security Toolkit 4.2 版中的更改
■ Solaris 10 OS 支持情况的详细信息
■ 支持的硬件系统
■ 支持的 Solaris OS 版本
■ 支持的 SMS 版本
■ Solaris Security Toolkit 4.2 的已知限制
■ 一般注意事项和问题
■ Solaris Security Toolkit 4.2 软件中的错误
■ 影响 Solaris Security Toolkit 4.2 软件的错误
Solaris Security Toolkit 4.2 发行版中的
更改
本节介绍 Solaris Security Toolkit 4.2 软件中的主要更改。有关这些更改的详细信息,
请参阅 《Solaris Security Toolkit 4.2 Reference Manual》。
注 – Solaris Security Toolkit 软件以前的版本会在 Documentation 目录中提供
CHANGES 文件,自此版本开始不再提供该文件,而是将更改收录在本文档中。
1
支持 Solaris 10 OS
Solaris Security Toolkit 软件的 4.2 版可支持 Solaris 10 操作系统 (OS)。
在用于加强和审计系统安全性方面,Solaris Security Toolkit 4.2 软件的操作方法与以前
的版本类似。和以前版本一样,您也可以在 JumpStart 或独立模式下使用该软件。
以下是为支持 Solaris 10 OS 而对本软件进行的主要更改。有关详细信息,请参见
“Solaris 10 OS 支持情况的详细信息”。
■ 可以使用 SMF 服务 - 现在许多 Solaris Security Toolkit 脚本都可以使用 Service
Management Facility (SMF) 服务接口、 Fault Management Resource Identifier
(FMRI) 以及 start 和 stop 脚本。
■ 传统服务 - 使 SMF 能够将某些无法使用 Solaris Security Toolkit 的脚本识别为传
统服务。
■ 区域 - 能够加强和审计 Solaris 10 OS 中区域的安全性。
■ TCP 包装 - 为 Solaris Security Toolkit 驱动程序提供了传输控制协议 (TCP) 包装配
置。
■ MD5 - 通过 digest -a md5 命令支持 Solaris 10 OS message_digest 5 (md5) 算法
功能,这使得 Solaris 10 OS 系统中不再需要 SUNBEmd5 软件包。
■ 管理路由 - 提供管理 Solaris 10 OS 中的路由的新脚本。
■ 新的主根目录 - 将 /root (而非标准的根目录 /)作为新的主根目录。
■ IP 过滤器 - 通过集成免费的 Internet 协议 (IP) 过滤器软件,从而具备了内置的防
火墙功能。
■ BART - 支持基本审计报告工具 (Basic Audit Reporting Tool, BART),其功能之
一是让您确定发生在系统中的文件级别的更改。
■ 灵活加密 - 支持在 Solaris 10 OS 中使用多种新的可调组件,控制密码加密的算法。
■ 帐户锁定 - 支持 Solaris 10 OS 经过预设次数的失败登录尝试后锁定帐户的功能。
■ 参数化的密码检查 - 支持 Solaris 10 OS 严格密码检查。
■ 密码历史 - 支持 Solaris 10 OS 中新增的密码安全性检查。
■ RPC BIND - 支持启用或禁用来自 Berkeley Internet 名称域的远程过程调用
(rpcbind)。
■ Perl - 支持以实用摘录和报告语言 (Perl) 创建 Solaris Security Toolkit 脚本以便与
Solaris 10 OS 结合使用。
■ XFS - 支持启用或禁用 X 字体服务器。 XFS 客户机连接至该服务器请求字体集,该
服务器从磁盘读取字体文件并将其提供给客户机。 X 字体服务器守护进程由 SMF 进
行管理。
■ GNOME - 支持启用或禁用对 GNU 网络对象模型环境 (GNOME) 和公用桌面环境
(CDE) 的支持。
2 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
其他方面的更改
除为支持 Solaris 10 OS 而对此软件进行的更改外,还对此软件进行了以下方面的更
改:
■ 可重定位的软件包 - 提供了可重定位的 Solaris Security Toolkit 4.2 软件包,这样
即可通过使用 pkgadd 命令的正确选项将该软件包安装至任何您想要的目录。
■ 删除备份文件 - 提供了删除 Solaris Security Toolkit 备份文件的功能
■ 合并驱动程序的功能 - 将 desktop-{secure|config|hardening}.driver、
sunfire_15k_domain-{secure|config|hardening}.driver 和
jumpstart-{secure|config|hardening}.driver 功能合并至 server-
{secure|config|hardening}.driver
■ 智能默认值 - 支持智能默认值;即允许用户通过按 Return 键指定可行的默认值。
■ 详细程度- 简化了 jass-execute 和 jass-check-sum 命令输出的详细程度。
■ IIim - 可启用或禁用 Internet-Intranet 输入法 (IIim),从而可在 Solaris OS 软件
中处理亚洲语言的输入。
■ 一致的返回值和帮助输出 - 对所有 Solaris Security Toolkit 命令提供了一致的返回
值和帮助输出。
■ Apache 2 - 支持 apache2。
Solaris 10 OS 支持情况的详细信息
下面一节详细介绍了为支持 Solaris 10 OS 而对该软件所做的更改。
Solaris Security Toolkit 4.2 软件新增的框架函数
以下为本发行版中的新增函数,这些函数只能用于运行 Solaris 10 OS 的系统。有关这
些函数的详细介绍,请参见《Solaris Security Toolkit 4.2 Reference Manual》中 的 第
2 章。
Solaris Security Toolkit 4.2 软件中新增了以下通用的日志函数:
■ logNotGlobalZone
■ logScore
■ logScriptFailure
■ logServiceDisabled 和 logServiceEnabled
■ logServiceInstalled 和 logServiceNotInstalled
■ logServiceOptionDisabled 和 logServiceOptionEnabled
■ logServiceProcessList
■ logServicePropDisabled 和 logServicePropEnabled
Solaris Security Toolkit 4.2 发行说明 3
■ logServiceRunning 和 logServiceNotRunning
■ logUserLocked 和 logUserNotlocked
■ logUndoBackupWarning
Solaris Security Toolkit 4.2 软件中新增了以下通用的杂项函数:
■ get_driver_report
■ get_lists_conjunction
■ get_lists_disjunction
创建了以下公共驱动程序函数,以支持 Solaris Security Toolkit 4.2 框架中的 SMF:
■ add_option_to_ftpd_property
■ change_group
■ change_mode
■ change_owner
■ check_serviceDisabled
■ check_serviceEnabled
■ check_serviceInstalled
■ check_serviceNotInstalled
■ check_serviceNotRunning
■ check_serviceOptionEnabled
■ check_servicePropDisabled
■ check_serviceRunning
■ check_serviceOptionDisabled
■ check_userLocked
■ check_userNotLocked
■ convert_inetd_service_to_fmri
■ disable_service
■ enable_service
■ is_service_enabled
■ is_service_installed
■ is_service_running
■ is_user-account_extant
■ is_user_account_locked
■ is_user_account_login_not_set
■ lock_user_account
■ make_link
■ set_service_property_value
■ set_stored_keyword_val
■ unlock_user_account
■ update_inetcon_in_upgrade
4 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
Solaris Security Toolkit 4.2 中新增的脚本
以下为 Solaris Security Toolkit 4.2 软件中新增的 finish 和 audit 脚本。有关 finish
(.fin) 脚本功能的说明,请参阅 《Solaris Security Toolkit 4.2 Reference Manual》中
的第 5 章;有关 audit (.aud) 脚本功能的说明,请参阅 《Solaris Security Toolkit 4.2
Reference Manual》中的第 6 章。
■ disable-apache2.{fin|aud}
■ disable-appserv.{fin|aud}
■ disable-IIim.{fin|aud}
■ disable-routing.{fin|aud}
■ enable-account-lockout.{fin|aud}
■ enable-bart.{fin|aud}
■ enable-ipfilter.{fin|aud}
■ enable-password-history.{fin|aud}
■ set-root-home-dir.{fin|aud}
■ set-strict-password-checks.{fin|aud}
不适用于 Solaris 10 OS 的脚本
表 1 列出了加强 Solaris 10 OS 安全性时不适用的 Solaris Security Toolkit 脚本。
表 1 不适用于 Solaris 10 OS 的 Solaris Security Toolkit 脚本
脚本名称 适用的操作系统
disable-ab2
disable-aspp
disable-picld
install-fix-modes
install-newaliases
install-openssh
install-sadmind-options
install-strong-permissions
remove-unneeded-accounts
Solaris 2.5.1 到 Solaris 8
Solaris 2.5.1 到 Solaris 8
Solaris 8 和 Solaris 9
Solaris 2.5.1 到 Solaris 9
Solaris 2.5.1 到 Solaris 8
Solaris 2.5.1 到 Solaris 8
Solaris 2.5.1 到 Solaris 9
Solaris 2.5.1 到 Solaris 9
Solaris 2.5.1 到 Solaris 9
Solaris Security Toolkit 4.2 发行说明 5
Solaris Security Toolkit 4.2 版软件中新增的环境
变量
本节列出了本发行版中新增的框架和脚本行为环境变量,它们只能用于运行 Solaris 10
OS 的系统。有关这些环境变量的功能的说明,请参阅 《Solaris Security Toolkit 4.2
Reference Manual》中的第 7 章。
新增的框架变量
■ JASS_DISPLAY_HOST_LENGTH
■ JASS_DISPLAY_SCRIPT_LENGTH
■ JASS_DISPLAY_TIME_LENGTH
■ JASS_FILE_COPY_KEYWORD
■ JASS_ROOT_HOME_DIR
■ JASS_RUN_CLEAN_LOG
■ JASS_RUN_VALUES
■ JASS_SAVED_BACKUP
■ JASS_SCRIPT
■ JASS_SCRIPT_FAIL_LOG
■ JASS_SCRIPT_NOTE_LOG
■ JASS_SCRIPT_WARN_LOG
■ JASS_UNDO_TYPE
新增的脚本行为变量
■ JASS_CRYPT_ALGORITHMS_ALLOW
■ JASS_CRYPT_ALGORITHMS_DEFAULT
■ JASS_CRYPT_DEFAULT
■ JASS_CRYPT_FORCE_EXPIRE
■ JASS_PASS_DICTIONLIST
■ JASS_PASS_DICTIONDBDIR
■ JASS_PASS_HISTORY
■ JASS_PASS_MAX_REPEATS
■ JASS_PASS_MIN_ALPHA
■ JASS_PASS_MINDIFF
■ JASS_PASS_MINDIGIT
■ JASS_PASS_MINLOWER
■ JASS_PASS_MINNONALPHA
■ JASS_PASS_MINSPECIAL
■ JASS_PASS_MINUPPER
■ JASS_PASS_NAMECHECK
■ JASS_PASS_WHITESPACE
■ JASS_ZONE_NAME
6 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
不适用于 Solaris 10 OS 的环境变量
以下环境变量不适用于 Solaris 10 OS:
■ JASS_ISA_CAPABILITY (已从 Solaris Security Toolkit 4.2 软件中删除)
■ JASS_DISABLE_MODE
从 Solaris Security Toolkit 4.2 软件中删除的功能
由于已不再需要与以下功能相关的文件和脚本,因此已将其从 Solaris Security Toolkit
4.2 软件中删除:
■ 在域上为 Sun Fire 高端系统安装 misc/klmmod 内核模块
■ 安装 Sun ONE Web 服务器
■ sunfire_mf_msp-{secure|config|hardening}.driver
■ 32 位功能性
■ Sun Enterprise™ 1000 (Starfire™),因为该产品现已停产。
被自动禁用的 rpcbind
和以前的版本一样, Solaris Security Toolkit 4.2 版中的 secure.driver 和
sunfire-15k_sc-secure.driver 也会禁用 rpcbind。但是在 Solaris 10 OS 中,
有些服务必须依赖 rpcbind,比如网络信息服务 (NIS)、网络文件系统 (NFS);对其具
有依赖性的还有窗口管理程序,比如公用桌面环境 (CDE) 和 GNU 网络对象模型环境
(GNOME)。默认情况下, secure.driver 和 sunfire-15k_sc-secure.driver
的配置会禁用这些服务,因此您必须启用 rpcbind 以便使用它们。
注 – server-secure.driver 和 suncluster3x-secure.driver 不会禁用
rpcbind。
▼ 启用 rpcbind
1. 对系统进行取消安全性加强操作。
2. 复制并重新命名 secure.driver 和 hardening.driver。分别将其重新命名为
new-secure.driver 和 new-hardening.driver,其中 new-secure.driver 是您为新的自定义的
secure.driver 指定的名称, new-hardening.driver 是您为新的自定义的
hardening.driver 指定的名称。
Solaris Security Toolkit 4.2 发行说明 7
3. 对 new-secure.driver 进行编辑,用 new-hardening.driver 替换对 hardening.driver
的引用。
4. 从 new-hardening.driver 中注释掉 disable-rpc.fin 脚本。
5. 运行带有 new-secure.driver 的 Solaris Security Toolkit 软件,以便使用您自定义的驱
动程序副本重新运行加强系统安全性的操作。
6. 重新引导系统。
注意 – 启用 rpcbind 服务后,与之关联的其他服务可能会自动启动,并打开相应的端
口。 Solaris Security Toolkit 软件的审计功能会将这些服务标记为故障。
支持的硬件系统
Solaris Security Toolkit 4.2 软件支持 SPARC®(仅限 64 位)和 x86 系统。
支持的 Solaris OS 版本
Sun 对于 Solaris Security Toolkit 软件的支持,仅限于该软件在 Solaris 8、Solaris 9 和
Solaris 10 操作系统中的使用方面。
注 – 为使用 Solaris Security Toolkit 4.2 软件,必须将 Solaris 10 OS 安装在 Sun Fire
高端系统域中,而不能安装在系统控制器 (SC) 上。
虽然该软件能够在 Solaris 2.5.1、Solaris 2.6 和 Solaris 7 操作系统中使用,但 Sun 支持
并不适用于在这些操作系统中使用该软件。
Solaris Security Toolkit 软件可自动检测已安装的 Solaris OS 软件的版本,然后运行适
合该操作系统版本的任务。
8 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
您会发现在本文档提供的所有实例中,当脚本对 OS 进行版本检查时,其检查结果是
5.x,而不是 2.x、 7、 8、 9 或 10,注意前者是 SunOS™ 的版本,后者是 Solaris OS 版
本。表 2 显示了 SunOS 版本与 Solaris OS 版本之间的对应关系。
表 2 SunOS 版本与 Solaris OS 版本之间的对应关系
SunOS 版本 Solaris OS 版本
5.5.1 2.5.1
5.6 2.6
5.7 7
5.8 8
5.9 9
5.10 10
支持的 SMS 版本
如果您在 Sun Fire 高端系统中使用 System Management Services (SMS) 来运行系统控
制器 (SC),且使用的 SMS 版本为 1.4、1.4.1 和 1.5,则 所 有 的 Solaris 8 和 Solaris 9 OS
版本都可支持 Solaris Security Toolkit 4.2。在使用 Solaris Security Toolkit 4.2 软件的
Solaris 10 OS 中,任何版本的 SMS 都不受支持。
注 – 为使用 Solaris Security Toolkit 4.2 软件,必须将 Solaris 10 OS 安装在域中,而不
能安装在系统控制器 (SC) 上。
Solaris Security Toolkit 软件的已知
限制
本节包含 Solaris Security Toolkit 4.2 软件的已知限制:
■ 虽然 Solaris Security Toolkit 4.2 软件保留了用于禁用系统帐户的功能 (请参阅
finish 脚本 disable-system-accounts.fin),但是它不再通过修改系统来记录
那些已禁用的帐户的登录尝试。
Solaris Security Toolkit 4.2 发行说明 9
一般注意事项和问题
本节包含 Solaris Security Toolkit 4.2 版软件所涉及的一般注意事项和问题。
仅以软件包的格式分发
Solaris Security Toolkit 4.2 软件仅以软件包的格式分发。
现在可重定位 SUNWjass 和 JASScustm 软件包
从 Solaris Security Toolkit 4.2 版开始,允许重定位 SUNWjass 和 JASScustm 软件
包,以便与 Sun 的打包标准保持一致。可以使用 pkgadd(1M) -R 命令重定位这些软
件包。
Solaris Security Toolkit 与 CTRL-C
在 Solaris Security Toolkit 运行加强安全性操作和 undo 操作过程中执行 CTRL-C 将导
致系统状态产生不一致。正确的操作方法应该是:在加强安全性操作完成后,再执行
undo 操作,而不是在运行加强安全性操作的过程中将其中断。请勿将 CTRL-C 用于出
错处理,或者用于中断 Toolkit 的运行。应等待操作完成,然后重新执行加强安全性操
作,或执行 undo 操作。
10 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
Solaris Security Toolkit 4.2 版软件中的
错误
本节概述了 Solaris Security Toolkit 4.2 版软件中尚未修正的错误,您在使用过程中可
能会遇到。
使用 NIS 时,多次重新引导可能导致出现审计错误
(错误 ID 6222181)
secure.driver 中默认禁用 rpcbind。如果您要使用 NIS,则会发生以下情况:重
新引导系统会使通常由 inetd 启动的所有服务处于未初始化的状态,并且使传统服务
无法运行。对于由 inetd 启动的服务,可从 Solaris Security Toolkit 软件重新引导前
后的审计结果差异中看出这一情况。
采用 Solaris 10 OS 错误 ID 6223370 的解决方法可修正此错误。有关此错误的说明,请
参阅 “影响 Solaris Security Toolkit 4.2 软件的错误”。
解决方法:
■ 如果您想要使用 NIS,请启用 rpcbind,然后重新引导。请参阅 《Solaris Security
Toolkit 4.2 Reference Manual》中的第 1 章。
■ 如果您不想使用 NIS,请禁用 NIS。(有关禁用 NIS 的方法,请参阅 Solaris 10 OS
命名服务文档。)
多次重新引导可能导致 svcs 处于未初始化的
状态,从而使得对 nddconfig 的审计失败
(错误 ID 6284872)
运行加强系统安全性的操作后,多次重新引导可能导致 svcs 处于未初始化的状态,从
而使得对 nddconfig 的审计失败。换言之,多次重新引导系统后, nddconfig 审计
将会出现错误。
发生这种情况的原因是当禁用了 rpcbind,并且将系统配置为使用 NIS 时,
milestone/name-services 无法进入联机状态。因此, /etc/rc2.d
(svc:/milestone/multi-user:default) 无法运行, nddconfig 脚本也
无法运行。
采用 Solaris 10 OS 错误 ID 6223370 的解决方法可修正此错误。
Solaris Security Toolkit 4.2 发行说明 11
解决方法:
■ 如果您想要使用 NIS,请启用 rpcbind,然后重新引导。请参阅 《Solaris Security
Toolkit 4.2 Reference Manual》中的第 1 章。
■ 如果您不想使用 NIS,请禁用 NIS。有关禁用 NIS 的方法,请参阅 Solaris 10 OS 命
名服务文档。
影响 Solaris Security Toolkit 4.2
软件的错误
本节概述了其他软件中尚未修正的但会影响 Solaris Security Toolkit 的错误。
两次审计之间的 ip6_send_redirects 参数可能
不同 (错误 ID 6222001)
该 Solaris 10 OS 错误可能会影响您对 Solaris Security Toolkit 4.2 软件的操作。有时您
可能会看到两次审计之间的 ip6_send_redirects 参数不同,而实际上应该相同。
例如,您可以审计未曾运行过加强安全性操作的系统 (审计 #1)。然后对该系统执行
加强安全性、重新引导、取消加强安全性操作,然后再次重新引导。再次审计该系统
(审计 #2)。
您应该看到具有不同时间戳的相同审计结果。但是,有时您会看到两次审计之间的
nddconfig 文件含有不同的 ip6_send_redirects 参数。在第一次审计中,有消息
显示由于参数非 0,因此检查失败。在第二次审计中,有消息显示由于参数为 0,所以
检查通过,此为正确的响应。
解决方法:尚无
/etc/motd 应作为可变文件安装
(错误 ID 6222495)
该 Solaris 10 OS 错误可能会影响您对 Solaris Security Toolkit 4.2 软件的操作。
/etc/motd 文件来自 SUNWcsr 软件包,其文件类型为 f。 Solaris Security Toolkit
4.2 驱动程序会替换此文件,这将导致在安装区域时以及在区域内安装软件包时出现错
误和警告。
解决方法:
12 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
可在以下两种方法中任选其一:
■ 从 JASS_FILES 列表中删除该文件,以便不安装它。
■ 将文件类型修改为 v 以便清除此错误。
svc.startd 无法满足 optional_all 的基本条件
(错误 ID 6223370)
如果禁用 rpcbind 后重新引导系统,则 milestone/name-services 不会进入联机
状态,由此可能导致 inetd 以及其他服务不会进入联机状态。此 Solaris 10 OS 错误会
从多方面影响您对 Solaris Security Toolkit 4.2 软件的操作,具体请参见错误 ID
6284872 和错误 ID 6222181 中的描述。
解决方法:
■ 如果您要使用 NIS,请启用 rpcbind,然后重新引导。请参阅 《Solaris Security
Toolkit 4.2 Reference Manual》中的第 1 章。
■ 如果您不想使用 NIS,请禁用 NIS。有关禁用 NIS 的方法,请参阅 Solaris 10 OS 命
名服务文档。
Solaris Security Toolkit 4.2 发行说明 13
14 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
Loading...