Solaris™ Security Toolkit 4.2
发行说明
Sun Microsystems, Inc.
www.sun.com
文件号码 819-3798-10
2005 年 7 月,修订版 A
请将有关本文档的意见和建议提交至: http://www.sun.com/hwdocs/feedback
版权所有 2005 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A. 保留所有权利。
对于本文档中介绍的产品, Sun Microsystems, Inc. 对其所涉及的技术拥有相关的知识产权。需特别指出的是 (但不局限于此),这些知识
产权可能包含在 http://www.sun.com/patents 中列出的一项或多项美国专利,以及在美国和其他国家/ 地区申请的一项或多项其他专利或
待批专利。
本文档及其相关产品的使用、复制、分发和反编译均受许可证限制。未经 Sun 及其许可方 (如果有)的事先书面许可,不得以任何形式、任何
手段复制本产品或文档的任何部分。
第三方软件,包括字体技术,均已从 Sun 供应商处获得版权和使用许可。
本产品的某些部分可能是从 Berkeley BSD 系统衍生出来的,并获得了加利福尼亚大学的许可。 UNIX 是 X/Open Company, Ltd. 在美国和其他
国家/ 地区独家许可的注册商标。
Sun 、Sun Microsystems 、Sun 徽标、Java 、AnswerBook2 、docs.sun.com 和 Solaris 是 Sun Microsystems, Inc. 在美国和其他国家/ 地区的商标
或注册商标。
所有 SPARC 商标的使用均已获得许可,它们是 SPARC International, Inc. 在美国和其他国家/ 地区的商标或注册商标。标有 SPARC 商标的产品
均基于由 Sun Microsystems, Inc. 开发的体系结构。
OPEN LOOK 和 Sun™ 图形用户界面是 Sun Microsystems, Inc. 为其用户和许可证持有者开发的。 Sun 感谢 Xerox 在研究和开发可视或图形用
户界面的概念方面为计算机行业所做的开拓性贡献。 Sun 已从 Xerox 获得了对 Xerox 图形用户界面的非独占性许可证,该许可证还适用于实现
OPEN LOOK GUI 和在其他方面遵守 Sun 书面许可协议的 Sun 许可证持有者。
美国政府权利 — 商业用途。政府用户应遵循 Sun Microsystems, Inc. 的标准许可协议,以及 FAR (Federal Acquisition Regulations ,即 “联
邦政府采购法规”)的适用条款及其补充条款。
本文档按 “原样”提供,对所有明示或默示的条件、陈述和担保,包括对适销性、适用性或非侵权性的默示保证,均不承担任何责任,除非此
免责声明的适用范围在法律上无效。
请回收
目录
前言 vii
Solaris Security Toolkit 4.2 发行说明 1
Solaris Security Toolkit 4.2 发行版中的更改 1
支持 Solaris 10 OS 2
其他方面的更改 3
Solaris 10 OS 支持情况的详细信息 3
Solaris Security Toolkit 4.2 软件新增的框架函数 3
Solaris Security Toolkit 4.2 中新增的脚本 5
不适用于 Solaris 10 OS 的脚本 5
Solaris Security Toolkit 4.2 版软件中新增的环境变量 6
新增的框架变量 6
新增的脚本行为变量 6
不适用于 Solaris 10 OS 的环境变量 7
从 Solaris Security Toolkit 4.2 软件中删除的功能 7
被自动禁用的 rpcbind 7
▼ 启用 rpcbind 7
支持的 SMS 版本 9
Solaris Security Toolkit 软件的已知限制 9
一般注意事项和问题 10
iii
仅以软件包的格式分发 10
现在可重定位 SUNWjass 和 JASScustm 软件包 10
Solaris Security Toolkit 与 CTRL-C 10
Solaris Security Toolkit 4.2 版软件中的错误 11
使用 NIS 时,多次重新引导可能导致出现审计错误 (错误 ID 6222181 ) 11
多次重新引导可能导致 svcs 处于未初始化的状态,从而使得对 nddconfig
的审计失败 (错误 ID 6284872 ) 11
影响 Solaris Security Toolkit 4.2 软件的错误 12
两次审计之间的 ip6_send_redirects 参数可能不同
(错误 ID 6222001 ) 12
/etc/motd 应作为可变文件安装 (错误 ID 6222495) 12
svc.startd 无法满足 optional_all 的基本条件 (错误 ID 6223370) 13
iv Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
表
表 1 不适用于 Solaris 10 OS 的 Solaris Security Toolkit 脚本 5
表 2 SunOS 版本与 Solaris OS 版本之间的对应关系 9
v
vi Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
前言
本文档是 Solaris™ Security Toolkit 4.2 软件的发行说明。
阅读本书之前
本文档面向 Solaris 系统管理员,要求您对 UNIX ® 系统,尤其是对基于 Solaris 操作系
统 (Solaris OS) 的系统具有应用经验。如果您不具备这些知识,请首先阅读 Solaris 用
户和系统管理员文档,并考虑接受 UNIX 系统管理培训。
使用 UNIX 命令
本文档不会介绍基本的 UNIX 命令和操作过程,如关闭系统、启动系统和配置设备等。
欲获知此类信息,请参阅以下文档:
■ 系统附带的软件文档
■ Solaris 操作系统的有关文档,其 URL 如下:
http://docs.sun.com
vii
Shell 提示符
Shell
C shell machine-name%
C shell 超级用户
Bourne shell 和 Korn shell
Bourne shell 和 Korn shell 超级用户
提示符
machine-name #
$
#
印刷约定
*
字体
AaBbCc123
AaBbCc123
AaBbCc123
新词术语强调 新词或术语以及要强调的词。 您 必须成为超级用户才能执行此操作。
《书名 》 书名 阅读 《用户指南》 的第 6 章。
* 浏览器的设置可能会与这些设置有所不同。
含义 示例
命令、文件和目录的名称;计算
机屏幕输出
用户键入的内容,与计算机屏幕
输出的显示不同
保留未译的新词或术语以及要强
调的词。 要使用实名或值替换的
命令行变量。
编辑 .login 文件。
使用 ls -a 列出所有文件。
% You have mail.
% su
Password:
这些称为 class 选项。
要删除文件,请键入 rm filename 。
viii Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
相关文档
可通过访问以下网址获取下表中列出的联机文档:
http://www.sun.com/products-n-solutions/hardware/docs/
Software/enterprise_computing/systems_management/sst/index.html
应用 书名 文件号码 格式 位置
参考 《Solaris Security Toolkit 4.2 Reference Manual 》
管理 《Solaris Security Toolkit 4.2 管理指南》
手册页 《Solaris Security Toolkit 4.2 Man Page Guide》
819-1503-10 PDF
HTML
819-3791-10 PDF
HTML
819-1505-10 PDF
联机
联机
联机
文档、支持和培训
Sun 功能
文档
支持
培训
URL
http://www.sun.com/documentation/
http://www.sun.com/support/
http://www.sun.com/training/
说明
下载 PDF 和 HTML 文档,订购印刷的
文档
获取技术支持以及下载修补程序
学习 Sun 课程
第三方 Web 站点
Sun 对本文档提到的第三方 We b 站点的可用性不承担任何责任。对于此类站点或资源
中的 (或通过它们获得的)任何内容、广告、产品或其他资料, Sun 并不表示认可,
也不承担任何责任。对于因使用或依靠此类站点或资源中的 (或通过它们获得的)任
何内容、产品或服务而造成的或连带产生的实际或名义损坏或损失, Sun 概不负责,也
不承担任何责任。
前言 ix
Sun 欢迎您提出意见
Sun 致力于提高其文档的质量,并十分乐意收到您的意见和建议。您可以通过以下网址
提交您的意见和建议:
http://www.sun.com/hwdocs/feedback
请在您的反馈信息中包含文档的书名和文件号码:
《Solaris Security Toolkit 4.2 发行说明》,文件号码 819-3798-10
x Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
Solaris Security Toolkit 4.2 发行说明
本指南介绍了 Solaris™ Security Toolkit 软件(也称作 JumpStart™ 体系结构和安全脚
本 (JASS) ) 4.2 版的发行说明,其中包含以下主题:
■ Solaris Security Toolkit 4.2 版中的更改
■ Solaris 10 OS 支持情况的详细信息
■ 支持的硬件系统
■ 支持的 Solaris OS 版本
■ 支持的 SMS 版本
■ Solaris Security Toolkit 4.2 的已知限制
■ 一般注意事项和问题
■ Solaris Security Toolkit 4.2 软件中的错误
■ 影响 Solaris Security Toolkit 4.2 软件的错误
Solaris Security Toolkit 4.2 发行版中的
更改
本节介绍 Solaris Security Toolkit 4.2 软件中的主要更改。有关这些更改的详细信息,
请参阅 《Solaris Security Toolkit 4.2 Reference Manual》。
注 – Solaris Security Toolkit 软件以前的版本会在 Documentation 目录中提供
CHANGES 文件,自此版本开始不再提供该文件,而是将更改收录在本文档中。
1
支持 Solaris 10 OS
Solaris Security Toolkit 软件的 4.2 版可支持 Solaris 10 操作系统 (OS)。
在用于加强和审计系统安全性方面,Solaris Security Toolkit 4.2 软件的操作方法与以前
的版本类似。和以前版本一样,您也可以在 JumpStart 或独立模式下使用该软件。
以下是为支持 Solaris 10 OS 而对本软件进行的主要更改。有关详细信息,请参见
“Solaris 10 OS 支持情况的详细信息”。
■ 可以使用 SMF 服务 - 现在许多 Solaris Security Toolkit 脚本都可以使用 Service
Management Facility (SMF) 服务接口、 Fault Management Resource Identifier
(FMRI) 以及 start 和 stop 脚本。
■ 传统服务 - 使 SMF 能够将某些无法使用 Solaris Security Toolkit 的脚本识别为传
统服务。
■ 区域 - 能够加强和审计 Solaris 10 OS 中区域的安全性。
■ TCP 包装 - 为 Solaris Security Toolkit 驱动程序提供了传输控制协议 (TCP) 包装配
置。
■ MD5 - 通过 digest -a md5 命令支持 Solaris 10 OS message_digest 5 (md5) 算法
功能,这使得 Solaris 10 OS 系统中不再需要 SUNBEmd5 软件包。
■ 管理路由 - 提供管理 Solaris 10 OS 中的路由的新脚本。
■ 新的主根目录 - 将 /root (而非标准的根目录 / )作为新的主根目录。
■ IP 过滤器 - 通过集成免费的 Internet 协议 (IP) 过滤器软件,从而具备了内置的防
火墙功能。
■ BART - 支持基本审计报告工具 ( Basic Audit Reporting Tool, BART ),其功能之
一是让您确定发生在系统中的文件级别的更改。
■ 灵活加密 - 支持在 Solaris 10 OS 中使用多种新的可调组件,控制密码加密的算法。
■ 帐户锁定 - 支持 Solaris 10 OS 经过预设次数的失败登录尝试后锁定帐户的功能。
■ 参数化的密码检查 - 支持 Solaris 10 OS 严格密码检查。
■ 密码历史 - 支持 Solaris 10 OS 中新增的密码安全性检查。
■ RPC BIND - 支持启用或禁用来自 Berkeley Internet 名称域的远程过程调用
(rpcbind)。
■ Perl - 支持以实用摘录和报告语言 (Perl) 创建 Solaris Security Toolkit 脚本以便与
Solaris 10 OS 结合使用。
■ XFS - 支持启用或禁用 X 字体服务器。 XFS 客户机连接至该服务器请求字体集,该
服务器从磁盘读取字体文件并将其提供给客户机。 X 字体服务器守护进程由 SMF 进
行管理。
■ GNOME - 支持启用或禁用对 GNU 网络对象模型环境 (GNOME) 和公用桌面环境
(CDE) 的支持。
2 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
其他方面的更改
除为支持 Solaris 10 OS 而对此软件进行的更改外,还对此软件进行了以下方面的更
改:
■ 可重定位的软件包 - 提供了可重定位的 Solaris Security Toolkit 4.2 软件包,这样
即可通过使用 pkgadd 命令的正确选项将该软件包安装至任何您想要的目录。
■ 删除备份文件 - 提供了删除 Solaris Security Toolkit 备份文件的功能
■ 合并驱动程序的功能 - 将 desktop-{secure|config|hardening}.driver 、
sunfire_15k_domain-{secure|config|hardening}.driver 和
jumpstart-{secure|config|hardening}.driver 功能合并至 server-
{secure|config|hardening}.driver
■ 智能默认值 - 支持智能默认值;即允许用户通过按 Return 键指定可行的默认值。
■ 详细程度- 简化了 jass-execute 和 jass-check-sum 命令输出的详细程度。
■ IIim - 可启用或禁用 Internet-Intranet 输入法 (IIim),从而可在 Solaris OS 软件
中处理亚洲语言的输入。
■ 一致的返回值和帮助输出 - 对所有 Solaris Security Toolkit 命令提供了一致的返回
值和帮助输出。
■ Apache 2 - 支持 apache2 。
Solaris 10 OS 支持情况的详细信息
下面一节详细介绍了为支持 Solaris 10 OS 而对该软件所做的更改。
Solaris Security Toolkit 4.2 软件新增的框架函数
以下为本发行版中的新增函数,这些函数只能用于运行 Solaris 10 OS 的系统。有关这
些函数的详细介绍,请参见《Solaris Security Toolkit 4.2 Reference Manual》中 的 第
2 章。
Solaris Security Toolkit 4.2 软件中新增了以下通用的日志函数:
■ logNotGlobalZone
■ logScore
■ logScriptFailure
■ logServiceDisabled 和 logServiceEnabled
■ logServiceInstalled 和 logServiceNotInstalled
■ logServiceOptionDisabled 和 logServiceOptionEnabled
■ logServiceProcessList
■ logServicePropDisabled 和 logServicePropEnabled
Solaris Security Toolkit 4.2 发行说明 3
■ logServiceRunning 和 logServiceNotRunning
■ logUserLocked 和 logUserNotlocked
■ logUndoBackupWarning
Solaris Security Toolkit 4.2 软件中新增了以下通用的杂项函数:
■ get_driver_report
■ get_lists_conjunction
■ get_lists_disjunction
创建了以下公共驱动程序函数,以支持 Solaris Security Toolkit 4.2 框架中的 SMF:
■ add_option_to_ftpd_property
■ change_group
■ change_mode
■ change_owner
■ check_serviceDisabled
■ check_serviceEnabled
■ check_serviceInstalled
■ check_serviceNotInstalled
■ check_serviceNotRunning
■ check_serviceOptionEnabled
■ check_servicePropDisabled
■ check_serviceRunning
■ check_serviceOptionDisabled
■ check_userLocked
■ check_userNotLocked
■ convert_inetd_service_to_fmri
■ disable_service
■ enable_service
■ is_service_enabled
■ is_service_installed
■ is_service_running
■ is_user-account_extant
■ is_user_account_locked
■ is_user_account_login_not_set
■ lock_user_account
■ make_link
■ set_service_property_value
■ set_stored_keyword_val
■ unlock_user_account
■ update_inetcon_in_upgrade
4 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
Solaris Security Toolkit 4.2 中新增的脚本
以下为 Solaris Security Toolkit 4.2 软件中新增的 finish 和 audit 脚本。有关 finish
(.fin ) 脚本功能的说明,请参阅 《Solaris Security Toolkit 4.2 Reference Manual》中
的第 5 章;有关 audit (.aud) 脚本功能的说明,请参阅 《Solaris Security Toolkit 4.2
Reference Manual》中的第 6 章。
■ disable-apache2.{fin|aud}
■ disable-appserv.{fin|aud}
■ disable-IIim.{fin|aud}
■ disable-routing.{fin|aud}
■ enable-account-lockout.{fin|aud}
■ enable-bart.{fin|aud}
■ enable-ipfilter.{fin|aud}
■ enable-password-history.{fin|aud}
■ set-root-home-dir.{fin|aud}
■ set-strict-password-checks.{fin|aud}
不适用于 Solaris 10 OS 的脚本
表 1 列出了加强 Solaris 10 OS 安全性时不适用的 Solaris Security Toolkit 脚本。
表 1 不适用于 Solaris 10 OS 的 Solaris Security Toolkit 脚本
脚本名称 适用的操作系统
disable-ab2
disable-aspp
disable-picld
install-fix-modes
install-newaliases
install-openssh
install-sadmind-options
install-strong-permissions
remove-unneeded-accounts
Solaris 2.5.1 到 Solaris 8
Solaris 2.5.1 到 Solaris 8
Solaris 8 和 Solaris 9
Solaris 2.5.1 到 Solaris 9
Solaris 2.5.1 到 Solaris 8
Solaris 2.5.1 到 Solaris 8
Solaris 2.5.1 到 Solaris 9
Solaris 2.5.1 到 Solaris 9
Solaris 2.5.1 到 Solaris 9
Solaris Security Toolkit 4.2 发行说明 5
Solaris Security Toolkit 4.2 版软件中新增的环境
变量
本节列出了本发行版中新增的框架和脚本行为环境变量,它们只能用于运行 Solaris 10
OS 的系统。有关这些环境变量的功能的说明,请参阅 《 Solaris Security Toolkit 4.2
Reference Manual》中的第 7 章。
新增的框架变量
■ JASS_DISPLAY_HOST_LENGTH
■ JASS_DISPLAY_SCRIPT_LENGTH
■ JASS_DISPLAY_TIME_LENGTH
■ JASS_FILE_COPY_KEYWORD
■ JASS_ROOT_HOME_DIR
■ JASS_RUN_CLEAN_LOG
■ JASS_RUN_VALUES
■ JASS_SAVED_BACKUP
■ JASS_SCRIPT
■ JASS_SCRIPT_FAIL_LOG
■ JASS_SCRIPT_NOTE_LOG
■ JASS_SCRIPT_WARN_LOG
■ JASS_UNDO_TYPE
新增的脚本行为变量
■ JASS_CRYPT_ALGORITHMS_ALLOW
■ JASS_CRYPT_ALGORITHMS_DEFAULT
■ JASS_CRYPT_DEFAULT
■ JASS_CRYPT_FORCE_EXPIRE
■ JASS_PASS_DICTIONLIST
■ JASS_PASS_DICTIONDBDIR
■ JASS_PASS_HISTORY
■ JASS_PASS_MAX_REPEATS
■ JASS_PASS_MIN_ALPHA
■ JASS_PASS_MINDIFF
■ JASS_PASS_MINDIGIT
■ JASS_PASS_MINLOWER
■ JASS_PASS_MINNONALPHA
■ JASS_PASS_MINSPECIAL
■ JASS_PASS_MINUPPER
■ JASS_PASS_NAMECHECK
■ JASS_PASS_WHITESPACE
■ JASS_ZONE_NAME
6 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
不适用于 Solaris 10 OS 的环境变量
以下环境变量不 适用于 Solaris 10 OS :
■ JASS_ISA_CAPABILITY (已从 Solaris Security Toolkit 4.2 软件中删除)
■ JASS_DISABLE_MODE
从 Solaris Security Toolkit 4.2 软件中删除的功能
由于已不再需要与以下功能相关的文件和脚本,因此已将其从 Solaris Security Toolkit
4.2 软件中删除:
■ 在域上为 Sun Fire 高端系统安装 misc/klmmod 内核模块
■ 安装 Sun ONE Web 服务器
■ sunfire_mf_msp-{secure|config|hardening}.driver
■ 32 位功能性
■ Sun Enterprise™ 1000 (Starfire™),因为该产品现已停产。
被自动禁用的 rpcbind
和以前的版本一样, Solaris Security Toolkit 4.2 版中的 secure.driver 和
sunfire-15k_sc-secure.driver 也会禁用 rpcbind 。但是在 Solaris 10 OS 中,
有些服务必须依赖 rpcbind ,比如网络信息服务 (NIS)、网络文件系统 (NFS);对其具
有依赖性的还有窗口管理程序,比如公用桌面环境 (CDE) 和 GNU 网络对象模型环境
(GNOME)。默认情况下, secure.driver 和 sunfire-15k_sc-secure.driver
的配置会禁用这些服务,因此您必须启用 rpcbind 以便使用它们。
注 – server-secure.driver 和 suncluster3x-secure.driver 不会禁用
rpcbind 。
▼ 启用 rpcbind
1. 对系统进行取消安全性加强操作。
2. 复制并重新命名 secure.driver 和 hardening.driver。分别将其重新命名为
new-secure.driver 和 new-hardening.driver,其中 new-secure.driver 是您为新的自定义的
secure.driver 指定的名称, new-hardening.driver 是您为新的自定义的
hardening.driver 指定的名称。
Solaris Security Toolkit 4.2 发行说明 7
3. 对 new-secure.driver 进行编辑,用 new-hardening.driver 替换对 hardening.driver
的引用。
4. 从 new-hardening.driver 中注释掉 disable-rpc.fin 脚本。
5. 运行带有 new-secure.driver 的 Solaris Security Toolkit 软件,以便使用您自定义的驱
动程序副本重新运行加强系统安全性的操作。
6. 重新引导系统。
注意 – 启用 rpcbind 服务后,与之关联的其他服务可能会自动启动,并打开相应的端
口。 Solaris Security Toolkit 软件的审计功能会将这些服务标记为故障。
支持的硬件系统
Solaris Security Toolkit 4.2 软件支持 SPARC®( 仅 限 64 位)和 x86 系统。
支持的 Solaris OS 版本
Sun 对于 Solaris Security Toolkit 软件的支持,仅限于该软件在 Solaris 8、Solaris 9 和
Solaris 10 操作系统中的使用方面。
注 – 为使用 Solaris Security Toolkit 4.2 软件,必须 将 Solaris 10 OS 安装在 Sun Fire
高端系统域中,而不能 安装在系统控制器 (SC) 上。
虽然该软件能够在 Solaris 2.5.1 、Solaris 2.6 和 Solaris 7 操作系统中使用,但 Sun 支持
并不适用于在这些操作系统中使用该软件。
Solaris Security Toolkit 软件可自动检测已安装的 Solaris OS 软件的版本,然后运行适
合该操作系统版本的任务。
8 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
您会发现在本文档提供的所有实例中,当脚本对 OS 进行版本检查时,其检查结果是
5.x ,而不是 2.x、 7、 8、 9 或 10,注意前者是 SunOS™ 的版本,后者是 Solaris OS 版
本。表 2 显示了 SunOS 版本与 Solaris OS 版本之间的对应关系。
表 2 SunOS 版本与 Solaris OS 版本之间的对应关系
SunOS 版本 Solaris OS 版本
5.5.1 2.5.1
5.6 2.6
5.7 7
5.8 8
5.9 9
5.10 10
支持的 SMS 版本
如果您在 Sun Fire 高端系统中使用 System Management Services (SMS) 来运行系统控
制器 (SC) ,且使用的 SMS 版本为 1.4 、1.4.1 和 1.5,则 所 有 的 Solaris 8 和 Solaris 9 OS
版本都可支持 Solaris Security Toolkit 4.2。在使用 Solaris Security Toolkit 4.2 软件的
Solaris 10 OS 中,任何版本的 SMS 都不受支持。
注 – 为使用 Solaris Security Toolkit 4.2 软件,必须将 Solaris 10 OS 安装在域中,而不
能安装在系统控制器 (SC) 上。
Solaris Security Toolkit 软件的已知
限制
本节包含 Solaris Security Toolkit 4.2 软件的已知限制:
■ 虽然 Solaris Security Toolkit 4.2 软件保留了用于禁用系统帐户的功能 (请参阅
finish 脚本 disable-system-accounts.fin),但是它不再通过修改系统来记录
那些已禁用的帐户的登录尝试。
Solaris Security Toolkit 4.2 发行说明 9
一般注意事项和问题
本节包含 Solaris Security Toolkit 4.2 版软件所涉及的一般注意事项和问题。
仅以软件包的格式分发
Solaris Security Toolkit 4.2 软件仅 以软件包的格式分发。
现在可重定位 SUNWjass 和 JASScustm 软件包
从 Solaris Security Toolkit 4.2 版开始,允许重定位 SUNWjass 和 JASScustm 软件
包,以便与 Sun 的打包标准保持一致。可以使用 pkgadd(1M) -R 命令重定位这些软
件包。
Solaris Security Toolkit 与 CTRL-C
在 Solaris Security Toolkit 运行加强安全性操作和 undo 操作过程中执行 CTRL-C 将导
致系统状态产生不一致。正确的操作方法应该是:在加强安全性操作完成后,再执行
undo 操作,而不是在运行加强安全性操作的过程中将其中断。请勿将 CTRL-C 用于出
错处理,或者用于中断 Toolkit 的运行。应等待操作完成,然后重新执行加强安全性操
作,或执行 undo 操作。
10 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
Solaris Security Toolkit 4.2 版软件中的
错误
本节概述了 Solaris Security Toolkit 4.2 版软件中尚未修正的错误,您在使用过程中可
能会遇到。
使用 NIS 时,多次重新引导可能导致出现审计错误
(错误 ID 6222181 )
secure.driver 中默认禁用 rpcbind 。如果您要使用 NIS,则会发生以下情况:重
新引导系统会使通常由 inetd 启动的所有服务处于未初始化的状态,并且使传统服务
无法运行。对于由 inetd 启动的服务,可从 Solaris Security Toolkit 软件重新引导前
后的审计结果差异中看出这一情况。
采用 Solaris 10 OS 错误 ID 6223370 的解决方法可修正此错误。有关此错误的说明,请
参阅 “影响 Solaris Security Toolkit 4.2 软件的错误”。
解决方法:
■ 如果您想要使用 NIS,请启用 rpcbind ,然后重新引导。请参阅 《 Solaris Security
Toolkit 4.2 Reference Manual》中的第 1 章。
■ 如果您不 想使用 NIS,请禁用 NIS。(有关禁用 NIS 的方法,请参阅 Solaris 10 OS
命名服务文档。)
多次重新引导可能导致 svcs 处于未初始化的
状态,从而使得对 nddconfig 的审计失败
(错误 ID 6284872 )
运行加强系统安全性的操作后,多次重新引导可能导致 svcs 处于未初始化的状态,从
而使得对 nddconfig 的审计失败。换言之,多次重新引导系统后, nddconfig 审计
将会 出现错误。
发生这种情况的原因是当禁用了 rpcbind ,并且将系统配置为使用 NIS 时,
milestone/name-services 无法进入联机状态。因此, /etc/rc2.d
(svc:/milestone/multi-user:default) 无法运行, nddconfig 脚本也
无法运行。
采用 Solaris 10 OS 错误 ID 6223370 的解决方法可修正此错误。
Solaris Security Toolkit 4.2 发行说明 11
解决方法:
■ 如果您想要使用 NIS,请启用 rpcbind ,然后重新引导。请参阅 《 Solaris Security
Toolkit 4.2 Reference Manual》中的第 1 章。
■ 如果您不 想使用 NIS,请禁用 NIS。有关禁用 NIS 的方法,请参阅 Solaris 10 OS 命
名服务文档。
影响 Solaris Security Toolkit 4.2
软件的错误
本节概述了其他软件中尚未 修正的但会影响 Solaris Security Toolkit 的错误。
两次审计之间的 ip6_send_redirects 参数可能
不同 (错误 ID 6222001 )
该 Solaris 10 OS 错误可能会影响您对 Solaris Security Toolkit 4.2 软件的操作。有时您
可能会看到两次审计之间的 ip6_send_redirects 参数不同,而实际上应该相同。
例如,您可以审计未曾运行过加强安全性操作的系统 (审计 #1 )。然后对该系统执行
加强安全性、重新引导、取消加强安全性操作,然后再次重新引导。再次审计该系统
(审计 #2 )。
您应该看到具有不同时间戳的相同审计结果。但是,有时您会看到两次审计之间的
nddconfig 文件含有不同的 ip6_send_redirects 参数。在第一次审计中,有消息
显示由于参数非 0 ,因此检查失败。在第二次审计中,有消息显示由于参数为 0 ,所以
检查通过,此为正确的响应。
解决方法: 尚无
/etc/motd 应作为可变文件安装
(错误 ID 6222495 )
该 Solaris 10 OS 错误可能会影响您对 Solaris Security Toolkit 4.2 软件的操作。
/etc/motd 文件来自 SUNWcsr 软件包,其文件类型为 f。 Solaris Security Toolkit
4.2 驱动程序会替换此文件,这将导致在安装区域时以及在区域内安装软件包时出现错
误和警告。
解决方法:
12 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月
可在以下两种方法中任选其一:
■ 从 JASS_FILES 列表中删除该文件,以便不 安装它。
■ 将文件类型修改为 v 以便清除此错误。
svc.startd 无法满足 optional_all 的基本条件
(错误 ID 6223370 )
如果禁用 rpcbind 后重新引导系统,则 milestone/name-services 不会 进入联机
状态,由此可能导致 inetd 以及其他服务不会 进入联机状态。此 Solaris 10 OS 错误会
从多方面影响您对 Solaris Security Toolkit 4.2 软件的操作,具体请参见错误 ID
6284872 和错误 ID 6222181 中的描述。
解决方法:
■ 如果您要使用 NIS,请启用 rpcbind ,然后重新引导。请参阅 《 Solaris Security
Toolkit 4.2 Reference Manual》中的第 1 章。
■ 如果您不想使用 NIS,请禁用 NIS。有关禁用 NIS 的方法,请参阅 Solaris 10 OS 命
名服务文档。
Solaris Security Toolkit 4.2 发行说明 13
14 Solaris Security Toolkit 4.2 发行说明 • 2005 年 7 月