Sun Microsystems Solaris Security Toolkit Administration Guide [zh]
Solaris™ Security Toolkit
4.2 管理指南
Sun Microsystems, Inc.
www.sun.com
文件號碼 819-3792-10
2005 年 7 月,修訂版 A
請將您對本文件的意見提交至: http://www.sun.com/hwdocs/feedback
Copyright 2005 Sun Microsystems, Inc. 4150 Network Circle, Santa Clara, California 95054 U.S.A. 版權所有。
Sun Microsystems, Inc. 對本文件所述的相關技術擁有智慧財產權。這些智慧財產權可包含 http://www.sun.com/patents 上所列的一項或多項
美國專利,以及在美國或其他國家/地區的一項或多項其他專利或申請中專利,但並不以此為限。
本文件及相關產品在限制其使用、複製、發行和反編譯的授權下發行。未經 Sun 及其授權人 (如果有) 事先的書面許可,不得使用任何方式、任
何形式來複製本產品或本文件的任何部分。
協力廠商軟體,包括字型技術,其版權歸 Sun 供應商所有,經授權後使用。
本產品中的某些部分可能源自於加州大學授權的 Berkeley BSD 系統的開發成果。UNIX 是在美國和其他國家/地區的註冊商標,已獲得
X/Open Company, Ltd. 專屬授權。
Sun、Sun Microsystems、Sun 標誌、Sun BluePrints、Solaris、SunOS、Java、JumpStart、Sun4U、SunDocs 與 Solstice DiskSuite 是 Sun
Microsystems, Inc. 在美國及其他國家/地區的商標或註冊商標。
所有 SPARC 商標都是 SPARC International, Inc. 在美國和其他國家/地區的商標或註冊商標,經授權後使用。凡具有 SPARC 商標的產品都是採
用 Sun Microsystems, Inc. 所開發的架構。ORACLE 是 Oracle Corporation 的註冊商標。
OPEN LOOK 和 Sun™ Graphical User Interface (Sun 圖形化使用者介面) 都是由 Sun Microsystems, Inc. 為其使用者與授權者所開發的技術。
Sun 感謝 Xerox 公司在研究和開發視覺化或圖形化使用者介面之概念上,為電腦工業所做的開拓性貢獻。Sun 已向 Xerox 公司取得 Xerox 圖形
化使用者介面之非獨占性授權,該授權亦適用於使用 OPEN LOOK GUI 並遵守 Sun 書面授權合約的 Sun 公司授權者。
美國政府權利 — 商業軟體。政府使用者應遵守 Sun Microsystems, Inc. 的標準授權合約和 FAR 及其增補文件中的適用條款。
本文件以其 「原狀」提供,對任何明示或暗示的條件、陳述或擔保,包括對適銷性、特殊用途的適用性或非侵權性的暗示保證,均不承擔任何
責任,除非此免責聲明的適用範圍在法律上無效。
請回收
目錄
前言 xvii
1. 簡介 1
以 Solaris Security Toolkit 軟體鞏固系統安全性 1
JumpStart 模式 2
獨立模式 2
瞭解軟體元件 3
目錄 4
Audit 目錄 4
Documentation 目錄 4
man 目錄 5
Drivers 目錄 5
Files 目錄 8
Finish 目錄 9
OS 目錄 9
Packages 目錄 10
Patches 目錄 10
Profiles 目錄 10
Sysidcfg 目錄 11
資料儲存庫 11
iii
維護版本控制 11
配置和自訂 Solaris Security Toolkit 軟體 12
策略和需求 12
導引 12
2. 系統安全化:套用方法 15
規劃及準備 15
考慮風險及利益 15
檢閱安全性策略、標準以及相關文件 17
範例 117
範例 217
判定應用程式及服務的需求 18
辨識應用程式及作業服務庫存 18
判定服務需求 18
開發及實作 Solaris Security Toolkit 設定檔 26
安裝軟體 26
執行安裝前作業 27
備份資料 27
驗證系統穩定性 27
執行安裝後作業 28
驗證應用程式及服務功能性 28
驗證安全性設定檔安裝 28
驗證應用程式及服務功能性 28
維護系統安全性 29
3. 升級、安裝及執行安全性軟體 31
執行規劃與安裝前作業 31
軟體需求 32
判定使用何種模式 32
iv Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
獨立模式 32
JumpStart 模式 33
升級程序 33
升級 Solaris Security Toolkit 軟體與 Solaris 作業系統 34
僅升級 Solaris Security Toolkit 軟體 35
僅升級 Solaris 作業系統 35
下載安全性軟體 35
下載 Solaris Security Toolkit 軟體 36
下載 pkg 版本 36
下載 Recommended Patch Cluster 軟體 37
下載 Recommended Patch Cluster 軟體 37
下載 FixModes 軟體 38
下載 FixModes 軟體 38
下載 OpenSSH 軟體 39
下載 OpenSSH 軟體 39
下載 MD5 軟體 40
下載 MD5 軟體 40
自訂安全設定檔 42
安裝及執行軟體 42
在獨立模式下執行軟體 42
在獨立模式下執行軟體 46
稽核選項 47
清除選項 47
顯示說明選項 48
驅動程式選項 49
電子郵件通知選項 50
執行歷程選項 50
最近執行的選項 51
目錄 v
輸出檔案選項 51
無訊息輸出選項 52
根目錄選項 52
還原選項 52
在 JumpStart 模式下執行軟體 53
在 JumpStart 模式下執行軟體 53
驗證系統修改 54
執行品質保證 (QA) 檢核服務 54
執行配置的安全性評估 54
驗證安全設定檔 55
執行安裝後作業 55
4. 逆轉系統變更 57
瞭解變更如何被記錄及逆轉 57
還原系統變更的需求 58
自訂程序檔還原變更 59
檢查曾經手動更改的檔案 60
使用還原功能選項 60
備份選項 61
強制選項 61
保留選項 62
輸出檔案選項 62
無訊息輸出選項 62
電子郵件通知選項 63
還原系統更改 63
還原 Solaris Security Toolkit 運行 63
5. 配置及管理 JumpStart 伺服器 71
配置 JumpStart 伺服器及環境 72
vi Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
配置 JumpStart 模式 72
使用 JumpStart 設定檔範本 74
core.profile 74
end-user.profile 74
developer.profile 75
entire-distribution.profile 75
oem.profile 75
minimal-SunFire_Domain*.profile 75
新增及移除用戶端 76
add-client 程序檔 76
rm-client 程序檔 77
6. 稽核系統安全性 79
維護安全性 79
強化之前檢視安全性 80
自訂安全性稽核 80
準備稽核安全性 81
使用選項及控制稽核輸出 81
指令行選項 82
顯示說明選項 82
電子郵件通知選項 83
輸出檔案選項 84
無訊息選項 84
詳細度選項 85
標題及訊息輸出 85
主機名稱、程序檔名稱、以及時間戳記輸出 88
執行安全性稽核 89
執行安全性稽核 89
目錄 vii
7. 系統安全化 93
規劃及準備 93
假設及限制 94
系統環境 94
安全性需求 95
建立安全性設定檔 95
安裝軟體 95
下載及安裝安全性軟體 96
下載及安裝安全性軟體 96
安裝修補程式 96
安裝修補程式 97
指定及安裝作業系統叢集 97
指定及安裝作業系統叢集 98
配置 JumpStart 伺服器及用戶端 99
準備基礎架構 99
準備基礎架構 99
驗證及檢核規則檔案 101
自訂強化配置 103
啟用 FTP 服務 104
啟用 FTP 服務 104
安裝 Secure Shell 軟體 104
安裝 Secure Shell 105
啟用 RPC 服務 105
啟用 RPC 106
自訂 syslog.conf 檔案 106
自訂 syslog.conf 檔案 106
安裝用戶端 107
安裝用戶端 107
viii Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
品質保證測試 108
驗證設定檔安裝 108
驗證應用程式及服務的功能性 109
字彙表 111
索引 119
目錄 ix
x Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
圖
圖 1-1 軟體元件架構 3
圖 1-2 驅動程式控制流程 6
xi
xii Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
表
表 1-1 自訂檔案的命名標準 13
表 2-1 列出最近使用的服務 24
表 3-1 使用 jass-execute 的指令行選項 43
表 4-1 使用還原指令的指令行選項 61
表 5-1 JumpStart add-client 指令 76
表 5-2 JumpStart rm-client 指令 78
表 6-1 使用稽核指令的指令行選項 82
表 6-2 稽核詳細度等級 85
表 6-3 顯示稽核輸出的標題與訊息 86
表 6-4 顯示主機名稱、程序檔名稱、及時間戳記稽核輸出 88
xiii
xiv Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
程式碼範例
程式碼範例 1-1 驅動程式控制流程碼 7
程式碼範例 2-1 取得有關檔案系統物件的資訊 19
程式碼範例 2-2 自執行中程序收集資訊 19
程式碼範例 2-3 確認動態載入應用程式 20
程式碼範例 2-4 判定配置檔案是否使用中 21
程式碼範例 2-5 判定使用 RPC 的應用程式 22
程式碼範例 2-6 驗證 rusers 服務 23
程式碼範例 2-7 判定使用 RPC 的應用程式的替代方法 24
程式碼範例 2-8 判定服務及應用程式使用的埠 25
程式碼範例 2-9 判定使用檔案及埠的程序 25
程式碼範例 3-1 移動修補程式至 /opt/SUNWjass/Patches 目錄 38
程式碼範例 3-2 獨立模式指令行用法範例 42
程式碼範例 3-3 在獨立模式下執行軟體 46
程式碼範例 3-4 -c 選項輸出範例 47
程式碼範例 3-5 -h 選項輸出範例 48
程式碼範例 3-6 -d driver 選項輸出範例 50
程式碼範例 3-7 -H 選項輸出範例 51
程式碼範例 3-8 -l 選項輸出範例 51
程式碼範例 3-9 -o 選項輸出範例 52
程式碼範例 3-10 -q 選項輸出範例 52
xv
程式碼範例 4-1 手動更改檔案輸出的範例 60
程式碼範例 4-2 還原可用之運行的輸出範例 64
程式碼範例 4-3 還原處理多個清單檔案項目的運行之輸出範例 65
程式碼範例 4-4 還原異常的輸出範例 66
程式碼範例 4-5 還原期間選擇備份選項的輸出範例 67
程式碼範例 4-6 還原期間務必選擇備份選項的輸出範例 68
程式碼範例 6-1 -h 選項輸出範例 83
程式碼範例 6-2 -o 選項輸出範例 84
程式碼範例 6-3 -q 選項輸出範例 84
程式碼範例 6-4 僅報告稽核失敗之輸出範例 86
程式碼範例 6-5 稽核記錄項目輸出範例 88
程式碼範例 6-6 執行稽核的輸出範例 90
程式碼範例 7-1 新增用戶端至 JumpStart 伺服器 99
程式碼範例 7-2 建立設定檔 100
程式碼範例 7-3 修改過程序檔的輸出範例 100
程式碼範例 7-4 檢查 rules 檔案的正確性 101
程式碼範例 7-5 rules 檔案的輸出範例 102
程式碼範例 7-6 不正確程序檔範例 102
程式碼範例 7-7 正確程序檔範例 103
程式碼範例 7-8 已修改過的 xsp-firewall-hardening.driver 輸出範例 107
程式碼範例 7-9 評估安全性配置 108
xvi Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
前言
本手冊包含瞭解與使用 Solaris™ Security Toolkit 軟體的參考資訊。本手冊主要是針對
使用 Solaris Security Toolkit 軟體來鞏固 Solaris™ 作業系統 (OS) 版本 8、9 和 10 之安
全性人員所撰寫的,例如,管理員、諮詢人員及其他部署新的 Sun 系統或鞏固已部署
的系統之安全性人員。本手冊內的指示適用於在 JumpStart™ 模式或獨立模式下使用本
軟體時。
閱讀本書之前
您應為已取得 Sun 認證的 Solaris™ 系統管理員或已取得 Sun 認證的 Solaris™ 網路管
理員。您亦應具備標準網路通訊協定和拓樸方面的知識。
由於本書是設計為依照使用者對於安全性的經驗或知識的不同程度來提供其個別需求,
因此使用者的經驗和知識會決定使用者使用本書的方式。
本書架構
本手冊是做為使用者指南,其章節包含使用軟體來鞏固系統安全性的資訊、指示及準
則。本書架構如下所示:
第 1 章說明 Solaris Security Toolkit 軟體的設計和用途。其中涵蓋重要元件、功能、優
點及支援的平台。
第 2 章提供鞏固系統安全性的方法。在您使用軟體確保系統安全前,您可以套用
Solaris Security Toolkit 程序。
xvii
第 3 章提供下載、安裝及執行 Solaris Security Toolkit 軟體及其他安全性相關軟體的指
示。
第 4 章提供如何反轉 (取消) Solaris Security Toolkit 軟體在執行強化期間所做的變更之
資訊和程序。
第 5 章提供配置和管理 JumpStart 伺服器以使用 Solaris Security Toolkit 軟體的資訊。
第 6 章說明如何使用 Solaris Security Toolkit 軟體來稽核 (驗證) 系統的安全性。請使用
本章的資訊和程序來維護在強化之後所建立的安全性設定檔。
第 7 章說明如何將前述章節所提供的資訊和專業技術應用於實際的分析藍本,以安裝和
鞏固新系統的安全性。
使用 UNIX 指令
本文件不會介紹基本的 UNIX® 指令和操作程序,如關閉系統、啟動系統與配置裝置。
若需此類資訊,請參閱以下文件:
系統隨附的軟體文件
Solaris 作業系統之相關文件,其 URL 為:
http://docs.sun.com
xviii Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
Shell 提示符號
Shell
C shell
C shell 超級使用者 電腦名稱#
Bourne shell 與 Korn shell
Bourne shell 與 Korn shell 超級使用者
提示符號
電腦名稱%
$
#
印刷排版慣例
*
字體
AaBbCc123
AaBbCc123
術語強調變數 新的字彙或術語、要強調的詞。
意義 範例
指令、檔案及目錄的名稱;螢幕畫
面輸出。
您所鍵入的內容 (與螢幕畫面輸出
相區別)。
將用實際的名稱或數值取代的指
令行變數。
請編輯您的 .login 檔案。
請使用 ls -a 列出所有檔案。
% You have mail.
%
Password:
這些被稱為類別選項。
您必須是超級使用者才能執行此操作。
要刪除檔案,請鍵入 rm 檔案名稱。
su
AaBbCc123
「AaBbCc123」 用於書名及章節名稱。 「Solaris 10 使用者指南」
* 瀏覽器中的設定可能會與這些設定不同。
保留未譯的新的字彙或術語、要
強調的詞。
應謹慎使用 On Error 指令。
請參閱第 6 章 「資料管理」。
前言 xix
硬體模組的分類名稱
Sun Fire™ 高階系統包含下列型號:
E25K
E20K
15K
12K
Sun Fire 中階系統包含下列型號:
E6900
E4900
6800
4810
4800
3800
Sun Fire 入門中階系統包含下列型號:
E2900
Netra 1280
V1280
V890
V880
V490
V480
支援的硬體系統
Solaris Security Toolkit 4.2 軟體支援 SPARC® (僅限 64 位元) 以及執行 Solaris 10 作業
系統的 x86/x64 系統。Solaris Security Toolkit 4.2 軟體支援執行 Solaris 8 和 9 的
SPARC 32 位元系統,例如:Ultra 2 Creator 3D。
xx Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
支援的 Solaris 作業系統版本
Solaris Security Toolkit 軟體的 Sun 支援僅可在 Solaris 8、Solaris 9 和 Solaris 10 作業
系統下使用。
備註 – 至於 Solaris Security Toolkit 4.2 軟體,Solaris 10 僅可使用於 Sun Fire 高階系
統網域,而不是在系統控制器 (SC)。
雖然此軟體可以在 Solaris 2.5.1、Solaris 2.6 和 Solaris 7 作業系統下使用,但是 Sun 支
援卻無法在這些作業系統下使用。
Solaris Security Toolkit 軟體會自動偵測已安裝哪個 Solaris 作業系統軟體,然後執行適
用於該作業系統版本的作業。
請注意,本文件中所提供作業系統版本之程序檔檢查的範例,其可檢查 5.x、SunOS™
版本,而不是 2.x、7、8、9 或 10 的 Solaris 作業系統版本。表 P-1 顯示 SunOS 和
Solaris 作業系統版本間的關聯性。
表 P-1 SunOS 和 Solaris 作業系統版本間的關聯性
SunOS 版本 Solaris 作業系統版本
5.5.1 2.5.1
5.6 2.6
5.7 7
5.8 8
5.9 9
5.10 10
支援的 SMS 版本
如果您使用 System Management Services (SMS) 在 Sun Fire 高階系統上執行系統控制
器 (SC),在所有使用 SMS 版本 1.3、1.4.1 和 1.5 的 Solaris 8 和 9 作業系統皆支援
Solaris Security Toolkit 4.2 軟 體。在 使 用 Solaris Security Toolkit 4.2 軟體的 Solaris 10
作業系統上不支援任何 SMS 版本。
前言 xxi
備註 – 至於 Solaris Security Toolkit 4.2 軟體,Solaris 10 僅可使用於網域,而不是在
系統控制器 (SC)。
相關文件
線上所列的文件網址為:
http://www.sun.com/products-n-solutions/hardware/docs/
Software/enterprise_computing/systems_management/sst/index.html
適用範圍 書名 文件號碼 格式 位置
版本說明 「Solaris Security Toolkit 4.2 版本說明」
參考文件 「Solaris Security Toolkit 4.2 Reference Manual」
線上手冊 「Solaris Security Toolkit 4.2 Man Page Guide」
819-3799-10 PDF
HTML
819-1503-10 PDF
HTML
819-1505-10 PDF
線上
線上
線上
文件、支援與培訓
Sun 功能
文件
支援
培訓
xxii Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
URL
http://www.sun.com/documentation/
http://www.sun.com/support/
http://www.sun.com/training/
說明
下載 PDF 與 HTML 文件,以及購買出
版文件
取得技術支援與下載修補程式
取得 Sun 課程資訊
協力廠商網站
Sun 對於本文件中所提及之協力廠商網站的使用不承擔任何責任。Sun 對於此類網站或
資源中的 (或透過它們所取得的) 任何內容、廣告、產品或其他材料,不做背書,也不
承擔任何責任。對於因使用或依靠此類網站或資源中的 (或透過它們所取得的) 任何內
容、產品或服務而造成的或連帶產生的實際或名義上之損壞或損失,Sun 概不負責,也
不承擔任何責任。
Sun 歡迎您提出寶貴意見
Sun 致力於提高文件品質,因此誠心歡迎您提出意見與建議。請至下列網址提出您對本
文件的意見:
http://www.sun.com/hwdocs/feedback
請隨函附上文件書名與文件號碼:
「Solaris Security Toolkit 4.2 管理指南」,文件號碼: 819-3792-10
前言 xxiii
xxiv Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
第 1 章
簡介
本章旨在說明 Solaris Security Toolkit 軟體的設計和用途,其中涵蓋重要元件、功能、
優點及支援的平台。本章提供關於維護修改和部署的版本控制之準則,並陳述自訂
Solaris Security Toolkit 軟體的重要準則。
本章包含以下主題:
第 1 頁「以 Solaris Security Toolkit 軟體鞏固系統安全性」
第 3 頁 「瞭解軟體元件」
第 11 頁 「維護版本控制」
第 12 頁 「配置和自訂 Solaris Security Toolkit 軟體」
以 Solaris Security Toolkit 軟體鞏固系統
安全性
Solaris Security Toolkit 軟體 (又稱為 JumpStart 架構與安全性程序檔,JASS) 工具組提
供一種自動、可延伸及可延展的機制來建立和維護 Solaris 作業系統之安全性。藉由
Solaris Security Toolkit 軟體,您可以對系統進行強化及稽核其安全性。
您必須瞭解下列本指南中所使用的重要術語:
強化 - 修改 Solaris 作業系統配置以增進系統安全。
稽核 - 判定系統配置是否符合預先定義的安全性設定檔。
備註 – 稽核一詞被用來說明 Solaris Security Toolkit 軟體透過比較預先定義的安全性
設定檔,來驗證安全性部署的自動程序。此專有名詞在此出版品內的使用不代表保證系
統在使用稽核選項後即會安全無虞。
1
計分 - 在稽核執行期間找到的錯誤數量之值。如果沒有發現錯誤 (任一種),結果數
值則為 0。只要偵測到一個錯誤,Solaris Security Toolkit 就會將分數 (又稱為弱點
數值) 增加 1 分。
有兩種安裝 Solaris Security Toolkit 軟體的方法,在下列章節中會有簡短的介紹:
第 2 頁「JumpStart 模式」
第 2 頁 「獨立模式」
無論系統的安裝方式為何,您皆可使用 Solaris Security Toolkit 軟體來強化和最小化您
的系統。之後,定期使用 Solaris Security Toolkit 軟體來稽核已鞏固安全性的系統之安
全性設定檔是否被不小心或蓄意修改。
JumpStart 模式
系統安裝和配置應儘可能自動化 (理想目標為百分之百)。其中包括作業系統的安裝和配
置、網路配置、使用者帳號、應用程式及強化。JumpStart 軟體為一種可用來自動化
Solaris 作業系統安裝的技術。JumpStart 軟體提供一種將系統安裝在網路上的機制 (需
要少量或不需人工介入操作)。Solaris Security Toolkit 軟體提供在以 JumpStart 軟體為
基礎的安裝中,實行及自動化與強化 Solaris 作業系統有關的大多作業之架構和程序
檔。要取得 JumpStart Enterprise Toolkit (JET) (提供 JumpStart 為基礎之安裝與包含
以 Solaris Security Toolkit 支援強化的模組),請至 Sun Software Download 網站,網
址為:
http://www.sun.com/download/
要取得有關 JumpStart 技術的資訊,請參閱 Sun BluePrints™ 文件 「JumpStart
Technology: Effective Use in the Solaris Operating Environment」。
獨立模式
此外,Solaris Security Toolkit 軟體具有獨立模式。此模式能夠提供執行與 JumpStart
模式中相同的所有強化功能,但僅限於在已部署的系統上。在任一模式中,作出的安全
性修改可以且應該自訂以符合您的系統之安全性需求。
無論系統的安裝方式為何,您皆可使用 Solaris Security Toolkit 軟體來強化您的系統。
之後,定期使用 Solaris Security Toolkit 軟體來稽核已鞏固安全性的系統之配置是否被
不小心或蓄意修改。
2 Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
瞭解軟體元件
本節提供 Solaris Security Toolkit 軟體元件架構的簡介。Solaris Security Toolkit 軟體
為一組檔案和目錄。圖 1-1 顯示此架構的圖例。
圖 1-1 軟體元件架構
下列程式或指令檔案位於 /bin 目錄下:
add-client - 將用戶端新增到 JumpStart 環境的 JumpStart 輔助程式。
rm-client - 從 JumpStart 環境移除用戶端的 JumpStart 輔助程式。
make-jass-pkg - 提供能夠從 Solaris Security Toolkit 目錄的內容建立 Solaris 作
業系統套裝模組之指令,以簡化自訂 Solaris Security Toolkit 配置的內部分配。
jass-check-sum - 提供能夠根據在各個 Solaris Security Toolkit 執行期間所建
立的總和檢查,判定 Solaris Security Toolkit 軟體所修改的任何檔案是否已變更的
指令。
jass-execute - 執行 Solaris Security Toolkit 軟體中大部份功能之指令。
第 1 章簡介 3
目錄
Solaris Security Toolkit 架構的元件編排為以下目錄:
/Audit
/bin
/Documentation
/Drivers
/Files
/Finish
/lib
/man
/OS
/Packages
/Patches
/Profiles
/Sysidcfg
本節說明各個目錄,其中將列出相關的各個程序檔、配置檔或子目錄,及其他章節的參
考資料以提供詳細資訊。
Solaris Security Toolkit 目錄架構是基於 Sun BluePrints 手冊 「JumpStart
Technology: Effective Use in the Solaris Operating Environment」。
Audit 目錄
此目錄含有稽核程序檔,可評估系統是否符合定義的安全性設定檔或稽核程序檔。此目
錄中的程序檔編排為以下類別:
停用
啟動
安裝
最小化
列印
移除
設定
更新
如需上述各個類別中的程序檔之詳細清單及各個程序檔的說明,請參閱 「Solaris
Security Toolkit 4.2 Reference Manual」。
Documentation 目錄
此目錄包含具有使用者資訊的文字檔,例如 README、EOL_NOTICE 和 INSTALL 檔。
4 Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
man 目錄
此目錄包含指令、功能和驅動程式之線上手冊手冊各節的子目錄。此目錄也包含了
windex 檔,其為指令的索引且是免費提供。
如需關於這些線上手冊的更多資訊,請參閱這些線上手冊或 「Solaris Security Toolkit
4.2 Man Page Guide」。
Drivers 目錄
此目錄含有配置資訊的檔案,這些配置檔案指出在執行 Solaris Security Toolkit 軟體時
會執行和安裝哪些檔案。此目錄含有驅動程式、程序檔及配置檔。
以下為 Drivers 目錄中的驅動程式和程序檔的範例:
audit_{private|public}.funcs
common_{log|misc}.funcs
{config|hardening|secure}.driver
driver.{init|run}
driver_{private|public}.funcs
finish.init
server-{config|hardening|secure}.driver
suncluster3x-{config|hardening|secure}.driver
sunfire_15k_sc-{config|hardening|secure}.driver
undo.{funcs|init|run}
user.init.SAMPLE
user.run.SAMPLE
所有包含在 Solaris Security Toolkit 中的驅動程式中都各有三個檔案:
name-{config|hardening|secure}.driver
這三個檔案在先前的清單中是以括號表示,例如:sunfire_15k_sc{config|hardening|secure}.driver。這些檔案是為了完整起見所列出的,因此
在執行驅動程式時,請只使用 secure.driver 或 name-secure.driver。該驅動
程式會自動呼叫相關的驅動程式。
Solaris Security Toolkit 架構包括在不修改本身的實際程序檔時,啟動驅動程式、結束
及用於不同的環境的稽核程序檔之配置資訊。結束和稽核程序檔中使用的所有變數都保
留在一組配置檔中。這些配置檔是由驅動程式所匯入的,讓變數能夠在受到驅動程式呼
叫時即結束並稽核程序檔。
Solaris Security Toolkit 軟體有四個主要的配置檔案,全都儲存於 Drivers 目錄中:
driver.init
finish.init
user.init
user.run
第 1 章簡介 5
user.run 檔案提供您寫入置換或 Solaris Security Toolkit 功能強化版本的位置,如果
已存在則會自動使用。
注意 – 僅可變更 user.init 配置檔中的變數定義,而不是 driver.init 和
finish.init 配置檔中的變數定義。
驅動程式呼叫的結束程序檔位於 Finish 目錄中。驅動程式呼叫的稽核程序檔位於
Audit 目錄中。驅動程式安裝的檔案是從 Files 目錄讀取。如需更多關於結束程序檔
的資訊,請參閱 「Solaris Security Toolkit 4.2 Reference Manual」的第四章。如需更
多關於稽核程序檔的資訊,請參閱 「Solaris Security Toolkit 4.2 Reference Manual」
的第五章。
圖 1-2 為驅動程式控制流程的流程表。
圖 1-2 驅動程式控制流程
1. 僅適用於執行非 JumpStart,驅動程式執行 jass-execute 指令。JumpStart 執行會直
接呼叫驅動程式,而不會呼叫 jass-execute 指令。
6 Solaris Security Toolkit 4.2 管理指南 • 2005 年 7 月
Loading...