使用Yassp工具包安装安全的Solaris系统 (三)
7、补丁
系统在安装时会自动安装推荐补丁包,但是它并不包含所有的安全补丁。定期检查最新的补丁, 安装了最新安全补丁的系统要比没有安装的系统可靠的多。 补丁通常有标准补丁(Standard patches)、推荐补丁(Recommended patches)、安全补丁( Security patches)、2000年补丁(Y2K patches),patch clusters是以上补丁的集成包。单点 补丁(Point patches)是针对特定问题的补丁。 通过下列方法,了解已知的漏洞及相应的补丁程序: 1. 订阅相关组织及公司(如CERT/First、SUN、Bugtraq)的邮件列表。 2. 订阅有关漏洞及补丁的邮件列表,如Security Portal(Solaris Digest)、 SecurityFocus(Sunr的部分)或者SANS。 3. 定期使用工具,检查服务器上安装的补丁是否与Sun发布的最新补丁列表相一致。 4. 一至两月检查一次Sun推荐的补丁包,需要注意的是安装推荐补丁包时,如果对内核打补丁可 能会导致一些应用的不正常。 5. 某些第三方的应用的补丁也需要加以关注。 注:安装补丁可能会改动Yassp的配置,因此在安装完补丁重启系统后,要仔细检查是否启动了不 需要的进程。 针对补丁的工具 * GetApplyPatch和CheckPatches是两个管理Solaris补丁的Bshell的脚本工具。 1.CheckPatches使用showrev命令查看已经安装的补丁,并与Solaris的补丁报告相比较,列出需 要安装的推荐及安全补丁。补丁报告SolarisX.PatchReport通常在当前目录下,也可以使用-f参 数通过FTP下载最新的补丁报告 >./CheckPatches -f 2.GetApplyPatch:用来获得并安装最新的补丁,使用补丁号码作为执行脚本时的参数。运行时, 会提示是否下载,显示补丁的README文件,安装补丁后,删除安装目录。使用'-b'参数以"batch mode"运行,则不做提示。 >./GetApplyPatch 108875-07 CheckPatches.cron是一个自动运行的脚本,并将结果mail给管理员。 3.同时使用这两个脚本文件,获得需要的补丁并进行安装。 >./CheckPatches | ./GetApplyPatch GetApplyPatch.cron可以用来自动执行,取得补丁并进行安装,但是关键任务的服务器上不推荐 使用它。 4.其它的特点: * 带有man帮助文件 * 支持Solaris Intel及Sparc,通过测试 * 可以设置ftp代理 * CheckPatches可以忽略无需安装的补丁。比如,在Solaris8 x86系统中,运行CheckPatches后 ,提示需要下面的补丁: 109897-03 SunOS 5.8_x86: USB patch 109952-01 SunOS 5.8_x86: jserver buffer overflow 110417-02 SunOS 5.8_x86: ATOK12 patch 对于这些补丁,我们并不想安装。创建Solaris8_x86.PatchReport.Except,在文件中加入上面三 行,在次运行CheckPatches脚本时会将它们忽略。 * 也可以对CheckPatches的命令输出做过滤,如: ./CheckPatches | egrep -v "109897|109952|110417" * Sunsolve提供的Patchdiag工具,与最新的Patchdiag.xref一起,可以检查系统缺少哪些补丁, 然后下载并安装这些补丁。 * 使用SecurityFocus的vulnerability calculator工具,运行下面的命令 (http://securityfocus.com/focus/sun/form.html) >showrev -p |cut -f2 -d' ' | xargs 将结果粘贴到窗囗中,然后选择操作系统。在得出结果的中选择与自己主机上的应用相关的内容 进行修补。 * FastPatch可以用来替代patchadd命令,它的执行速度更快。 * Patchreport是另外一个用perl语言编写的非常全面的补丁检查工具。 8、RPC 在关键任务主机,避免使用RPC服务。RPC使用动态分配的端囗及非标准的存取控制方法。但是, 确有一些应用需要使用RPC,如CDE、Open Windows、Disksuite及Legato Networker。 如何提高Disksuite的安全性 Disksuite是系统内置的工具,用来做磁盘镜象及设置RAID。它需要RPC的支持(在inetd中运行的 rpc.metamhd和rpc.metad)。 1. 尽量不运行Disksuite * 硬件RAID的好处在于不需要特殊的软件支持。这对于对安全性要求较高的系统十分有利。而且 当出现问题时,你会发现Disksuite并不是太容易使用的。 * 对于象是系统盘等,数据并不会频繁变动的系统盘,作镜像(cold mirroring)就足够了,使用 脚本mirror_boot.sh可以完成此项工作。 2. 运行Disksuite,但是停止RPC服务。停止inetd.conf中的'metad'服务会引起以下结果: * 'metatool'将不会工作,但是命令行工具还可以运行。为了应付系统盘的灾难性错误,最好了 解这些命令行工具。 * Disksets-系统间共享的metadevices将不能使用。 3. 如果使用Disksuite和RPC,使用Wietse Venema的RPCBIND。 * Solaris8系统自带的Sunscreen EFS Lite Firewall可以用来对rpc服务的存取进行限制。 * IPfilter也可以用来做限制RPC服务访问的本地防火墙。 * IPfilter可以在8以前的老版本的Solaris上运行,并且是免费的。 * It's doesn't have an RPC state based engine though(so it can't filter on RPC 上一篇:部分防止Solaris溢出的方法 下一篇:使用Yassp工具包安装安全的Solaris系统 (四) 更多相关文章
|
推荐文章
精彩文章
|
