* 简化:建议在一台主机上只运行一至两种服务。使用多台服务器,而不要只用一台超级服务器去完成所有的工作。这样便于应用的隔离,可靠性的提高,也易于排错及进行软/硬件地升级。切记,只运行必要的程序。
* 硬件:考虑使用串囗终端安装系统。保证网络环境的可信以及封闭。
* 保证安全地下载软件:在一个封闭的或者没有对外路由的网络环境中,通过ftp与网络内部其它
主机传送文件。如果网络并不是完全封闭的,要在文件传输完成后,马上断开网络的连接,以减小遭到攻击的机会。添加一个以/tmp为HOME目录的非特权用户专门用来在主机间传送文件。
* 清楚系统的用途、硬件的配置等。有时为了提高系统的可靠性可能会导致某些程序不能正常运行,如CDE/OpenWindows,Disksuite及Legato运行都需要RPC的支持,但是在用作为防火墙的主机上,要关闭RPC。
* 理解各种应用的工作方式非常重要(比如应用如何使用端囗、设备及文件),这样才可以判断哪些方面需要加强及存在的风险。
2、系统的初始化安装
连接串囗终端,加电,按下Stop-A键使主机进入到OK提示符模式,使用boot cdrom -install命令开始安装过程。
选择以最终用户包(end user bundle)或者核心包(core)模式进行安装,设置主机名,终端类型,IP地址,所在时区等,不要开启任何的命名服务,如NIS或NFS。不要打开电源管理或者mount远程文件系统。
注:对于Solaris 8系统,使用F4功能键可以对最终用户包内的软件进行定制。
分区注意的事项:
* 对于syslog、web、新闻、代理服务器或者防火墙过滤主机,要为其/var文件系统建立一个独立的,较大磁盘空间的分区。将要存储大量数据的服务器,如web或ftp服务器,也应该使用独立的分区存储其数据。
标签:
