-使用FTP强烈建议使用chroot.
-把FTP数据放在独立的磁盘分区,以nosuid方式mount。
2,DNS服务:
-使用最新的BIND(Berkeley Internet Name Server)来代替SUN的named,BIND有很多好的特征,若容易DEBUG和当有安全问题发现时很快更新。
具体请参看网站:
www.isc.org/vIEw.cgi?/products/BIND/index.pHTML.
-使用8.1.2或以后的版本
-使用测试工具www.uniplus.ch/direct/testtool/dnstest.html来测试DNS。
-使用nslookup和dig来检查服务结果。
-如果在DNS客户端存在问题检查/etc/nsswitch.conf和/etc/resolv.conf,使用nslookup -d2来获得DEBUG的信息。尝试杀掉nscd守护程序。
-如果服务器端有问题使用named -d来读console LOG,一般这LOG在syslog文件中的daemon段。
-要获得name服务的统计使用
kill -ABRT `cat /etc/named.pid` 将会把统计信息记录到/usr/tmp/named.stats.
-要查看改变设置后的配置信息使用HUP信号
kill -HUP `cat /etc/named.pid`
更多的请参看www.ebsinc.com/Solaris/dns.html
3,有关chroot环境请参看如下网站:
www.sunworld.com/swol-01-1999/swol-01-security.html
以下准备正式运行系统
如果可能请使用多人进行最后测试,以便忘记某些重要的东西。
使用网络漏洞扫描器扫描系统,保证只有你想使用的服务在运行。
如商用扫描器IIS和免费扫描 器nmap或Satan.
检查/opt和/usr分区是否为只读状态。
初始化Tripwire(或等同的检查工具)
最后测试什么在工作,什么是禁止的,检查console/log条目,
开始时经常查看LOG记录。
9,系统正式运行
详细检查;使用不同的人以不同的观点及在不同的网络点登录测试应用软件。
标签: