ระบบปฏิบัติการ Solaris: บทช่วยสอน คุณสมบัติการติดตั้งโซลาริส

ในบรรดาแกนอื่นๆ Solaris มีความโดดเด่น
แต่ถึงแม้จะมีงานที่ไม่ธรรมดาก็ตาม
มันไม่เหมาะไปกว่าการสร้างเซิร์ฟเวอร์ที่ปลอดภัย
มากกว่า Linux และ FreeBSD ไฟร์วอลล์ IPFilter, Sun Screen, การรักษาความปลอดภัยด้วยรหัสผ่านที่จัดระเบียบอย่างดี,
Samba และ LDAP, รองรับ IPSec และอื่นๆ อีกมากมายจะเป็นประโยชน์ต่อผู้ใช้
และผู้ดูแลระบบ โดยทั่วไปแล้ว มันก็คุ้มค่าที่จะค้นหาทุกอย่าง
ไม่ต้องกังวล เครื่องยนต์จะไม่ดับ ไปกันเลย!

ประวัติเล็กน้อย

ระบบปฏิบัติการ Solaris (Sun Microsystems) เติบโตมาจาก SunOS ซึ่งเป็น Unix แบบคลาสสิก
สร้างขึ้นบนพื้นฐานของแกน BSD และสานต่อประเพณีที่ดีที่สุดของระบบ AT&T
V. แต่แตกต่างจาก SunOS ตรงที่เป็นสภาพแวดล้อมการทำงานที่ครบครัน
ดังนั้น หากคุณต้องการอะไรที่มากกว่าแค่ Unix
— เลือกโซลาริส ข้อได้เปรียบหลักของ Solaris คือความสามารถในการขยายขนาดและระดับสูง
เป็นผลให้การนำแนวคิดของการคำนวณมัลติโปรเซสเซอร์แบบสมมาตรไปใช้
SMP (Symmetric Multi-Processing) นั่นคือการเพิ่มประสิทธิภาพเชิงเส้นเมื่อจำนวนโปรเซสเซอร์ในระบบเพิ่มขึ้น
น้ำมันดีเซลจะทนทานพอๆ กันบนเวิร์กสเตชันที่อ่อนแอ
และบนเซิร์ฟเวอร์ที่ทรงพลัง ดังนั้นคุณจะไม่พบระบบที่ทรงพลังและสะดวกกว่านี้สำหรับคำขอใด ๆ
ดังนั้น, ความคิดทั่วไปได้รับข้อมูลเกี่ยวกับระบบ
ตอนนี้คุณสามารถติดตั้งได้

การติดตั้ง

สภาพแวดล้อม Solaris มีอยู่สำหรับสองแพลตฟอร์ม: Intel และ SPARC (ตัวประมวลผลที่ปรับขนาดได้
สถาปัตยกรรม เช่น สถาปัตยกรรมมัลติโปรเซสเซอร์ที่ปรับขนาดได้)
เนื่องจากแพร่หลายในประเทศของเราโดยเฉพาะ แพลตฟอร์มนี้ไม่ได้รับมัน
เราจะไม่พูดถึง SPARC และการติดตั้ง จะเหมาะสมกว่าที่จะพูดคุยเกี่ยวกับการติดตั้งภายใต้
อินเทล มีตัวเลือกการติดตั้งสามแบบ: 1) ข้อความ
2) การโต้ตอบและ 3) การใช้ตัวช่วยสร้างเว็บ
เริ่ม. เราจะเลือกเส้นทางที่ 3 วิธีที่ง่ายและสะดวกที่สุด คุณใช้ดิสก์ที่มีน้ำมันดีเซล
คุณใส่และรีบูต ทุกสิ่งที่คุณเห็นบนหน้าจอคือ
DCA (ผู้ช่วยกำหนดค่าอุปกรณ์)
มีเส้นวิ่งผ่านหน้าจอเพื่อบอกรายละเอียดเกี่ยวกับ
การติดตั้งอุปกรณ์เป็นอย่างไรบ้างและหลังจากนั้นไม่นานรายการอุปกรณ์ที่พบจะปรากฏขึ้น
หากอุปกรณ์ใดของคุณไม่อยู่ในรายการ
มีคำอธิบายสองประการสำหรับสิ่งนี้: เครื่องยนต์ดีเซลกำหนดค่าอุปกรณ์คดโกง
หรือเพียงแค่ไม่สนับสนุนมัน คุณสามารถแก้ไขได้โดยใช้
“งานอุปกรณ์” ส่วนสำหรับการทำงานกับอุปกรณ์
เมื่อทุกอย่างเรียบร้อยดี ให้กด F2 เพื่อแสดงข้อมูลเกี่ยวกับ สถานะปัจจุบัน ระบบดิสก์และโรงไฟฟ้าพลังงานแสงอาทิตย์ก็เริ่มต้นขึ้น
fdisk. Solaris ทำงานร่วมกับระบบไฟล์ UFS

หากคุณไม่ได้วางแผนที่จะติดตั้งระบบอื่นใดบนคอมพิวเตอร์ของคุณ
จากนั้นคุณสามารถลบพาร์ติชั่นทั้งหมดที่คุณมีก่อนหน้านี้ได้
คีย์ 3 ตอนนี้ใช้คีย์เพื่อสร้าง 1 พาร์ติชันที่มีประเภท "x86 boot" และพาร์ติชัน
โซลาริส เนื่องจากคุณและฉันกำลังสร้างเซิร์ฟเวอร์
ดังนั้นเช่นเดียวกับใน Linux พาร์ติชั่นรูทหนึ่งตัวสำหรับทั้งระบบนั้นไม่เพียงพอ
ดังนั้นคุณต้องสร้างพาร์ติชัน /var, /usr, /home, /tmp,
/ จากนั้นใช้ปุ่ม 2 เพื่อเลือกการบูต คำถามจะตามมา:
ไม่ว่าจะทำให้มันใช้งานได้หรือไม่ หากไม่มีแกนอื่นบนคอมพิวเตอร์
และคุณจะใช้ตัวจัดการการดาวน์โหลดพลังงานแสงอาทิตย์
แล้วตอบไปในทางบวก ถ้าคุณชอบมันมากขึ้น
lilo, BootMagic หรือ bootloader อื่น ๆ - ตอบในแง่ลบ
เมื่อคุณสร้างทุกสิ่งทุกอย่าง ส่วนที่จำเป็นและเลือกใช้งาน
คุณสามารถออกได้ (คีย์ 4 - ออก) หลังจากนี้การติดตั้งจริงจะเริ่มใช้ Web Wizard
เริ่ม. คุณจะได้รับแจ้งให้ฟอร์แมตดิสก์หรือหากจำเป็น
พาร์ติชันในระบบไฟล์ UFS คุณตกลงยืนยันการติดตั้งห้องอาบแดดและเขียนทับเนื้อหาของดิสก์สำหรับบูต
จากนั้นคุณจะถูกถามว่าจะเปลี่ยนขนาดอะไร
มันขึ้นอยู่กับคุณ หากยังไม่เพียงพอ ให้ใช้คำสั่ง swap คุณสามารถจัดสรรเซ็กเมนต์เพิ่มเติมสำหรับหน่วยความจำเสมือนได้
เมื่อถูกถามว่าควรวาง swap ไว้ที่จุดเริ่มต้นของดิสก์หรือไม่
ตอบในเชิงยืนยัน เนื่องจากขนาดของไฟล์เพจจิ้งไม่สามารถเปลี่ยนแปลงได้ในระหว่างการก่อตัวของระบบไฟล์ ยืนยันการบันทึกการตั้งค่าทั้งหมดแล้วรอ
ดิสก์จะถูกฟอร์แมต, ระบบไฟล์รูทจะถูกสร้างขึ้น,
การคัดลอกไฟล์ที่ขึ้นกับแพลตฟอร์มและการรีบูตเครื่อง
ก่อนหน้านั้นคุณจะถูกขอให้กด Enter หลังจากรีบูตคุณจะเห็นตัวจัดการการดาวน์โหลดพลังงานแสงอาทิตย์
(ถ้าคุณเลือกมัน) ฉันจะบอกคุณเกี่ยวกับเขาเท่านั้น
เนื่องจากไม่น่าจะมีปัญหากับ lilo, grub ฯลฯ

CDE-โซลาริสเดสก์ท็อป

เข้าสู่ระบบน้ำมันเชื้อเพลิงดีเซล

ดังนั้น Solaris ก็ปรากฏตัวต่อหน้าคุณ ตัวจัดการการบูต(หรือระบบย่อยการบูตหลัก SunOS Intel Platform Edition) และแนะนำให้เลือกบูตจากพาร์ติชันที่ใช้งานอยู่
กดปุ่มที่มีหมายเลขส่วนและปล่อยให้เขาทำอย่างกรุณา
กระบวนการบูตอัตโนมัติสามารถถูกขัดจังหวะได้โดยใช้
Esc. จากนั้นระบบจะเริ่มต้น และขั้นตอนการเตรียมการสุดท้ายจะเริ่มต้นขึ้น
kdmconfig ซึ่งจะกำหนดค่าวิดีโอ จอภาพ ฯลฯ ของคุณ
p. เพื่อเปิดตัวช่วยสร้างการติดตั้งเว็บแบบกราฟิก
เริ่ม. ขอแสดงความยินดี ขั้นตอนที่ยากที่สุดในการติดตั้งห้องอาบแดดเสร็จสมบูรณ์แล้ว
การทำงานกับ WebStart นั้นไม่ยากไปกว่าการทำงานร่วมกับโปรแกรมติดตั้งที่เป็นมิตรจากบางคน
Mandrake แม้ว่าจะไม่รองรับภาษารัสเซียก็ตาม
กำลังคัดลอกไฟล์ รีบูตอีกครั้ง
และเดสก์ท็อป CDE (สภาพแวดล้อมเดสก์ท็อปทั่วไป - อย่าสับสนกับ KDE) จะปรากฏต่อหน้าคุณ..

การทำงานกับซูเปอร์เซิร์ฟเวอร์

หากคุณเคยสร้างเซิร์ฟเวอร์ที่ใช้ Nix
ถ้าอย่างนั้นคุณคงคุ้นเคยกับ inetd superserver แล้ว มีอยู่ในน้ำมันดีเซลด้วย
จะใช้หรือไม่ขึ้นอยู่กับคุณ ฉันอยากจะแนะนำว่าอย่าทำเช่นนี้
เหตุผลที่ทราบ: ถ้า inetd ขัดข้อง มันจะดึงบริการทั้งหมดไปด้วย
ซึ่งได้รับการสนับสนุน และการใช้งานซ้ำซ้อน:
วันนี้บริการที่เหมาะสมไม่มากก็น้อยสามารถทำงานได้ใน
แบบสแตนด์อโลน และพวกเขาไม่ต้องการผู้ช่วย สำหรับผู้ที่ยังตัดสินใจเชื่อมต่อเซิร์ฟเวอร์ของตนกับ
inetd ฉันจะพูดสองสามคำเกี่ยวกับซูเปอร์เซิร์ฟเวอร์เวอร์ชันโซลาร์
ไฟล์ทั้งหมดอยู่ในตำแหน่งปกติ: /etc/services,
/etc/inetd. การประชุม แสดงความคิดเห็นเกี่ยวกับบริการที่ไม่จำเป็นทั้งหมดในนั้น
และกำหนดการตั้งค่าที่จำเป็นดังนี้:

ไฟล์ /etc/inetd. conf มีรูปแบบ:

โปรโตคอลประเภทชื่อแฟล็กพารามิเตอร์ผู้ใช้
ตัวอย่างเช่น

ftp stream tcp(tcp6) ตอนนี้รอ root /usr/sbin/in ftpd ใน ftpd (บางครั้งก็เป็นภายใน) ..

การเข้าอาจจะรอหรือไม่ต้องรอก็ได้ ถ้าระบุ
เดี๋ยวก่อนซึ่งหมายความว่าซุปเปอร์เซิร์ฟเวอร์จะไม่ฟังพอร์ตนี้จนกว่าเซิร์ฟเวอร์จะถูกปล่อยออกมา
และถ้าไม่รอช้าเขาก็จะฟัง บริการ Telnet และ ftp มักเกี่ยวข้องกันมากที่สุด
inetd แต่อย่างไรก็ตามคุณไม่ควรใช้มันไม่ว่าในกรณีใด ๆ
ดังนั้นให้ติดตั้ง OpenSSH การตั้งค่าของมันอยู่ใน /etc/sshd2/sshd2_config

เกี่ยวกับผู้ใช้

งานการดูแลระบบส่วนใหญ่ใน Solaris ดำเนินการโดยใช้แพ็คเกจกราฟิก
เครื่องมือผู้ดูแลระบบ แต่ในคอนโซลปัญหามากมายสามารถแก้ไขได้เร็วและสะดวกยิ่งขึ้นมาก
ดังนั้นจึงไม่มีประโยชน์ที่จะใช้ X ที่ช้าและผิดพลาด การเพิ่มผู้ใช้ทำได้โดยใช้การแก้ไขง่ายๆ
/etc/passwd, /etc/shadow และ /etc/group รวมถึงคำสั่ง useradd รหัสผ่านที่เข้ารหัสจะถูกสร้างขึ้นโดยอัตโนมัติโดยใช้ฟังก์ชัน crypt() และจัดเก็บไว้ใน
/etc/shadow. รหัสผ่านทั้งหมดจะถูกเข้ารหัสโดยใช้อัลกอริธึมคล้าย DES และต้องมีความยาวไม่เกินแปดตัวอักษร
รวมถึงแป้นพิมพ์ทั้งหมดพร้อมชุดคีย์พิเศษที่ไม่สามารถอ่านได้
การลบผู้ใช้ด้วยตนเองยกเว้นการแก้ไข
/etc/passwd, /etc/group และ /etc/shadow รวมถึงการลบโฮมไดเร็กตอรี่ของผู้ใช้,
กล่องจดหมาย (rm -rf /var/mail/ชื่อผู้ใช้) นามแฝงเมล (/etc/aliases)
ตรวจสอบกระบวนการ cron, at และผู้ใช้ (ps -eaf | grep ชื่อผู้ใช้) เพื่อสิ่งนั้น
เพื่อบล็อกผู้ใช้จากการเข้าสู่ระบบชั่วคราว
การแทนที่รหัสผ่านที่เข้ารหัสด้วยสัญลักษณ์ใน /etc/passwd หรือ /etc/shadow ก็เพียงพอแล้ว
- ไฟล์ งาน และการตั้งค่าผู้ใช้ทั้งหมดจะยังคงอยู่
แต่เขาจะไม่สามารถเข้าสู่ระบบได้ ตอนนี้เกี่ยวกับโควต้า
มีการดำเนินการในลักษณะเดียวกับใน
ลินุกซ์. พารามิเตอร์ที่จำเป็นจะถูกเขียนใน /etc/fstab หรือในคอนโซลโดยตรงเมื่อใช้คำสั่ง
เมานต์ หลังจากตั้งค่าโควต้าแล้ว ขอแนะนำให้รีบูตหรือยกเลิกการต่อเชื่อม/ต่อเชื่อมระบบไฟล์
ที่ได้กำหนดโควต้าเอาไว้ จากนั้นสร้างไฟล์โควต้าในไดเร็กทอรีที่จำเป็น
พิมพ์คำสั่ง edquota และป้อนจำนวนโหนดและบล็อก inode พื้นที่ดิสก์ในข้อจำกัด "แข็ง" หรือ "อ่อน"
จังหวะสุดท้ายคือคำสั่งโควต้าซึ่งออกแบบมาเพื่อเปิดใช้งานโควต้า

การจัดการแพ็คเกจ

การจัดการแพ็คเกจ—แพ็คเกจ—นั้นง่ายมากใน Solaris
สะดวกและมีประสิทธิภาพ ก่อนอื่นเรามาพูดถึงการเพิ่มและลบแพ็คเกจออกจากระบบกันก่อน
แล้วสิ่งที่น่าสนใจกว่านั้นคือการสร้างแพ็คเกจของคุณเอง
นี่คือรายการคำสั่งที่จำเป็นในการทำงานกับ packagedges:
pkgadd - เพิ่มแพ็คเกจ;
pkgchr - ตรวจสอบแพ็คเกจ;
pkginfo - ดูข้อมูลแพ็คเกจ
pkgmk-สร้าง แพ็คเกจใหม่ขึ้นอยู่กับต้นแบบ
pkgproto - สร้างข้อกำหนดแพ็คเกจใหม่และเพิ่มลงในต้นแบบ
pkgrm - ลบแพ็คเกจ;
pkgtrans - แพ็คไฟล์แพ็กเกจทั้งหมดลงในไฟล์เก็บถาวร
ตัวอย่างเช่น หากต้องการรับข้อมูลเกี่ยวกับแพ็คเกจของไฟล์
คุณต้องป้อนคำสั่งต่อไปนี้ในคอนโซล:

พาธแพ็กเกจ pkgchk -l -p

คุณสามารถเรียนรู้สิ่งที่น่าสนใจมากมายโดยดูจากเอกสารและดูธง
โดยใช้คำสั่งสำหรับการทำงานกับแพ็คเกจ

ตอนนี้เกี่ยวกับการสร้างแพ็คเกจ สิ่งแรกที่คุณต้องทำคือสร้างไฟล์
pkginfo. รูปแบบมีดังนี้ (ฉันจะแสดงรายการพารามิเตอร์ที่พบบ่อยที่สุด):

ARCH - สถาปัตยกรรมที่สร้างแพ็คเกจ
ไดเร็กทอรี BASEDIR ที่จะแตกไฟล์
ประเภทไฟล์เก็บถาวร CATEGORY (ระบบหรือแอปพลิเคชันทั่วไป)
ข้อมูลการติดต่อทางอีเมลของผู้เขียนแพ็คเกจ
NAME-ชื่อแพ็คเกจ (เช่น “My cool proga”);
PKG - ชื่อแพ็คเกจ (เช่น BAS_LOCAL)
PSAMP เป็นชื่อของผู้สร้างแพ็คเกจ
VENDOR คือชื่อของผู้เขียนหรือชื่อบริษัทที่พัฒนาโปรแกรม

จากนั้นเราก็สร้างไฟล์ต้นแบบ - -

และอย่าลืมเพิ่มข้อมูลเกี่ยวกับ pkginfo ลงในไฟล์นี้:

i pkginfo=path ไปยังไฟล์ pkginfo

ตอนนี้ในไดเร็กทอรีการติดตั้ง (ฟิลด์ BASEDIR ของไฟล์ pkginfo) เราดำเนินการคำสั่งเพื่อสร้างพาธสัมพัทธ์และชื่อไฟล์ในไฟล์ต้นแบบ:

หา . -พิมพ์ | pkgproto >> ต้นแบบ

ดูไฟล์ต้นแบบที่คุณเพิ่งสร้างขึ้น
ตัวอักษร f คือไฟล์ และ d คือไดเร็กทอรี แต่ละรายการจะมีข้อมูลเกี่ยวกับผู้ใช้
กลุ่มและสิทธิ์การเข้าถึง เลื่อนดูไฟล์นี้เพิ่มเติม
ถ้าคุณไม่ชอบมันคุณจะแก้ไขมัน จากนั้นพิมพ์คำสั่ง:

pkgmk -o -r พาธไปยังโฟลเดอร์ที่มี pkginfo อยู่

จากนี้ไป ไฟล์บรรจุภัณฑ์จะอยู่ใน /var/spool/pkg/package name
ขั้นตอนสุดท้าย:

pkgtrans -s /var/spool/pkg /backup/ชื่อแพ็คเกจ แพคเกจ

รายการแพ็คเกจที่พบจะปรากฏบนหน้าจอ
และคุณจะถูกถามว่าคุณต้องติดตั้งอันไหน
กดปุ่มที่มีหมายเลขตรงกับชื่อแพ็คเกจ
ไฟล์ทั้งหมดในแพ็คเกจของคุณจะถูกรวมเป็นไฟล์เก็บถาวรไฟล์เดียวและจะอยู่ในชื่อ /backup/package
แพคเกจ แพ็คเกจพร้อมแล้ว!

IPSec

ใน เมื่อเร็วๆ นี้ความนิยมของเครือข่าย VPN เพิ่มขึ้นอย่างมาก
เนื่องจากเครือข่าย VPN ใช้โปรโตคอล
IPSec ซึ่งให้ข้อมูลไม่เปิดเผยตัวตนได้อย่างสมบูรณ์แบบ
การเข้ารหัสและความปลอดภัยของข้อมูลที่ส่งผ่านเครือข่าย
เนื่องจากเขาวิเศษมาก คงจะดีถ้าเข้าใจ
มันทำงานอย่างไร ซึ่งเป็นสิ่งที่เราจะทำตอนนี้ เตรียมตัวให้พร้อมสำหรับทฤษฎียากสักสองสามนาทีโดยไม่ต้อง
คำอธิบายที่ยาว การรับรองความถูกต้องใน IPSec ดำเนินการโดยใช้การแลกเปลี่ยนคีย์
IKE (คีย์อินเทอร์เน็ต
แลกเปลี่ยน). โปรโตคอลนั้นขึ้นอยู่กับแนวคิดพื้นฐานสามประการ:
SA (สมาคมความปลอดภัย) - การสื่อสารความปลอดภัย AH
(ส่วนหัวการรับรองความถูกต้อง) - ส่วนหัวการระบุและ ESP
(Encapsulated Security Payload) - การถ่ายโอนข้อมูล
หากต้องการแลกเปลี่ยนข้อมูลระหว่างสองโหนด คุณต้องสร้างการเชื่อมต่อ SA สองรายการสำหรับโหนดเหล่านั้น
การเชื่อมต่อเหล่านี้ได้รับการจัดการโดยใช้คำสั่ง
อิปเซคกี้ หากมีการสร้างการเชื่อมต่อ SA แล้ว
เอ.เอช. ส่วนหัวจะถูกส่งไปพร้อมกับดัชนี SIP (ดัชนีพารามิเตอร์ความปลอดภัย) ของพารามิเตอร์ความปลอดภัย
หากทุกอย่างเรียบร้อยดีด้วยตัวชี้นี้ ดาตาแกรมก็ถือว่าเป็นของแท้
และการจัดส่งถูกต้อง พัสดุจะถูกจัดส่งอย่างปลอดภัย
แต่ AH จะไม่เข้ารหัสพวกเขา สำหรับสิ่งนี้คุณต้องมี ESP ข้อมูล ESP จะถูกส่งพร้อมกับพารามิเตอร์ด้วย
เอสพีไอ. ใช้เพื่อเข้ารหัสแพ็กเก็ต อัลกอริธึม DESและ
3-DES (ทริปเปิล-DES) แต่เทคโนโลยี AH และ ESP สามารถใช้แยกกันได้
การระบุตัวตนใน IPSec ถูกนำมาใช้โดยใช้การตรวจสอบ MD5 - อัลกอริธึมนี้จะคำนวณลายเซ็นดิจิทัล 128 บิต
เหมาะสำหรับข้อมูลทุกประเภท แค่นั้นแหละ
ทฤษฎีจบลงแล้ว ตอนนี้เกี่ยวกับการใช้เทคโนโลยีนี้ค่ะ
โซลาริส

กฎ Ipsec ถูกกำหนดโดยคำสั่ง
ipsecconf. การกำหนดค่าอยู่ใน /etc/inet/ipsecinit conf และ /etc/inet/ipsecpolicy.conf
การประชุม รูปแบบของหลังมีดังนี้ (เรากำหนดค่า ftp):

(dport 21) ใช้ (encr_algs ใด ๆ encr_auth_algs md5 sa ที่แชร์)
(กีฬา 21) ใบอนุญาต (encr_algs ใด ๆ encr_auth_algs md5)

ดังนั้นเราจึงป้องกันการรับส่งข้อมูลทั้งหมดบนพอร์ต 21
AH โดยใช้ DES หรือ 3-DES และจัดเตรียมการรับรองความถูกต้องโดยใช้อัลกอริทึม
เอ็มดี5. นี่เป็นตัวอย่างสำหรับพอร์ต แต่คุณสามารถทำเช่นเดียวกันกับเครือข่ายย่อยทั้งหมดได้:

(daddr 193.34.207.12/26) ใช้ (auth_algs md5 sa แบ่งปัน)
(saddr 193. 34. 207. 12/26) ใบอนุญาต (auth_algs md5)

ความเหมือนและความแตกต่างระหว่างการตั้งค่าทั้งสองสามารถมองเห็นได้ด้วยตาเปล่าและไม่ต้องการคำอธิบาย

หน้าแรกของ IPFilters

การเลือกและกำหนดค่าไฟร์วอลล์

มีไฟร์วอลล์หลักสองตัวภายใต้ Solaris:
IPFilter และ
ครีมกันแดด. IPFilter เป็นบริการฟรีและมาพร้อมกับแหล่งที่มา ส่วน SunScreen เป็นโปรแกรมเชิงพาณิชย์
แต่เมื่อไม่นานมานี้มีการเปิดตัวเวอร์ชันฟรีแม้ว่าจะมีน้อยกว่าเล็กน้อยก็ตาม
ฟังก์ชั่น
ในแง่ของความสามารถ ไฟร์วอลล์ทั้งสองจะใกล้เคียงกัน:
สนับสนุน
IPv6, MBone, การกระจายโหลดคุณภาพสูง,
การเปลี่ยนเส้นทาง, NAT, การบำรุงรักษาที่ดีและการแสดงสถิติ
ความแตกต่างระหว่าง SunScreen และน้องชายคือการมีใบหน้าแบบกราฟิก
ซึ่งแทบไม่มีใครต้องการ ใน ส่วนนี้ฉันจะลงรายละเอียดเพิ่มเติม
IPFilter และฉันจะพูดถึง SunScreen สั้นๆ อย่างไรก็ตาม แพ็คเกจทั้งสองนี้ไม่รวมอยู่ในแพ็คเกจการแจกจ่ายมาตรฐาน
โซลาริส IPFilter ชวนให้นึกถึง IPTables อย่างคลุมเครือ แม้ว่าจะไม่สะดวกนักก็ตาม
การกำหนดค่า,
แต่สิ่งนี้ไม่ได้ลดทอนคุณธรรมแต่อย่างใด
IPFilter ถูกนำมาใช้เป็นโมดูลที่โหลดได้สำหรับเคอร์เนล
คุณสมบัติที่สำคัญที่สุดคือดูกฎทั้งหมดจากการกำหนดค่า
และไม่ใช่เพียงผู้ที่มีคุณสมบัติตรงตามเงื่อนไขเท่านั้น
สรุป: แนวคิดเบื้องหลังการกำหนดค่า IPFilter คือ
ซึ่งสามารถ (และควร) อธิบายได้ว่าเป็นกฎทั่วไป
และผลหาร และอันแรกจะต้องอยู่ข้างหน้าอันหลังเสมอไป
หากไม่ตรงตามเงื่อนไขนี้ ไฟร์วอลล์จะทำงานไม่ถูกต้อง
กฎส่วนตัวจะถูกเปลี่ยนแปลงโดยพลการโดยกฎทั่วไปที่ปฏิบัติตามกฎเหล่านั้น
กฎทั่วไปมีการกำหนดไว้ดังนี้:

ข้ามทั้งหมด การจราจรขาเข้า, ก

บล็อกมันตามนั้น

กฎส่วนตัว:

บล็อกใน hme1 proto tcp จากใดก็ได้ถึง 193. 34. 207. 12/24 พอร์ต = 80

เรามาดูกันดีกว่าว่าเรามาทำอะไรที่นี่ กฎข้างต้นห้าม
(บล็อก) การรับแพ็กเก็ตขาเข้าบนอินเทอร์เฟซ hem1 โปรโตคอลทีซีพีจากที่อยู่ใด ๆ (จากใด ๆ ) ไปยังพอร์ต 80 ของซับเน็ตนี้
จากเสมอ หมายถึงที่ไหน ถึง หมายถึงที่ไหน และทั้งหมด คือลิงก์ไปยังที่อยู่ทั้งหมดในคราวเดียว
ง่ายจริงๆเหรอ?

หากคุณไม่ชอบที่ IPFilter จะใช้กฎทั้งหมดพร้อมกัน
จากนั้นสามารถเปลี่ยนแปลงได้โดยใช้คำหลัก
เร็ว. ดังนั้นหากในตัวอย่างก่อนหน้านี้เราเขียนคำว่า
อย่างรวดเร็ว จากนั้นกฎที่ตามมาในการกำหนดค่าก็คือ
การอนุญาตให้แพ็กเก็ตไปยังซับเน็ตนี้จะถูกข้ามไปแล้ว
คุณสามารถดูสถิติการเชื่อมต่อโดยใช้คำสั่ง
ipfstat นั่นอาจจะเพียงพอสำหรับครั้งแรกเกี่ยวกับไฟร์วอลล์นี้

มาดู SunScreen กันดีกว่า SunScreen ใช้อาร์เรย์คีย์เพื่อจัดการคีย์โปรโตคอลได้อย่างง่ายดาย
(SKIP-Simple Key-Management สำหรับอินเทอร์เน็ต
โปรโตคอล) SKIP ใช้เพื่อเข้ารหัสเซสชัน
ขณะนี้เทคโนโลยีนี้ถูกแทนที่ด้วยโปรโตคอลเกือบทั้งหมด
IPSec แต่ในบางกรณีที่พบไม่บ่อยนัก อาจยังจำเป็นต้องใช้อยู่
หลังจากติดตั้งไฟร์วอลล์โดยใช้สคริปต์ /opt/SUNWicg/SunScreen/bin/ss_install คุณสามารถเริ่มการกำหนดค่าได้
ระบุเส้นทางหรือโหมดการมองไม่เห็น ระดับความปลอดภัย
วิธีการกำหนดค่า, รองรับ DNS (หากจำเป็น) ฯลฯ
d ทุกอย่างได้รับการกำหนดค่าอย่างง่ายดายผ่านอินเทอร์เฟซแบบกราฟิก
สามารถเข้าถึงได้ผ่านเบราว์เซอร์ใดก็ได้ตามที่อยู่ในท้องถิ่น
http://localhost:3852. ชื่อผู้ใช้และรหัสผ่านสำหรับการเปิดตัวครั้งแรกคือ admin:admin โดยปกติแล้ว จะต้องเปลี่ยนรหัสผ่าน อะนาล็อกของการส่งผ่านและบล็อกจาก IPFilter คืออนุญาตและ
ปฏิเสธ. คุณสามารถใช้มาสก์ที่ระบุที่อยู่ต้นทางและปลายทาง (อนาล็อก
ใดๆ). สำหรับแต่ละกฎจะมีการตั้งค่าเพิ่มเติม: LOG_NONE
SNMP, LOG_DETAIL, ICMP_HOST_FORBIDDEN ฯลฯ ; มีมากมายจนไม่สามารถบอกได้ทั้งหมด หลังการติดตั้งคุณมีฐานข้อมูลดังต่อไปนี้:
ผู้เขียน
proxyuser, vars และ logmacro กำลังสร้างฐานข้อมูลใบรับรองด้วย
(/etc/skip/certdb)

ดังนั้น คุณได้ติดตั้งแพ็คเกจ กำหนดค่าผู้ใช้
ฉันป้องกันตัวเองด้วยไฟร์วอลล์ ถึงเวลาก้าวไปสู่เด็กน้อยแล้ว
แต่ก็สำคัญไม่น้อยเพราะเหตุนี้สิ่งเล็กๆ น้อยๆ ของความปลอดภัย

เรื่องไม่สำคัญด้านความปลอดภัย

ก่อนอื่น คุณต้องบังคับให้ผู้ใช้ตั้งรหัสผ่านปกติ
หากมีผู้ใช้หลายสิบหรือหลายร้อยคนบนเซิร์ฟเวอร์ของคุณ
ฉันก็ไม่มีแรงจะอธิบายกับทุกคน
ไม่มีเวลาจึงควรใช้โปรแกรมพิเศษจะดีกว่า
ตัวแทนหลักของหมวดหมู่นี้คือโปรแกรม
gpw (http://www.multicians.org/thvv/gpw.html
ในรูปแบบของ Java applet และ ftp://nce.sun.ca/pub/freeware/intel/7/gpw-6.94-sol7-intel-local.gz
ในรูปแบบของไฟล์เก็บถาวรพร้อมแพ็คเกจ)
ซึ่งเป็นเครื่องมือสร้างรหัสผ่านที่ดี
คุณสามารถตั้งค่าตัวเลือกต่างๆ ได้ เช่น ใส่ตัวเลขหรืออักขระพิเศษในรหัสผ่าน เป็นต้น
d. นี่เป็นวิธีแก้ปัญหาที่มีความสามารถ

แก้ปัญหาการบล็อกพอร์ตโดยเข้าไปดูใน /etc/services และ
/etc/inetd. การประชุม เกี่ยวกับบัฟเฟอร์ล้น
จากนั้นปัญหาจะได้รับการแก้ไขบางส่วนโดยการตั้งค่าพารามิเตอร์บางตัวใน /etc/system:

ตั้งค่า noexec_user_stack=1
ตั้งค่า noexec_user_stack_log=1

วิธีการป้องกันการปลอมแปลงแอปพลิเคชันที่มีประสิทธิผลคือการเปรียบเทียบผลรวม MD5
การรวบรวมผลรวม MD5 ของไบนารีที่จำเป็นเพียงครั้งเดียวและบันทึกไว้ในที่ปลอดภัยก็เพียงพอแล้ว
(ตัวเลือกที่ดีที่สุดคือบนคอมพิวเตอร์ขนาดกะทัดรัดหรือคอมพิวเตอร์เครื่องอื่น)
ทำได้โดยการเรียกโปรแกรม /md5. สิ่งสำคัญคือต้องตรวจสอบจำนวนแอปพลิเคชัน MD5 ในระบบเป็นระยะด้วยจำนวนเงิน
บันทึกไว้ในสื่อที่ได้รับการตรวจสอบแล้ว หากจำนวนเงินมีการเปลี่ยนแปลง
- ถึงเวลาค้นหาผู้บุกรุกแล้ว
แต่ก็ต้องจำไว้ว่า เช็คซัมอาจมีการเปลี่ยนแปลง
ถ้าคุณอัปเดต แพ็คเกจนี้หรือไฟล์.

บทสรุป

ในการสร้างเซิร์ฟเวอร์ที่มีความปลอดภัยสูง คุณจำเป็นต้องมีเพียงเล็กน้อย:
หัวบนไหล่และแขนตรง
- อย่างไรก็ตามรายละเอียดเล็กๆ น้อยๆ เหล่านี้มีความสำคัญมากในตัวเอง
และแพทช์สามครั้งต่อวัน อ่านบันทึกตอนกลางคืน
และรับประกันความรุ่งโรจน์ของผู้ดูแลระบบระดับพิเศษให้กับคุณ ขอให้ส้นเท้าของคุณไม่หัวล้าน!