通过服务管理工具（SMF）实现系统保护思科认证

文章作者 100test 发表时间 2010:02:20 22:22:20
来源 100Test.Com百考试题网

　　Solaris 10系统上的所有设备都由服务管理工具(SMF)控制。在SMF具有许多优势，包括附属服务的自动启动和从服务损耗中恢复的功能等，后者使用的是SMF中基于角色的权限控制(RBAC)。使用基于角色的权限控制，程序能以准确的权限和所需授权运行。本文向大家展示了如何将NFS，IP过滤程序，FTP和 Apache2 Web服务器配置成为SMF服务的方法。

　　3.1服务管理工具(SMF)

　　与传统UNIX运行控制脚本相比，SMF为Solaris服务提供的管理界面更加强大。

　　Solaris服务，如系统进程，无交互后台程序，应用和脚本都是可执行的。数据库软件，Web服务器软件和特定网页脚本都可以通过SMF控制。SMF通过以下功能为我们提供简单，快速和可视性的管理。

　　1. 可用管理命令svcadm启用，禁用或重启服务。

　　2. 失败的服务会被附属命令自动重启。而且启动失败的源代码不会影响自动重启。

　　3. 可通过svcs, svcadm和svccfg等命令查看和管理服务对象。

　　4. 服务调试很简单。svcs-x命令可以对服务无法正常运行作出解释，且每个服务的记录文件也简化了调试过程。

　　5. 由于配置状态保留在服务清单中，所以可轻松对服务的某一特定配置进行测试，备份和恢复。

　　6. 因为服务按照若干服务之间的附属关系启动和停止，所以系统启动和关闭速度更快。多个服务可同时启动。

　　7. 管理员可通过RBAC权限文件，角色，授权认可或特权等方式，将任务放心委任给那些被许可使用特定管理服务的非根用户。

　　8. SMF对系统初始化状态作出响应，如多用户运行级别。

　　9. SMF同样适用于使用传统UNIX rc脚本的系统。虽然我们不推荐大家这样做，但是用户仍然可将传统脚本用于某些服务，欲了解相关详情，可查看smf(5), svcadm(1M), svcs(1)和svccfg(1M)的介绍。

　　每个服务的清单都保存在中心存储库中。我们可以定义大量被称为配置文件的清单集。

　　3.2 SMF配置如何

　　服务和SMF清单一起发送。清单格式是/var/svc/manifest/ 目录下的XML文件。如果服务被启用或禁用，那么其他基本配置和默认信息，该清单会包含服务附属信息。在系统启动期间，该清单会被输入到SMF存储库中。存储库是/etc/svc/ 目录下的一个数据库。

　　你可以拥有每个服务的多个清单或截图。在启动时，配置文件已被选定。配置文件会启用或禁用每个Solaris服务。启动期间，当配置文件初始化系统后，管理员便可以进一步用SMF命令完成自定义配置。这些命令可直接修改存储库和配置文件，而更改后的配置也会在下一次启动时被保存。

　　3.3修改Solaris服务默认设置

　　在被限定配置文件强化的Solaris系统上，你想在特定系统上使用的网络服务可能被禁用了。例如，ftp服务和NFS文件共享都被禁用了。需要配置的服务，如IP过滤程序和IPsec的默认状态都是禁用。

　　下面提供几种用SMF完成某些特殊系统配置的举例。一旦你配置完系统，清单就会出现在存储库中。当系统重启时，其配置也会被保存。请看：

　　1. 必须通过配置文件进行配置的服务会在该文件被配置完成后启用。如果你没有配置文件或者该文件不能被读取，那么这种情况也会记录在案。

　　2. 或许你想对一项服务尝试不同配置。使用不同的配置文件，就可以创建测试环境。最终的配置状态会在重启时保存下来。

　　3. 某些服务，如FTP，是必需的但却不要求监控。你可以在将其联网前，创建监控服务，如此一来，就可确保该服务首次使用时符合网页的安全条款。

　　4. 如果你想限定一项网络服务的攻击面。可对Apache2 Web服务进行配置，令其使用RBAC来限定服务所使用的权限。或者你也可以请求一个比root更受局限的帐户运行该服务。

　　3.3.1配置NFS服务

　　为了配置一个要求你自定义配置文件的服务，可执行如下操作：

　　1. 列出服务的状态。

　　2. 修改或创建配置文件。

　　3. 启用服务。

　　4. 验证服务是否在线。

　　5. 如果系统出具错误报告，请读取服务记录，然后修复错误。

　　6. 测试并使用服务。

　　在下列示例中，我们要配置一个系统作为帮助文档。该文件的属性必须是只读共享。

　　# svcs -a | grep nfs

　　disabled Jan_10 svc:/network/nfs/server:default

　　# vi /etc/dfs/dfstab

　　share -F nfs -o ro /export/helpdocs

　　# svcadm enable svc:/network/nfs/server

　　# svcs -x svc:/network/nfs/server:default

　　State: online since Tue Jan 20 5:15:05 2009

　　See: nfsd(1M)

　　See: /var/svc/log/network-nfs-server:default.log

　　Impact: None

　　如果我们在没有支持文件的情况下启用了一个服务，查看记录文件确定问题出自哪里：

　　# svcs -x svc:/network/nfs/server:default (NFS server)

　　State: disabled since Tue Jan 20 5:10:10 2009

　　Reason: Temporarily disabled by an administrator.

　　See: http://sun.com/msg/SMF-8000-1S

　　See: nfsd(1M)

　　See: /var/svc/log/network-nfs-server:default.log

　　Impact: This service is not running.

　　# vi /var/svc/log/network-nfs-server:default.log

　　...

　　No NFS filesystems are shared

　　...

　　3.3.2 配置IP过滤服务

　　和NFS服务一样，IP过滤服务只有在我们创建配置文件后才会被启用。网页的安全要求指示你在文件中放入的配置规则。某些服务，如IPsec，需要每个相连的系统都具备一个配置文件。可执行如下操作启用一个需要配置文件的服务：

　　1. 创建配置文件。如果不知道配置文件名称，可查阅服务名称手册页，然后阅读相关句法。

　　2. 如果有可用的验证句法，应验证文件的句法。

　　3. 如果服务需要在两个系统上运行，如IPsec服务，可对第二个系统进行配置。

　　4. 在一个或两个系统上启用服务。

　　5. 验证服务是否正常运行。