談Solaris系統(tǒng)安全性分析及管理

劉健

（重慶市電力公司信息通信分公司，重慶 400014）

1 概述

在服務器市場上。Sun的硬件平臺具有高可用性和高可靠性。Solaris是當今市場上處于支配地位的Unix類操作系統(tǒng)。隨著Solaris 10更新發(fā)布3次后 (這3個版本依次是2005年3月份發(fā)布的Solaris 10 3/05版、2006年1月份發(fā)布的Solaris 10 1/06版、2006年6月份發(fā)布的Solaris 10 6/06版)，其版本已經更趨于成熟。

作為服務器版操作系統(tǒng)軟件，最重要的特性應屬穩(wěn)定性。Solaris 10系統(tǒng)包括600個以上的功能特性，使其成為目前已知的最高效、最安全和最可靠的操作系統(tǒng)。Solaris 10的這些技術優(yōu)勢主要包括：首先，在安全性上，它具備全球業(yè)界最先進的安全特性。例如：過程和用戶權限管理、強制性訪問控制的信任擴展、密框架結構和默認聯(lián)網的安全性。能夠幫助用戶安全地交付新型解決方案，整合安全性并保護任務關鍵性數據。其次，在性能上，Solaris 10在數據庫、網絡和基于JAVA技術的服務、以及充分的可擴展性方面，具備無可爭議的競爭優(yōu)勢。再次，在網絡上，Solaris l0憑借著其優(yōu)化的網絡堆棧和當前先進的網絡運算協(xié)議，無需進行更改，就可以為絕大多數應用程序提供網絡支持。它提供的工具能夠實現與數以百計的不同硬件和軟件平臺進行無縫互操作。在多種廠商頂級制造商一包括Sun、Dell HP、IBM在內一的逾800種基于SPARC和x64，x86的系統(tǒng)上，Solaris 10均能得到完全支持。通過使用諸如S01aris l0容器在內的一流Solaris 10 0S的行業(yè)技術.實現在單臺服務器上成千上萬應用程序的整合、隔離和保護。最后，在數據管理上.Solaris10通過提供虛擬化的無限容量和近乎于零的管理，在文件系統(tǒng)和容量管理方面獲得了巨大進步。

2 Solaris系統(tǒng)的根源

Solaris是在Unix的發(fā)展過程中逐漸發(fā)展起來的。自Unix操作系統(tǒng)在AT＆T貝爾實驗室誕生后，很多科研單位都對Unix操作系統(tǒng)進行了改進，誕生了不少Unix的版本。其中，伯克利大學發(fā)布的第一個Unix版本，稱為BSD。BSD Unix在Unix的歷史發(fā)展中有相當大的影響力.被許多商家采用，成為很多商業(yè)Unix的基礎.而Sun公司的Solaris正是在這個BSD Unix的基礎上發(fā)展起來的。與此同時，AT＆T貝爾實驗室也在不斷改變他們的商用Unix版本。直到AT＆T貝爾實驗室在吸收了BSD Unix已經有的各種優(yōu)先特性，并結合其本身特點，推出了Unix System V版本之后，才形成了BSD Unix和Unix System V兩大主流Unix系統(tǒng)。

兩大主流中，Sun公司的SunOS 4.x(常被稱為Solaris.x)的命令風格與其他的BSD非常相似。后來Sun0S 5.x改用了System V的版本4 (SVR4)，使得SunOS 5.x在風格上發(fā)生了變化。而SunOS 5.x也逐漸被Solaris 2.x名稱代替。在Solaris 2.6以后。Solaris 7(Sun0S 5.7)開始改變它的版本編號方法，它以過去的小版本編號為基礎，采用了單一版本號的形式。也就是說，Solaris的版本序號順序為2.5，2.6，7，8，9，10。

3 Solaris 10的系統(tǒng)維護技術

3.1 Solaris系統(tǒng)管理維護理論

Solaris操作系統(tǒng)是基于文件的，它的主要三個部分是：Kernel、Shell和 File structure。Kemel是操作系統(tǒng)的核心。它的主要功能是：管理系統(tǒng)的設備、內存、進程以及守護進程系統(tǒng)程序與系統(tǒng)硬件之間接口，并執(zhí)行所有的命令。shell是用戶與kemel之間的接口。它就像是命令的解釋器或翻譯器。Shell接收你輸入的命令，對你的輸入作出解釋，然后就將它發(fā)送給kemel執(zhí)行。Solaris系統(tǒng)中有三種shell：Bourne shell($) (這是Solaris的缺省shell，它為AT＆T Unix環(huán)境而開發(fā))、Korn shell($)(它是Bourne shell的一個超級)和C shell(%)(它的語法類似于C語言，并且有些功能與Korn shell相類似)。

系統(tǒng)維護管理的范疇很廣。主要包括：系統(tǒng)配置維護管理、文件系統(tǒng)管理維護、網絡管理維護、用戶和安全管理維護等方面的技能。具體如下：

3.1.1 系統(tǒng)配置維護管理。主要包括必要的知識和技能進行系統(tǒng)硬軟件的安裝配置，如：多網卡、raid磁盤陣列、打印機的配置、故障審斷和配置系統(tǒng)日志等技術。

3.1.2 文件系統(tǒng)管理維護。主要維護系統(tǒng)現有文件管理現狀，保證系統(tǒng)的正常運行和使用。涉及到創(chuàng)建和修改文件、控制用戶的工作環(huán)境、歸檔文件和遠程命令文件系統(tǒng)的瀏覽，Vi編輯器，文件權限，訪問控制列表，Shell命令，文件壓縮，管理虛擬文件系統(tǒng)和coredump，管理存儲卷，訪問控制等基本技能和技術的使用。

3.1.3 網絡管理維護。涉及網絡基礎配置、啟動系統(tǒng)名字服務和系統(tǒng)網絡安裝、局域網(LAN)的配置和故障排除、IP路由，域名解析(DNS)，動態(tài)主機配置協(xié)議(DHCP)，IPV6和Solaris IP Filter防火墻等眾多技術。

3.1.4 用戶和安全管理維護。主要體現在如何控制越權、入侵、病毒防治方面的工作。設計系統(tǒng)的用戶訪問權限配置管理、防火墻軟件的使用、各種監(jiān)控軟件的使用等。另外系統(tǒng)的維護還關心執(zhí)行系統(tǒng)備份和恢復等技術和軟件工具的安裝和使用。

3.2 Solaris系統(tǒng)管理維護實用技術

Solaris系統(tǒng)軟件提供以下兩種管理工具：(1)一組通用的操作系統(tǒng)命令；(2)具有圖形用戶接口的管理工具(Administration Tool)。對與不同版本的S0la-s的基本命令是有些差異的，如Sun0S 4.x命令與SunOS 5.x命令。以下主要以Solaris10為基礎，談談常用的Solaris系統(tǒng)維護實用技術。

實用的維護技術一般包括監(jiān)控、配置|設置修改以及故障處理這幾個方面。監(jiān)控最主要的目的是了解和掌握系統(tǒng)的負載和性能。

3.2.1 系統(tǒng)監(jiān)控

“異化”的P2P網絡平臺經營使投資者的資金安全得不到保障，社會危害極大。具體包括:第一，P2P網貸平臺沒有提前做好風險防控，跟風投資，在無法兌現時甚至倒閉，侵害投資者的財產利益;第二，互聯(lián)網借貸平臺從事違反法律規(guī)定的業(yè)務，一旦讓司法機關發(fā)現，一些網貸平臺的負責人甚至會攜款潛逃;第三，部分P2P網絡平臺成立的初衷就是要進行非法集資行為，通過平臺的一些獨有特點來吸收公眾資金，侵害公眾財產利益。如果想讓P2P網絡借貸行業(yè)健康有序的發(fā)展，發(fā)揮互聯(lián)網與金融結合給人們生活帶來的便利，就要審慎對待異化的網絡集資行為，必要時將其納入我國刑法的調整范圍。

通過使用不帶參數的命令showrev來查看正在運行的Solaris 10的版本。此命令加選項-r則是另外一個功能：查看目前系統(tǒng)所需要安裝的補丁程序。

查看硬件設備的某些情況，使用命令prtconf。

查看本機所連接的磁盤數量.使用命令format這個命令也是格式化硬盤的工具。

查看網絡接口的狀況，使用帶選項的命令ifconfig-a。

查看cpu的個數及其利用率，使用命令mpstat。

3.2.2 用戶及系統(tǒng)活動監(jiān)控

查看有哪些用戶登錄到Solaris10系統(tǒng)，使用命令w。

查看系統(tǒng)的運行級別，使用帶選項的命令who-r。

查看系統(tǒng)近期的運行狀態(tài) (包括關機、重起、用戶登錄等)，使用不帶參數的命令last。

查看系統(tǒng)運行的進程，通俗一點說就是查看系統(tǒng)正在運行那些程序，這是系統(tǒng)管理和維護過程中使用得最頻繁的工具。使用帶若干選項的命令Ps。Ps是進程狀態(tài)的縮寫，常用的4個選項是：-a列出請求最頻繁的進程；-e列出正在運行的進程；-f打印進程的詳細信息：-u顯示相關用戶的進程。另外還有一個類似的工具Ptree，用來查看進程樹。有的時候，需要手動結束一個運行的進程，這種情況發(fā)生在諸如程序本身沒有關閉指令等這樣的場景。

結束進程使用kill或killall來完成。執(zhí)行結束進程的操作一定要仔細，看準確了再執(zhí)行，不要殺錯進程。另外一個值得注意的是，不要隨便賦予普通用戶結束進程的權限，這是很冒險的事情。

查看磁盤的使用情況也是一項十分重要的工作。再大的磁盤空間也會隨時間的推移而逐漸變小.當磁盤空間增加到一定限度的時候，有一些程序將發(fā)生錯誤甚至停止工作，曾有一臺工作站繪圖時.提示寫入錯誤，原因就是存放繪圖臨時文件的文件系統(tǒng)磁盤空間已用完而不能寫入數據所致。使用帶參數的命令df-k或df-h來查看系統(tǒng)硬盤的容量使用情況，不少用戶傾向于使用參數-h(human readable format)使其輸出的格式更加人性化，另外使用帶參數的命令du-ks來查看當前目錄所占用的磁盤空間。

查看網絡連接，使用帶選項的命令netstat。通過網絡連接的狀態(tài)，可以知道有哪些網絡服務在工作，以及是否有非法的訪問等情況。

查看系統(tǒng)用戶近期執(zhí)行了哪些操作.使用命令history。切換到其他用戶，看看最近他們都干了些什么。

3.2.3 負載監(jiān)控

查看虛擬內存狀態(tài)，使用帶參數的命令vmstat。可以通過輸出值來判斷某些性能下降或者故障產生的原因。查看系統(tǒng)I/O，使用命令iostat。這個命令可以帶很多選項，根據各自的需求選擇選項。

另外一個工具：top。在Solaris10環(huán)境中，并沒有這個工具 (RedHat linux默認安裝這個工具)，需要從網上下載這個工具包，然后把它安裝到系統(tǒng)。

3.2.4 日志文件

系統(tǒng)日志存放路徑是/var/adm/messages，這個文件通常會很大，不要用cat命令來讀，如果用more來讀，翻頁也是很辛苦的。一些有用的技巧是：先使用命令帶行數選項的head和tail命令.然后使用grep這樣的工具。

3.2.5 配置/設置修改

Solaris 10配置網絡比較復雜，它涉及到ipnodes、netmasks、hosts、defaultrouter、hostname.x等文件。

[1]溫特斯著，吳玉亮譯.Solaris 10實用大全[M]，電子工業(yè)出版社.2007.