Güvenli bir Solaris 10 kurulumu hazırlamaya çalışıyorum. Olabildiğince az servis ve uygulama yüklü olması tercihim. Gereken her türlü ortamda minimum saldırı yüzeyine sahip, kullanışlı bir işletim sistemi. Üzerinde bayağı zamandır çalışıyorum ve bu konuda bir yordam hazırladığımı söyleyebilirim.
Temel paket olarak Core Networking (SUNWcreq) paketini kullandım. Aşağıda gerekli olduğunu düşündüğüm ve ek olarak yüklediğim paketler bulunuyor.
- Automated Security Enhancment Tools (SUNWast)
- Audit Service Implementation (SUNWaudit)
- Basic Audit Reporting Tools (SUNWbart)
- Documentation Tools (SUNWdoc )
- Freeware other utilities (SUNWCfwutil)
- Freeware shells (SUNWCfwshl)
- On-line manual pages (SUNWman)
- Secure Shell (SUNWCssh)
Daha sonra sıra yamalamaya geldi. PCA (Patch check advanced) scriptini kullanarak sunucumun yamalarını yükledim. Bu yükleme için yalnızca Perl’e ve wget’e ihtiyaç duyuluyor. Perl mevcut kurulumda gelmekte. wget ise
- GNU wget (SUNWCwget)
- Bağımlılık – Common GNU package (gcmn)
paketlerinin yüklenmesiyle hazır hale geliyor. PCA’nın aktif hale gelmesi için sunucunuzu doğrudan HTTPS ile Internet’e çıkabilir hale getirmek gerekli. Çalıştığında 60′a yakın yama buluyor ancak bende bunlardan yalnızca 20′sini yükledi.
http://www.par.univie.ac.at/solaris/pca/intro.html
Bu işlemler bittikten sonra da sunucuya Solaris Security Toolkit (SUNWjass) ile bazı ilave düzenlemeler yaptım. SUNWjass’ı http://www.sun.com/software/security/jass/ sayfasından indirebilirsiniz. Araç hakkında detaylı bilgiye bu blogdan ulaşmak mümkün.
SUNWjass çalıştırıldığında /etc/hosts.deny dosyasına ALL kaydını ekliyor. Dolayısıyla başta ayarları özelleştirmezseniz bir sonraki açılışta sunucuya SSH bağlantısı yapamayacaksınız anlamına geliyor. Bu nedenle uygulamadan önce test sistemlerinde çalıştırmak ve özelleşmiş ayarlarla prod sistemlerine geçmek en doğrusu.
