Skip to main content

Opensolaris. Про безопасность.

Ставил машину с Opensolaris Dev build 134, с целью выставить ее в интернет. Изготовил несколько зон. Приготовился настроить ipf.

“Покатал” nmap, получил удоволетворительный результат:

vintage-c2d:~ ilyxa$ nmap 213.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2010-04-07 12:21 MSD Interesting ports on 213.x.x.x: Not shown: 998 closed ports PORT STATE SERVICE 22/tcp open ssh 111/tcp open rpcbind

Nmap done: 1 IP address (1 host up) scanned in 28.90 seconds

Путем нехитрых манипуляций из 4-х комманд:

svcadm disable svc:/network/security/ktkt_warn:default

svcadm disable svc:/system/filesystem/autofs:default svcadm disable svc:/network/rpc/gss:default svcadm disable svc:/network/rpc/bind:default

… получил совсем хороший результат:

vintage-c2d:~ ilyxa$ nmap 213.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2010-04-07 12:24 MSD Interesting ports on 213.x.x.x: Not shown: 999 closed ports PORT STATE SERVICE 22/tcp open ssh

Nmap done: 1 IP address (1 host up) scanned in 26.75 seconds

Позитив. IPF подождет. Мораль – можно спокойно “выставлять” зоны Opensolaris в неспокойный интернет, не задумываясь особо о сложностях с настройкой F/W.

PS: Crossbow “рулит” безмерно!! 🙂

PPS: и – да – скан не только по Well Known Ports тоже делал. Аналогичная картинка (кто бы сомневался). Nessus тоже не выявил критичных проблем – на хосте, уже догруженным сервисами – аля Apache2.2 + BIND9 + postfix.

PPPS: еще один раздражающий баг – http://bugs.opensolaris.org/bugdatabase/view_bug.do?bug_id=6872504 – логи “забиваются” мусором при работе с ssh. Немного, но раздражает – тем не менее, работе не мешает – а ставить дополнитльные пакеты в зону не вижу смысла – и так иду по пути максимального облегчения ситуации.