- 论坛徽章:
- 0
|
配置和管理 JumpStart 服务器
本章提供了配置和管理 JumpStart 服务器以使用 Solaris Security Toolkit 软件的信息。JumpStart 技术是 Sun 基于网络的 Solaris OS 安装机制,能够在安装过程中运行 Solaris Security Toolkit 软件。
Solaris Security Toolkit 的 JumpStart 模式基于JumpStart 技术,且对于 Solaris OS 2.1 以后的产品都是可用的。JumpStart 技术可帮助您使 Solaris OS 和系统软件安装完全自动化,实现系统的正确性和标准化,以进行复杂的管理。它提供了一种方法,可满足快速安装和部署系统的要求。
在系统安全领域使用
JumpStart 技术的优点是很明显的。通过将 JumpStart 技术与 Solaris Security Toolkit
软件结合使用,可以在 Solaris OS 自动安装过程中保护系统安全。此做法有助于确保在系统安装时已使系统安全标准化并进行了处理。有关
JumpStart 技术的更多信息,请参阅 Sun BluePrints 书籍《JumpStart Technology: Effective Use in the Solaris Operating Environment》。
本章包含以下主题:
配置 JumpStart 服务器和环境
在 JumpStart 环境中,将 JASS_HOME_DIR(用于 tar 文件下载)或 /opt/SUNWjass(用于 pkg文件下载)中的 Solaris Security Toolkit 源代码复制到 JumpStart 服务器的主目录下。缺省目录是 JumpStart 服务器上的 /jumpstart。完成该任务后,JASS_HOME_DIR 成为 Jumpstart 服务器上的主目录。
本节假设读者熟悉 JumpStart 技术并已经有一个可用的 JumpStart 运行环境。
将 Solaris Security Toolkit 软件集成到JumpStart 体系结构中只需要几个步骤。
![]()
配置 JumpStart 模式
1. 将 Solaris Security Toolkit 源代码复制到 JumpStart 服务器的根目录中。
例如,如果将 Solaris Security Toolkit 归档文件解压缩到 JASS_REPOSITORY,而 JumpStart 服务器的根目录是 /jumpstart,请用以下命令复制 Solaris Security Toolkit 源代码:
# pwd
/opt/SUNWjass
# tar cf - . | (cd /jumpstart; tar xf -)
Solaris Security Toolkit 软件通常安装在 JumpStart 服务器上的 SI_CONFIG_DIR 目录中,通常也会是 JASS_HOME_DIR。
2. 如果对 Solaris 2.5.1 OS sysidcfg 文件做了修改,则也要对 JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 目录中的文件做相应修改。
如果使用 Solaris 2.5.1 OS,则不能直接使用JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 中的sysidcfg文件,因为 Solaris 的版本仅支持 SI_CONFIG_DIR 中而不支持独立子目录中的 sysidcfg 文件。为解决 Solaris 2.5.1 OS 的这种限制,Solaris Security Toolkit 软件具有了 SI_CONFIG_DIR/sysidcfg,它链接到 JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1/sysidcfg 文件。
3. 使用以下命令将 JASS_HOME_DIR/Drivers/user.init.SAMPLE 复制为 JASS_HOME_DIR/Drivers/user.init。
# pwd
/jumpstart/Drivers
# cp user.init.SAMPLE user.init
4. 如果在使用多宿主的 JumpStart 服务器时遇到问题,请修改 JASS_PACKAGE_MOUNT 和 JASS_PATCH_MOUNT 中的两个条目,以将路径纠正为 JASS_HOME_DIR/Patches 和 JASS_HOME_DIR/Packages 目录。
5. 如果要在 SI_CONFIG_DIR 子目录(例如,SI_CONFIG_DIR/path/to/JASS)中安装 Solaris Security Toolkit 软件,请向 user.init 文件中添加以下内容:
if [ -z "${JASS_HOME_DIR}" ]; then
if [ "${JASS_STANDALONE}" = 0 ]; then
JASS_HOME_DIR="${SI_CONFIG_DIR}/path/to/JASS"
fifi
export JASS_HOME_DIR
6. 选择或创建一个 Solaris Security Toolkit 驱动程序(例如,缺省的secure.driver)。
如果要使用 hardening.driver 和 config.driver 中列出的所有脚本,请向 rules 文件中添加Drivers/secure.driver 路径。
如果仅使用所选脚本,请复制这些文件,然后修改其副本。
7. 完成驱动程序后,在 rules 文件中创建适当的条目。
该条目与以下内容相似:
hostname imbulu - Profiles/core.profile Drivers/secure.driver
![]()
注意 - 请勿修改 Solaris Security Toolkit 软件中附带的原始脚本。为允许 Solaris Security Toolkit 软件新版本有效的迁移,请单独保存原始文件和定制的文件。
要成功地将 Solaris Security Toolkit 软件集成到现有的 JumpStart 环境中还需要做另一项修改。
8. 如果使用 Solaris Security Toolkit 软件提供的 sysidcfg 文件以使 JumpStart 客户机安装自动化,请检查它们的适用性。
如果在解析 sysidcfg 文件时 JumpStart 服务器遇到问题,则会忽略整个文件的内容。
完成本节所有的配置步骤之后,可以在客户机上使用 JumpStart 技术,并可在安装过程中成功地加强或者最小化 OS 的安全性。
使用 JumpStart 配置文件模板
JumpStart 配置文件模板是只能在 JumpStart 模式中使用的文件。在 Sun BluePrints 书籍《JumpStart Technology: Effective Use in the Solaris Operating Environment》中介绍了配置文件中必需的和可选的内容。
可使用 JumpStart 配置文件模板作为样例,在此基础上针对您的站点要求进行修改。检查配置文件以确定需要进行哪些更改(如果有),以应用于您的环境。
复制配置文件,然后在您的环境中修改其副本。不要更改原始文件,因为更新 Solaris Security Toolkit 软件时可能会覆盖定制的内容。
以下是 Solaris Security Toolkit 软件中包含的 JumpStart 配置文件。
32-bit-minimal.profile
core.profile
end-user.profile
developer.profile
entire-distribution.profile
oem.profile
minimal-Sun_ONE-WS-Solaris*.profile
minimal-SunFire_Domain*.profile
以下几小节介绍这些配置文件。
32-bit-minimal.profile
该 JumpStart 配置文件是相对通用的 JumpStart 配置文件,可用于 32 位的最小化安全性的系统。它是最小化安全性的系统的合理开发起点,并且可用作 minimal-Sun_ONE-WS-Solaris*.profile 最小化安全性脚本的起点。
core.profile
该 JumpStart 配置文件安装最小的Solaris OS 群集 (SUNWCreq)。除了指定包含根分区与交换分区的磁盘分区外,没有做任何其他的配置修改。
end-user.profile
该 JumpStart 配置文件安装 End User Solaris OS 群集 (SUNWCuser) 和使进程统计正常运行所需的两个 Solaris OS 软件包。另外,将磁盘分区定义为仅包含根分区和交换分区。
developer.profile
该 JumpStart 配置文件安装 Developer Solaris OS 群集 (SUNWCprog) 和使进程统计正常运行所需的两个 Solaris OS 软件包。与在 core.profile 中定义的一样,除了 Solaris OS 群集之外唯一需要定义的配置是为了使磁盘分区包含根分区和交换分区。
entire-distribution.profile
该 JumpStart 配置文件安装 Entire Distribution Solaris OS 群集 (SUNWCall)。和其他配置文件一样,将磁盘分区定义为包含根分区和交换分区。
oem.profile
该 JumpStart 配置文件安装 OEM Solaris OS 群集 (SUNWCXall)。本群集是 Entire Distribution 群集的父群集,它安装 OEM 提供的软件。
minimal-Sun_ONE-WS-Solaris*.profile
以下所有配置文件均基于 Sun BluePrints OnLine 中标题为“Minimizing the Solaris Operating Environment for Security”的文章。该文章中提到的所有 Solaris OS 版本均具有特定的配置文件。以下 JumpStart 配置文件与该文章所引用的那些配置文件相同。
minimal-Sun_ONE-WS-Solaris.26.profile
minimal-Sun_ONE-WS-Solaris7-32bit.profile
minimal-Sun_ONE-WS-Solaris7-64bit.profile
minimal-Sun_ONE-WS-Solaris8-32bit.profile
minimal-Sun_ONE-WS-Solaris8-64bit.profile
minimal-Sun_ONE-WS-Solaris9-64bit.profile
minimal-SunFire_Domain*.profile
以下所有配置文件均基于 Sun BluePrints OnLine 中标题为“Minimizing Domains for Sun Fire V1280, 12K, and 15K Systems”的文章。以下 JumpStart 配置文件与该文章所引用的那些配置文件相同。
minimal-SunFire_Domain-Apps-Solaris8.profile
minimal-SunFire_Domain-Apps-Solaris9.profile
minimal-SunFire_Domain-NoX-Solaris8.profile
minimal-SunFire_Domain-NoX-Solaris9.profile
minimal-SunFire_Domain-X-Solaris8.profile
minimal-SunFire_Domain-X-Solaris9.profile
添加和删除客户机
以下信息描述了在 JumpStart 模式下可用的脚本。该模式由插入到 JumpStart 服务器上 rules 文件中的 Solaris Security Toolkit 驱动程序控制。
如果没有配置环境以使用 JumpStart 模式,请参阅
配置 JumpStart 服务器和环境
。
add-client 脚本
为简化从 JumpStart 服务器添加客户机的过程,请使用包含在 Solaris Security Toolkit 软件中的该脚本。以下段落介绍了命令和选项,然而没有介绍底层的 JumpStart 技术。有关 JumpStart 技术的信息,请参阅 Sun BluePrints 书籍《JumpStart Technology: Effective Use in the Solaris Operating Environment》。
add-client 脚本是 add_install_client 命令的外壳,它接受以下参数。
用法实例:
# add-client -c client -i server -m client-class -o client-OS -s sysidcfg
表 5-1
介绍了 add-client 命令的有效输入。
表 5-1 JumpStart add-client 命令
值
说明
-c client
JumpStart 客户机的可解析的主机名。
-h
显示使用信息。使用时不能带有任何其他选项。任何其他选项都将被忽略。
-i server
JumpStart 服务器接口的 IP 地址或可解析的主机名,该地址或主机名用于 JumpStart 客户机。如果没有指定值,则会显示本地主机上可用接口的列表。
-m client-class
JumpStart 客户机的计算机类型。该值与 uname -m 命令的输出格式相同。
-o client-OS
Solaris OS 的修订版。可以在安装在客户机上的 JASS_HOME_DIR/OS 目录下获得该值 。如果没有指定值,则会显示 JASS_HOME_DIR/OS 目录中可用的 Solaris OS 版本的列表。
-s sysidcfg
备用目录的可选路径名,此目录包含一个用于系统识别和配置的 sysidcfg 文件。缺省情况下,该值被设定为 JASS_HOME_DIR/Sysidcfg/Solaris_version/ 目录,其中version是从指定给该客户机的 OS 中抽取的。如果已指定,则必须使用和 JASS_HOME_DIR 目录相关的路径名。仅指定 sysidcfg 文件的路径。
-v
本程序的版本信息。
-?
显示使用信息。使用时不能带有任何其他选项。任何其他选项都将被忽略。
要将一台 JumpStart 客户机(名为 jordan)添加到某个接口(名为nomex-jumpstart)上的 JumpStart 服务器(名为 nomex,使用 Solaris 8 OS (4/01)),请使用以下 add-client 命令:
#./add-client -c jordan -o Solaris_8_2001-04 -m sun4u -i nomex-jumpstart
updating /etc/bootparams
要使用 sysidcfg 选项添加同一 JumpStart 客户机 (jordan),请使用以下命令:
#./add-client -c jordan -o Solaris_8_2001-04 -m sun4u -i nomex-jumpstart -s Hosts/jordan
updating /etc/bootparams
rm-client 脚本
该脚本包含在 Solaris Security Toolkit 软件中,可简化从 JumpStart 服务器中删除客户机的操作。请使用包含在 Solaris Security Toolkit 软件中的该脚本。以下段落介绍了这些命令和选项,但没有介绍底层的 JumpStart 技术。有关 JumpStart 技术的信息,请参阅《JumpStart Technology: Effective Use in the Solaris Operating Environment》。
与 add-client相似,rm-client 脚本是 rm_install_client 命令的外壳:
用法实例:rm-client [-c] client
其中,client 是 JumpStart 客户机的可解析的主机名。
表 5-2
介绍了 rm-client 命令的有效输入。
表 5-2 JumpStart rm-client 命令
Value
Description
-c client
JumpStart 客户机的可解析的主机名。
-h
显示使用信息。不使用任何其他选项。任何其他选项都将忽略。
-v
本程序的版本信息。
-?
显示使用信息。不使用任何其他选项。任何其他选项都将忽略。
要删除一台名为 jordan 的 JumpStart 客户机,请使用以下 rm-client 命令:
# ./rm-client -c jordan
removing jordan from bootparams
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/15468/showart_85118.html |
|
免费注册
发表于 2006-03-14 13:54