В этой коротенькой статье я не буду описывать сам процесс установки операционной системы Solaris 10, в нем нет ничего сложного, вам нужно только соглашаться с мастером установки, а вот некоторые тонкости настройки я тут опишу, кому-то статья будет скучна, кому-то полезна, а мне будет как небольшая шпаргалка для дальнейшей работы.


Самый главный пакетный репозиторий (на мой взгляд, может кому-то нравятся другие) это Blastwave™, расположен по адресу www.blastwave.org, в первую очередь нам необходимо скачать и установить менеджер пакетов, ссылки есть на главной странице сайта. Скачиваем и устанавливаем:

pkgadd -d pkgutil_sparc.pkg

Сам пакетный менеджер устанавливается в каталог /opt/csw, собственно туда он и все остальные добавочные пакеты будет устанавливать (главное потом следить за путями). После установки пакетного менеджера я прежде всего поставил несколько нужных мне пакетов, думаю это общерекомендательные пакеты должны быть в каждой системе:

pkgutil -i gcc4
pkgutil -i gmake
pkgutil -i mc
pkgutil -i top

На все вопросы установщика соглашаемся, а подтягивать он будет достаточно много, мегабайт 200 как минимум.

Далее, приписываем некоторые необходимые нам пути в переменную PATH:

# файлы
/etc/default/login
/etc/default/su
# прописать
SUPATH=/usr/sbin:/usr/bin:/opt/csw/bin:/opt/csw/gcc4/bin:

Переходим к настройки фаервола, тут все достаточно просто и по умолчанию, в настройке участвуют два файла, это /etc/ipf/ipf.conf и /etc/ipf/pfil.ap, в первом прописываем правила пакетного фильтра, во втором назначаем интерфейс.

# /etc/ipf/ipf.conf
block in log quick all with short
block in log all with ipopts
pass in quick on lo0 all
pass out quick on lo0 all
block in on e1000g0 all
block out on e1000g0 all
pass in quick on e1000g0 proto icmp from any to any
pass out quick on e1000g0 proto icmp from any to any
pass out quick on e1000g0 proto tcp/udp from any to any keep state
pass out quick on e1000g0 proto ip from 91.137.124.200/28 to any
pass in log quick on e1000g0 proto tcp from any to 91.137.124.200/28 port = 22

#/etc/ipf/pfil.ap
e1000g0 -1      0       pfil

Полезные комманды:

ipf -f /etc/ipf/ipf.conf # загрузить немедлено правила пакетного фильтра из файла
ipf -Fa # сбросить все правила пакетного фильтра

Включаем автоматическую загрузку пакетного фильтра при загрузке системы:

svcadm enable ipfilter

Проверяем безопасность Solaris командой NMap с соседнего сервера (до включения пакетного фильтра):

# nmap -sS 91.137.124.200
Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2011-03-24 16:32 MSK
Interesting ports on 91.137.124.200:
(The 1657 ports scanned but not shown below are in state: closed)
PORT      STATE SERVICE
22/tcp    open  ssh
111/tcp   open  rpcbind
513/tcp   open  login
514/tcp   open  shell
4045/tcp  open  lockd
6000/tcp  open  X11
6112/tcp  open  dtspc
7100/tcp  open  font-service
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32775/tcp open  sometimes-rpc13
32776/tcp open  sometimes-rpc15
32777/tcp open  sometimes-rpc17
32778/tcp open  sometimes-rpc19
32779/tcp open  sometimes-rpc21

А теперь включим пакетный фильтр и проверим еще раз (со включенным фаерволом):

# nmap -sS 91.137.124.200
Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2011-03-24 18:07 MSK
Interesting ports on 91.137.124.200:
(The 1671 ports scanned but not shown below are in state: filtered)
PORT   STATE SERVICE
22/tcp open  ssh
Nmap finished: 1 IP address (1 host up) scanned in 22.076 seconds

Ну вот, совсем другое дело!

Теперь отключим ненужные нам сервисы:

svcadm disable ftp
svcadm disable telnet
svcadm disable finger

Полезная команда:

export TERM="vt220"

На сегодня достаточно! :)