使用cfengine安全加固Solaris服务器(上)

　　推技术，则在运行Windows时，如果系统试图执行“推”操作，则系统会将其忽略。下面是另一个例子：您可能在一个或多个笔记本上运行UNIX系统，而这些笔记本并非一直与网络连接。此类系统可能从来不会采用“推”方法进行更新，因为在每次“推”操作发生时，它必须已连接到网络。如果采用“拉”方法，则笔记本在下次连接到配置服务器时，会自动拉出配置。

　　当然，可以改写刚讨论的定制方法来使用“拉”方法。如果需要使用“拉”方法，但由于某种原因不想使用cfengine，则请尝试使用本章前面的定制脚本—可以从这些脚本着手进行。

　　不管采用哪种方法，您将能对服务器进行更改，使每个客户机能够在下次从服务器拉出更改的内容。

　　尽管cfengine通常从服务器拉出更改信息而且每小时执行一次，但它还支持按需对系统的所有或任何子集强制更新的功能。显然，在执行关键的bug修改(执行的操作可能使一个或两个系统瘫痪并需要快速进行更正)时，可能发现这可能非常有用。

　　通过记录和手动运行cfagent命令，还可以直接在每个系统上运行cfengine。cfengine遵循系统自动化管理的一个很好的理论：对系统执行更改的方法越多越好—只要这些更改以相同的方式完成即可。换句话说，cfengine提供几种更新系统的方法，所有这些方法都使用相同的配置文件并以完全相同的方法运行(启动后)。

　　cfengine的一个最大的缺点(及最佳特性之一)是其复杂性。系统管理员可能要平均花费一个星期才能将cfengine在一些系统上完全正常工作。当然，此后在数百个系统上扩展会相对容易。

　　三、Cfengine 的组成部分

　　Cfengine 软件由很多部分组成，它们是一些共同运行的独立程序。Cfengine 的这些组成部分是：