使用cfengine安全加固Solaris服务器(上)

　　●bin/：重要的二进制文件(cfagent、cfexecd和cfservd)都被复制到这里，以确保它们在需

　　要时都是可用的。

　　●inputs/：保存cfengine所需配置文件的标准位置。我们将使用此目录中的三个文件：

　　cfagent.conf、cfservd.conf和update.conf。

　　●outputs/：保存每次运行cfexecd时的输出文件。

　　●ppkeys/：保存系统公钥和密钥及其他系统公钥所处的位置。

　　三、下载安装运行cfengine

　　1.设置网络

　　在开始使用cfengine前，应确保网络已经就绪。将cfengine与动态IP地址一起使用非常困难。即使使用动态主机配置协议(DHCP)将地址分配给一些或所有系统，那它应始终将相同的IP地址分配给通过cfengine控制的系统。换句话说，使用哪种方法分配IP地址无关紧要，接下来的任务是确保为主机正确配置域名系统(DNS)。尽管DNS问题可以随时解决，但最好为测试主机正确配置DNS。每个主机都应有一个主机名，此主机名的DNS查找应返回此主机名的IP地址。另外，如果在DNS中查找这个IP地址，则应返回相同的主机名。如果此安装过程不可能进行，则建议将每台主机添加到每个系统上的/etc/hosts文件中。如果使用多接口主机(MultihomedHost)，则必须注意在主机与其他cfengine主机通信时使用了哪些IP地址。

　　2.基本安装

　　在任何一种情况下，你都需要两个库：BerkeleyDB，用于内部数据库的使用;和OpenSSL，用于加密方法。这些库都是开放资源，并且如同cfengine一样可以免费使用。没有这些库，你将无法使用cfengine，你也不能用其他的库来替代这两个库。

　　　#wgetftp://ftp.sunfreeware.com/pub/freeware/intel/10/db-4.2.52.NC-sol10-intel-local.gz
　　#wgetftp://ftp.sunfreeware.com/pub/freeware/intel/10/cfengine-2.2.3-sol10-x86-local.gz
　　#gunzipdb-4.2.52.NC-sol10-intel-local.gz
　　#gunzipcfengine-2.2.3-sol10-x86-local.gz
　　#pkgadd–ddb-4.2.52.NC-sol10-intel-local
　　#pkgadd–dcfengine-2.2.3-sol10-x86-local