使用cfengine安全加固Solaris服务器(上)

　　(1)cfexecd守护进程

　　尽管在理论上可以按需随时运行cfagent，但最好定期自动运行cfagent。这是使用cfexecd

　　的时间;cfexecd以守护进程的方式运行并按定义、预定义的计划执行cfagent。通过将时间类添加到cfagent.conf的control块的schedule设置中对此计划进行修改。默认设置是Min00_05，这意味着cfagent将在每个小时的前5分钟运行。要每小时运行两次，例如，可以将下面的代码放入cfagent.conf的control段中：

　　schedule=(Min00_05Min30_35)

　　cfexecd守护进程没有自己的配置文件，但它不在cfagent.conf之外使用此设置。

　　还可以使用系统的cron守护进程定期运行cfexecd。下列条目可以添加到系统crontab(通常为/etc/crontab)中以便每小时执行(和报告)cfagent：

　　0****root/usr/local/sbin/cfexecd–

　　F-F选项告诉cfexecd不要进入守护进程模式，因为它正由cron运行。

　　为获得可靠性，请以守护进程的方式运行cfexecd，还可以从cron运行(可能是每天一次)。

　　然后，可以在cfagent.conf中检查crontab条目并检查cfexecd守护进程是否正在运行。如果将下面的代码放入cfagent.conf中，请执行这些检查并更正任何问题：

　　editfiles:　

　　 {/etc/crontab
　　AppendIfNoSuchLine"0****root/var/cfengine/bin/cfexecd-F"
　　}
　　processes:
　　"cfexecd"restart"/var/cfengine/bin/cfexecd"

　　通过此技术，如果一种方法工作不正常，那么另一方法最后会修复它的问题。

　　(2)cfservd守护进程

　　cfservd守护进程在所有系统中并非是必需的。它需要运行cfengine文件服务器，对我们而言，它只是中心配置服务器。它还允许从其他系统远程执行cfagent。如果需要此功能，则需要在每个系统中运行cfservd。在任一情况下，都应始终进行检查，以确保它与cfagent.conf中的下列命令一起运行：

　　processes:

　　"cfservd"restart"/var/cfengine/bin/cfservd"

　　5.查看类标识系统

　　类是cfengine的核心。每个系统都属于一个或多个类。或者，如果换一种视角思考，许多类都是在每次cfagent运行时基于各种不同种类信息进行创建。配置文件中的每个操作都仅限于特定的类。因此，任何给定的操作都可以只在一个主机上或运行特定操作系统的多个主机上执行，也可以在每个主机上执行。要在任意给定的系统中确定定义哪些标准类，请运行下面的命令：

　　#cfagent -p -v 如图-4 。

　　图4 查看类标识系统

　　如您所见，我的系统存在相当数量的预定义类。它们可以划分为如下类别：

　　操作系统：Unix_i686_2_6_18_8_el5xen

　　体系结构：i386 pc

　　主机名：cjh

　　IP地址：192_168_40 192_168_40_133

　　日期/时间：Sat May 31 13:33:07 2008

　　可以以此使用ps –ef|grep cf 命令查看进程运行情况的服务占用的端口情况如图5

　　图5 服务占用的端口情况

　　到此为止笔者在Unix服务器安装了cfengine(配置引擎)，下面笔者开始配置cfengine安全加固Unix服务器。