Buenas prácticas con Solaris 10

22/11/2006

Si por algún motivo necesitáis instalar Solaris alguna vez, os pongo aquí algunas cosillas que seguro os ayudarán en alguna que otra tarea. Algunos de los pasos que comento también son útiles si tenéis planeado compilar OpenSolaris.

Antes de nada comprueba en la lista HCL de Solaris que tu hardware esté soportado y que es funcional para las tareas que necesitas (por ejemplo si existen drivers para una tarjeta de red). Una vez que sepas que tu hardware es compatible, no corras para instalar Solaris en tu sistema; previamente deberías hacer una copia de seguridad de tus datos (si dispones de otro disco duro para instalar Solaris, mejor).

Baja el DVD de Solaris 10 desde la página de Sun, comprueba el MD5 (así sabes que se han bajado bien los ficheros y que se ha ensamblado correctamente la imagen ISO) y quémalo (growisofs va bien desde Linux, si no con Nero va fino). Si vas a desarrollar sobre Solaris y / o quieres probar/compilar OpenSolaris (aquí una estupenda guía), necesitarás bajar únicamente el DVD de Solaris Express Community Edition ó SXCR. Dicha versión es más moderna que la última versión estable de Solaris 10. De hecho, SXCR no es más que una snaphot con los cambios del proceso de desarrollo actual de OpenSolaris.

Necesitarás tener espacio libre en tu disco para asignar al menos una partición primaria. Además el tamaño de la partición debe ser superior a 6Gb si queremos tener espacio libre para posteriormente instalar software adicional. Si tu plan es probar OpenSolaris, deberás tener al menos otros 6 Gb libres (es necesario asignar más espacio para los fuentes etc), o sea que al menos la partición que debes crear sería de 12Gb. Si vas a utilizar las zonas de Solaris, aumenta el tamaño hasta tus necesidades, dependiendo del tamaño de las zonas; 20 Gb para empezar está muy bien. También deberás tener en cuenta el tamaño del área de intercambio ó swap, que al menos debe ser de 512Mb (recomendado 1Gb ó más, depende de la memoria física instalada).

A modo de ejemplo, os muestro el esquema de mi Ultra 20. Tengo una única partición de 80Gb, la cual contiene varias slices (qué son las particiones y los slices?): c1d0s0 es la raíz y tiene 20Gb, c1d0s1 es /opt (en /opt instalamos el software que no viene con Solaris, como por ejemplo el de Blastwave) y es de 10Gb, c1d0s2 es /var y también es de 10Gb (en /var están las BBDD de MySQL, las aplicaciones que corren en JES/Tomcat…) el resto (40Gb), c1d0s3 es /home y está en UFS (aunque pronto cambiaré a ZFS). Finalmente, el último slice, c1d0s4, será dedicado al swap y utiliza todo el espacio restante (más ó menos 1,5Gb).

Una vez hayas terminado de instalar el sistema, configurado X (si no lo has conseguido, hazte superusuario y ejecuta el comando kdmconfig desde la línea de comandos), después créate un usuario para uso habitual y pista. Si vas a utilizar DHCP como método de acceso a la red (ya sea una LAN ó a Internet), quizás hayas apreciado que el hostname de tu máquina es siempre ‘unknown’. Para solucionar ésto deberás crear un fichero llamado /etc/nodename y escribir dentro el nombre de tu máquina ó hostname (el nombre sin espacios!); al reiniciar el sistema se debería solucionar.

A partir de éste punto, echádle un vistazo al resultado de un nmap -P0 -sT
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
25/tcp open smtp
79/tcp open finger
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
513/tcp open login
514/tcp open shell
587/tcp open submission
898/tcp open sun-manageconsole
4045/tcp open lockd
6000/tcp open X11
6112/tcp open dtspc
7100/tcp open font-service
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
32775/tcp open sometimes-rpc13
32776/tcp open sometimes-rpc15
32777/tcp open sometimes-rpc17
32778/tcp open sometimes-rpc19
MAC Address: XX:XX:XX:XX:XX:XX (SUN Microsystems)

¿Impresionante eh? Son unos cuantos puertos abiertos y seguramente no utilizaremos nada de ésto…. Por supuesto que la seguridad es cosa de cada uno, pero de qué nos ayuda tener puertos como el de “finger” ó “telnet” ó incluso “login” ? Para solventar ésta situación y securizar más nuestro sistema:

Paso 1: Cerrar puertos innecesarios, deshabilitando los servicios que no vayamos a emplear normalmente (mi lista aquí es muy larga):

# svcs -a | grep -i ‘network’ | grep -i ‘online’

online feb_02 svc:/network/login:default
online feb_02 svc:/network/finger:default
online feb_02 svc:/network/telnet:default

Para deshabilitarlos:

# /usr/sbin/svcadm disable login
# /usr/sbin/svcadm disable finger
# /usr/sbin/svcadm disable telnet

No olvidéis cerrar telnet y dejar abierto ssh si váis a utilizar el sistema por remoto ;-)

Paso 2: Editar el fichero /etc/default/inetinit y modificar el valor TCP_STRONG_ISS a ‘2′ (TCP Initial Sequence Numbers)

Paso 3: Cambiar la política de contraseñas editando el fichero /etc/security/policy.conf y cambiando el valor de CRYPT_DEFAULT a 1 (compatibilidad MD5). En éste paso es necesario volver a cambiar todas las contraseñas de los usuarios, incluyendo la de root / superuser. Precaución: Intenta cambiar primero la pass de root y luego la de los usuarios, sin salir de alguna de las sesiones abiertas, no ser que algo no funcione y no puedas entrar de nuevo al sistema.

Paso 4: Actualizar el sistema a través de PatchPro (ya incluido con Solaris 10, aunque creo que deprecated!)

# smpatch analyze
# smpatch update

Si te da el mensaje “No patches required” es que tu sistema ya se encuentra actualizado,

Después de dar todos éstos pasos, reiniciaremos la máquina y comprobaremos la seguridad de la misma volviendo a realizar un nmap. Sólamente deberían aparecer abiertos aquellos puertos que realmente deban estarlo, como por ejemplo el 22/tcp (SSH) ó el 80/tcp (webserver / apache).

Espero que ésto os sirva para algo y que os anime a probar Solaris 10 :-)

Escuchando That Particular Time, de Alanis Morissette

[tags]solaris,opensolaris[/tags]

About these ads

35 comentarios to “Buenas prácticas con Solaris 10”

  1. Lebrel Says:

    Otro buen artículo Alu.

    Solaris nunca se ha caracterizado por la seguridad que ofrece “out of the box” y requiere un esfuerzo adicional en este campo antes de pasar el sistema a un entorno de producción.

    Un par de buenas guías para aumentar la seguridad de un nuevo Solaris son:

    http://www.securityfocus.com/infocus/1776

    http://www.kernelthread.com/publications/security/solaris.html

    No son unas guías paso a paso pero dan a conocer la política de seguridad de la gente de SUN y las herramientas/protecciones que incorpora Solaris.

    S2

  2. alucardX Says:

    Solaris 10 no es seguro “out of the box”, pero con un par de ajustes lo hacen como un bunker (sin contar temas de stack overflow, claro) :-)

    Otro día hablaré más sobre BART, RBAC, entre otras cuestiones.

    Gracias por los enlaces, Lebrel!

  3. antraxa Says:

    Buenas, informacion buenisima la de aqui.

    Creen que el oracle 10g corra bien sobre mi solaris 10 ? mi maquina es la sig:

    Laptop Compaq Presario 2100
    352Mb RAM
    Celeron
    12Gb para la particion de Solaris

    gracias espero su recomendacion, para saber si descargar el oracle o no.

  4. alucardX Says:

    La verdad es que te recomiendo tener al menos 512Mb de RAM para correr Oracle 10g, siendo muy recomendable tener 1Gb. Comprueba la documentación de Oracle para más información acerca de los requisitos de instalación.

    Saludos

  5. antraxa Says:

    Tienes razon, gracias , cheque la documentacion y si me falta mas maquina jeje, lo dejare para despues que pueda comprarle mas memoria.

    Unas dudas mas sobre solaris, tengo que aprovechar que encontre este foro tan weno :-)

    1.- e notado que mi solaris 10 se desempena mejor aun con varios servicios ejecutandose, y es la misma maquina donde tengo mi linux, a que se debe esta clara ventaja? podrias explicarme un poko que tan mejor es solaris a linux. Si aun mejor puedes dirigirme hacia algun buen manual en espanol, pues todo l oque encuentro esta en ingles y aunque lo comprendo algo se me escapan algunas interpretaciones tecnicas pues mi ingles no es bueno jeje.

    2.- existe alguna version del editor VI para solaris PERO que sea similar a los de linux? esque me estoy dando cuenta que el VI de los Unix es bastante tedioso de operar pues lo maneja todo con comandos.

    3.- Alguna pagina sobre drivers de sonido para solaris, pues no reconoce mi tarjeta de sonido, aunque claro me imagino que no ah de ser tan facil como conseguirlos para linux en fin.

    Espero pueda alguien contestarme alguna o todas mis dudas, gracias por tomarse la molestia de atender este foro que REPITO pone muy buena info.

  6. antraxa Says:

    Otra duda jeje, realize un nmap sobre mi solaris y ya cerre algunos puertos que no ocupaba, pero aun me muestra algunos puertos que creo que no son necesarios, pero no se como cerrarlos:

    Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-12-15 14:33 CST
    Interesting ports on localhost (127.0.0.1):
    Not shown: 1664 closed ports
    PORT STATE SERVICE
    111/tcp open rpcbind
    514/tcp open shell
    898/tcp open sun-manageconsole
    4045/tcp open lockd
    6000/tcp open X11
    7100/tcp open font-service
    32771/tcp open sometimes-rpc5
    32772/tcp open sometimes-rpc7
    32773/tcp open sometimes-rpc9
    32774/tcp open sometimes-rpc11
    32775/tcp open sometimes-rpc13
    32776/tcp open sometimes-rpc15
    32777/tcp open sometimes-rpc17
    32778/tcp open sometimes-rpc19
    32779/tcp open sometimes-rpc21
    32780/tcp open sometimes-rpc23

    Nmap finished: 1 IP address (1 host up) scanned in 69.575 seconds

    Podrian decirme cuales de estos no son necesarios, que hacen y como cerrarlos? por favor, pues esos SOMETIMES-RPC me dan mucha curiosidad! :-)

  7. chupito Says:

    tengo un problema con solaris 10, he configurado imap, pop2 y pop3 y sendmail. Desde consola tengo respuesta del puerto 110 al hacer telnet y desde terminal tambien (OK!)
    Pero desde terminal no puedo tener respuesta del puerto 25.
    Que otra cosa debo verificar? gracias

  8. Iban Nieto Says:

    Comprueba que tengas el proceso de sendmail corriendo y que está escuchando en el interfaz de red correcto y no en localhost. Así mismo, comprueba los logs de sendmail en /var/log, por si hubiera algún problema de configuración.

    Suerte!

  9. chupito Says:

    gracias Iban Nieto,
    Parece que solo escucha en localhost, pero… cómo le cambio??

  10. amigo 1 Says:

    quisiera saber si puedo hacer un update de solaris 9 para tener soalris 10, es decir tener solaris 10 sin instalar el solaris 10. ojala me puedan ayudar

  11. RIVER Says:

    estoy descargando solaris 10…!
    quisiera saber si antes de instalarlo en mi equipo lo puedo trabajar en una maquina virtual como el virtual pc 2007 y no se tenga q joder como las versiones que descarge del linux.

  12. Iban Nieto Says:

    Puedes probar Solaris 10 dentro de VMWare, Parallels y demás software de paravirtualización sin problemas.

  13. Diego Says:

    Estimados necesito un poco de asesoramiento ya que me nacio aprender solaris. Pero la emocion era tan grande de tener ya el solaris 10 que se me olvido ver si mi NICde mi laptop hp tx1232la era compatible con el solaris 10 ya que el opensolaris no me dio ningun problema y podia conectarme. Alguien me podria ayudar donde pueda bajar drivers para conectase a internet? o talves tenga alguna lista de comandos para solaris?? muchas gracias!! :D

  14. Memo Says:

    Hola que tal, he visto algunos de tus post y me ha ayudado bastante
    Actualmento soy nuevo(no mucho) en solaris, y quisiera saber si no tiene unas paginas o guias que me puedan servir ya que estoy configurando un servidor con solaris 10, ya he puesto a funcionar dns, apache(para los varios dominios) ahora estoi con el sendmail pero se me hace un poco complicado pero bueno ya funciona como envio local(mandar msg a los distintos usuarios del sistema) pero no se como hacerle bien para hacerlo funcionar de manera remota no se si me doi a entender. No se si tendras algo que me pueda ayudar a configurar correctamente el sendmail que trae por default desde cero el solaris 10. Te agradesco de antemano la ayuda. Bueno Gracias.

  15. Alejandro Caloca Says:

    Hola soy de México, Chiapas. Me encantaría migrar a UNIX siempre he querido hacerlo he probado muchas versiones de Linux, pero creo que Unix es algo mas robusto así lo considero, así que como un año atrás mas bien no lo recuerdo anunciaron que estaba libre Solaris 10 para plataformas Intel entonces desde que lo anunciaron lo descargue.Ok. Ahí todo bien me llevo un tiempo y cuando lo quise probar en mi maquina Dell OptiPlex 170L con CPU 2.8 GHz y con una memoria DDR de 384 MB, no pasaba nada osea apare, “Elegir el modo de Instalación”, ya sabes las cuatro tipos de instalación cuando elijo uno de ellos empieza a cagar me ¡reinicia la maquina! puedes creerlo en cualquiera de los cuatro modos de instalación me reinicia la maquina carga algunos paquetes y se reinicia…Entonces pensé que había un daño en el BOOT del disco pero no lo probé en otras computadoras y si si arranca ah dios tuve que seguir con mis versiones viejitas de SUSE 9.3 que ni quiera es la de OPENSUSE…en fin no se que hacer desde ese entonces no he podido instalar nada entonces me gustaría que vosotros me ayudaran cualquiera me dijera que tengo que hacer o realizar he pensado que es mi escasa memoria y no que no tengo mucho espacio en mi disco en fin espero puedan resolver el problema o darme una guía de cual puede ser el malestar….
    Dejo mi correo: alejandrocaloca@yahoo.com o mudersora@hotmail.com
    GRACIAS
    UN SALUDO DESDE CHIAPAS, México.

  16. JJ Says:

    Alejandro si miras en la pagina donde te bajaste el solaris 10 hay una utilidad en java para windows que testea la compatibilidad de tu ordenador con solaris 10 tambien la tienes disponible en http://www.opensolaris.org. En la pagina de sun tambien tines una HCL.
    Suerte!!

  17. lupita Says:

    hola alguien me puede ayudar, medejaron de tarea investigar para configurar un servidor con solaris 10 donde corran los servicios de correo (SMTP), DNS y paginas web, si alguien sabe como hacerlo y quiere decirme se los agradecere mucho.

  18. Iban Nieto Says:

    lupita: solaris 10 ya trae incorporados esos servicios (sendmail, apache y bind), sólo es cuestión de que los configures y los levantes con svcadm. Un buen punto de partida es docs.sun.com

    Suerte

  19. pablo Says:

    buenas una pregunta y si instalo el virtualbox y en ese instalo
    solaris express tengo que hacer una configuracion especial

    gracias

  20. Iban Nieto Says:

    @pablo: en principio no deberías tener que hacer ninguna configuración especial para instalar solaris express.

    De todas maneras, te recomiendo instalar OpenSolaris 2008.05

    Un saludote

  21. manu Says:

    Hola! Pues tengo una pregunta (sobre virtualizacion)
    1) Xen vs Ldoms. tanto para sparc como x86 las dos.
    Cual recomendais, y hay algun howto para las dos??
    xen (ya lo instale en x86.. y perfecto.) pero en solaris.. no se como andara..
    y Ldoms.. tiene pinta de chungo..Alguna ayuda?

    Saludos!!

  22. Iban Nieto Says:

    manu, todo depende de lo que necesites virtualizar.
    bajate la guia del estudiante de opensolaris en es.opensolaris.org (tienes el link en mi blog) y mirate la documentacion antes de elegir uno u otro.

  23. Sandy Says:

    Hola, tengo un servidor con solaris 9 y lo quiero pasar a solaris 10, como debo hacerlo si esta ligado a un StorEdge de discos. Gracias

  24. Ing. CP Says:

    Hola Sandy referente a tu pregunta

    aqui tienes un link que habla sobre la mejores practicas de upgrade

    http://www.sun.com/service/solaris10/solaris10upgradewhitepaper.pdf

    Existe un utilitario de liveupgrade que ayuda bastante sobre temas de upgrade
    sin embargo es mucha la informacion que debes recopilar para logra hacerlo.

    Aqui envio un link para que tengas una idea de como seria sin embargo refleja el procedimiento no esta de todo correcto.

    http://unix.derkeiler.com/Newsgroups/comp.unix.solaris/2006-10/msg00355.html

    Lo mejor que es busque en docs.sun.com

    Saludos
    Ing. Cesar Peña
    Venezuela.

  25. gonzo Says:

    Sandy la migracion de solaris 9 a 10 es muy simple , lo del storage depende de varias cosas , 1ero que modelo es , manejas esos discos con VXVM , SVM si me das una mejor explicacion de la plataforma te podremos ayudar mas

  26. Ing. CP Says:

    Recomendaciones en la asignacion de SWAP, Memoria.

    Anteriormente cuando uno realiza una instalacion de S.O. recomendaba Sun utilizar el doble de la memoria fisica para SWAP, hoy en dia esta recomendacion cambio me gustaria saber cuales serian las mejores practicas en cuanto a este tema.

    Espero comentarios.

    Saludos.

    Ing. Cesar Peña

  27. x0f Says:

    me podrias explicar como deshabilitar el servicio del puerto 111 ?? creo q es portmap . parar el servicio , deshabilitarlo … lo que sea para cerrar el puerto , gracias por compartir info, este blog me ha servido de mucho :D .

  28. Rafael Murillo Says:

    Buenas tardes, alguien me podria ayudar a encontrar documentos o a configurar los puertos seriales (tengo 2 puertos USB y un cable USB_serial de STEREN modelo hl-340) pero solaris express no me los reconoce.

    Hay alguna forma de redireccionarlos?

    Nota:
    En windows se instala un driver y listo veo 2 puertos com, pero no se como hacerle en solaris express.

    De antemano muchas gracias.

    • Iban Nieto Says:

      Rafael, comprueba con prtconf -vvv a ver si en entre algunos de los dispositivos listados se encuentra tu conversor usbserial, a lo mejor tienes que hacer un attach en el identificador pci. Prueba con prtconf -vv | less y cuando identifiques tu hardware, añadelo a /etc/driver_aliases con update_drv -a -i ‘”pci8086,XXXX″‘ XXXX.

      Suerte!

  29. Nuevo_Solaris Says:

    He descargado el dvd de Solaris 10 porque estoy interesado en este S.O y ando buscando foros de habla hispana sobre este sistema operativo por lo cual agradeceria direcciones de los mismos y si hay una oficial en español pues perfecto porque de ingles no tengo ni idea.
    Gracias de antemano

    • Iban Nieto Says:

      Hola

      Mejor te bajas el CD de OpenSolaris 2009.06 (lo puedes encontrar en http://www.opensolaris.com) y luego puedes encontrar la información en castellano en http://es.opensolaris.org . Allí tenemos el portal de la comunidad Hispana de OpenSolaris, y puedes encontrar mucha mucha documentación en nuestro idioma, además de una lista de correo, etc.

      Suerte.

      Un saludote

      • Nuevo_Solaris Says:

        Gracias Ivan
        Digamos que quiero empezar fuerte por eso he elegido Solaris 10 y no OpenSolaris.

        Un saludo

  30. omar Says:

    que tal excelente blog, espero puedas ayudarme, recomiendame algun sito o manual para configurar sendmail, kiero ke un usuario que no sea root, pueda mandar correo, de antemano muchas garacias.

    saludos.

  31. Rick Says:

    Iban,

    Despues de ver la fecha de publicacion de este documento, he encontrado bastante interesante el mismo, hay cosas que ya habia olvidado de Solaris, gracias por el aporte.

    Saludos

  32. sogima Says:

    Hola espero que me puedan ayudar, tengo instalado Solaris 10 en un disco sata, el problema es que al intentar configurar el sonido en mi maquina e instalar los drives respectivos, al reiniciar mi máquina e intentar entrar de nuevo al sistema, se desplega una lista de renglones que no puedo leer pues pasan muy rápido sobre la pantalla y se reinicia la máquina, no puedo acceder al sistema. Como dato adicional el equipo tiene Ubuntu 9.4 y Solaris 10, incluso ya intente montar la particion de Solaris en Ubuntu pero no pude porque no se reconce el tipo de particion que tiene Solaris, esto ultimo lo hice para intentar salvar la informacion que tengo en Solaris. Alguinen tiene alguna sugerencia o idea para que pueda destrabar el sistema o salvar la información en Solaris.Gracias


Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

A %d blogueros les gusta esto: