První setkání s programem SunScreen pěkně bolelo. Ovládání mi připadlo proti IPtables z Linuxu pěkně úchylné, tak jsem si napsal pár poznámek. Soubor s poznámkama jsem našel při úklidu na disku, tak se o něj podělím 🙂 SunScreen, který je zde používán pro tvorbu vzorových výpisů běží na Solarisu 9 pro x86.
Ovládání utilitou ssadm z příkazového řádku
v /usr/lib/sunscreen/lib/ss_boot
lze zakazat spousteni admin rozhrani v serveru,
staci zakomentovat run_httpd
# vypis nazvu sady prave aktivnich pravidel
ssadm active
prilad:
root@sun root]# ssadm active
Active configuration: sun default Initial.8
Activated by admin on Tue Jan 04 14:37:57 2005
# editace pravidel, nezadavejte cislo verze
[15:05 root@sun root]# ssadm edit Initial
edit>
# vypis prave aktivnich pravidel
edit> list rules
# vypis informaci o nadefinovane sluzbe
edit> list SLUZBA
# vypis informaci o vsech sluzbach
edit> list services
# definice vlastni sluzby
edit> add service "https" SINGLE FORWARD "tcp" PORT 443
edit> add service "webmail" SINGLE FORWARD "tcp" PORT 444
edit> add service "calendar" SINGLE FORWARD "tcp" PORT 445
edit> add service "appadmin" SINGLE FORWARD "tcp" PORT 4848
# povoleni sluzby - pridani pravidla
edit> add Rule https * * ALLOW
edit> add Rule webmail * * ALLOW
edit> add Rule calendar * * ALLOW
edit> add Rule appadmin * * ALLOW
# smazani pravidla
edit> del rule NUM
kde NUM je cislo pravidla ziskane vypisem list rules
# presunuti pravidla na jinou pozici
edit> move rule FROM TO
FROM je cislo pravidla ktere chceme presunout
TO je kam ho chceme presunout
# ulozeni pravidel
edit> save
# ulozeni pravidel pod jinym nazvem
edit> saveas moje
# aktivovani pravidel
ssadm activate NAZEV
kde NAZEV je bud Inital (default od SUNu) nebo "moje"
# priklad nadefinovanych pravidel
1 "ssh" "*" "*" ALLOW
2 "*" "localhost" "*" ALLOW
3 "*" "sun" "*" ALLOW
4 "https" "*" "*" ALLOW
5 "webmail" "*" "*" ALLOW
6 "calendar" "*" "*" ALLOW
7 "appadmin" "*" "*" ALLOW
8 "common" "*" "*" DENY