如何在您的计算中心采用 WZSysGuard
与别的系统安全软件类似,在采用WZSysGuard之前,您需要做一些计划及安排。一个非常重要的步骤是您公司的安全保密部门必须安排一位适当的安全人员(此人必须是与系统管理的工作无关)负责接收与每一份WZSysGuard软件使用许可证相关的三十二字符密码(我们也将其称为Hex Key, KeyID)。 这个密码对于维护WZSysGuard之后的系统扫描报告的可信度是非常重要的。所以必须由安全部门的可靠人员严密保管。为此, 在购买本软件的使用许可证时, 您公司应将该人员的电邮地址 通知我们。并且,该位同仁应该以他的电邮地址设置好GPG或PGP(可参照我们的有关用GPG收取32字符Hex Key的文档及网上的GPG使用文档)
该三十二字符密码会在为WZSysGuard设置初始安全管理密码以及当您忘却了现在的安全管理密码而需将其重設时用到。但在正常的安全管理操作时并不会被用到。
在您公司购买了许可证后,您公司指定的安全人员应该让我们知道他的GPG公开密钥,我们会将三十二字符的Hex Key用他的密钥加密,并以sales@wziss.com的密钥再次加密,以电邮将结果发给您们的安全部门同仁,他就能用GPG将信息解密,获得所需的三十二字符Hex Key。

对于WZSysGuard的应用,我们的建议是,您公司应采用二台LinuxSolaris/X86机器,且每台机器应有二架DVD驱动器。这其中的一台会作为WZSysGuard软件的宿主机,即无论是AIX/Solaris/HP-UX还是LinuxWZSysGuard软件,都会存放在该宿主机上。而第二台机器则作为备份。

最初, WZSysGuard的软件包以及wzshRUN软件包应在目标机器上加以安装:
# cd /var/tmp
# ./wzshRUN-Version_OS.Platform-m32.wzpkg
# ./wzsg-Version_OS.Platform-m64.sec.wzpkg

然后再将WZSysGuard的软件部分打包并删除其中的内容:
# /usr/bin/tar cvf /tmp/wzsgTargetServer.tar /usr/local/lib/wzsg
# rm -rf /usr/local/lib/wzsg/*

接着将 /tmp/wzsgTargetServer.tar 搬到前述的宿主机, 并在宿主机上:
# cd /
# tar xvf /path/to/wzsgTargetServer.tar
# cd /usr/local/lib/
# mv wzsg wzsg.TargetServer

然后将 /usr/local/lib/wzsg.TargetServer以只读方式用NFS分享至目标机器,并在目标机器上将该文件系统以只读方式按装在 /usr/local/lib/wzsg/

接下来是安装软件许可证。WZSysGuard的许可证需被安装在/etc/WZSysGuard.lic文件中, 安装好之后,该文件应看似:
# cat /etc/WZSysGuard.lic
P420110929:SunOS:ES3TEej.ihyTbkj$1dAUJzDY.OPGj7ZNpe4FK/:sx86:wziss
#

还需安装wzshRUN的许可证在/etc/wzshRUN.lic文件中,安装好之后,该文件应看似:
# cat /etc/wzshRUN.lic
P520111108:SunOS:D/JVsDSl9PBsCAb$in7yrRVeqPo7Nr7YS5ZXy1:alpha:wziss
#


紧接着,安全管理人员应设置WZSysGuard的管理口令:
# /usr/local/bin/wzappkey -p WZSysGuard

当没有先前的口令存在时,该命令会要求您输入三十二字符KeyID。非常重要的是,WZSysGuard的管理口令及软件的三十二字符KeyID只应由安全管理人员掌握,不可让任何系统管理人员知晓。

之后,若可确定机器上操作系统软件及应用软件都是干净的,安全人员应在系统管理员的帮助下(若您公司购有CaclMgr软件, 或其它授权软件,则可为安全人员建一独立用户,并由超级用户授权)执行以下命令以创建文件现时状态的记录文件:

# /usr/local/lib/wzsg/wzsgreg

运行该命令需要WZSysGuard的管理口令。您也需要给出一个口令用于记录文件检查和的保护。每个记录文件都会有一个检查和,而该检查和会与用检查和保护口令对其进行加密后的校验码共存。

由于WZSysGuard只检查本地文件系统上的文件,为了系统安全,系统上的automount服务必须被关闭

在所有类的记录文件产生之后,接着要安排运行定期或随机扫描。请参见WZSysGuard用户指南有关如何设置各类的扫描。需说明的是,类prof是专为检测安全陷阱而特别创立的,我们已在本软件中提供了Web接口,用以供系统/应用/数据库管理员在登录系统之前进行扫描,以免触发软件陷阱,造成重大损失,所以无需另安排对此类的扫描。

在最初几个星期,安全检查员应对扫描报告进行一些分析,看看是否有一些设备文件会经常发生变化,而那些变化都是正常的,无安全隐患。若是如此,您可考虑将这些设备文件过滤出去。此乃WZSysGuard初始需做的调整。


当初始的调整完成后,安全人员应与系统管理员一起回到宿主机,将/usr/local/lib/wzsg.TargetServer/下的所有文件及子目录做成一文件系统影像文件,并与其它品牌UNIX已有的文件系统影像文件一起烧制到CD/DVD上或加入一个ISO影像文件,再安装到 /usr/local/lib/wzsg.TargetServer。并在目标机器上重新安装/usr/local/lib/wzsg文件系统。

需要安全陷阱检测及防止安全陷阱被触发功能的用户请参见"如何设置及使用WZSysGuard的安全陷阱检测及复核Web接口"。

_