文本版|topic 高级搜索
   名人堂 帮助 论坛制度 意见反馈 | 首页 博客 周新贴 招聘 专题 新闻
 RSS 底部
 
社区导航: 专家门诊   网络技术   操作系统   数据库   程序设计   系统应用   考试认证   CIO及信息化   站长交流   综合交流   下载基地  51CTO产品服务 设为首页 | 收藏本站
51CTO技术论坛» 专家门诊 » [第3期实录]Linux/Solaris服务器的安全配置       [ 打印]  [ 订阅]  [ 收藏]  [ 推荐给朋友]   [ 本帖文本页]
 

论坛跳转:
 101  1/5  1  2  3  4  5  > 
      
标题: [论坛公告] [第3期实录]Linux/Solaris服务器的安全配置  ( 查看:12475  回复:100 )   
  本主题由 零距离 于 2006-12-15 10:47 提升  
 
sery
技术专家  点击可查看详细



论坛万户侯   十二生肖之鼠   处女座   行业勋章   技术勋章   诚信兄弟  
帖子 170
精华 0
无忧币 6089
积分 188
阅读权限 120
来自 (保密)
注册日期 2006-3-29
最后登录 2008-7-7 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 11:11   标题:[第3期实录]Linux/Solaris服务器的安全配置
上一帖 |
大家好,很高兴能在"专家门诊"这个栏目与大家见面,并共同探讨关于Linux/Solaris服务器的安全配置话题,大家平时在工作中遇到有什么疑难杂症可以发表出来一起研究,欢迎大家踊跃发言。



相关活动调查:您关注安全方面的哪个话题?
相关活动专题:专家门诊活动特制专题



优秀提问者获奖名单:
youjianhello          50无忧币
jankie                  50无忧币  
无糖酸奶              50无忧币
mingjie1116x        30无忧币
51joy       30无忧币 
huihui                   30无忧币
newnetwork         20无忧币
蛐蛐                    10无忧币   
北极狼                 20无忧币
阿娟        20无忧币
fifthfrog               20无忧币
2006-11-23 11:111楼
 [ 客服 ] [ 顶部 ]
 
fang780727
初级工程师  点击可查看详细


论坛万户侯   中秋活动勋章   中秋活动勋章  
帖子 2006
精华 1
无忧币 9646
积分 5558
阅读权限 50
来自 (保密)
注册日期 2006-2-28
最后登录 2008-7-8 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 12:26 
LINUS做的DNS服务器跟WINDOWS做的DNS服务器的性能跟安全有何区别?


该问题专家已在 19 楼回答»



一勺励清心,酌水谁含出世想,半生盟素志,听泉我爱在山声。
2006-11-23 12:262楼
 [ 客服 ] [ 顶部 ]
 
nicholas
高级工程师  点击可查看详细


帖子 2105
精华 5
无忧币 13521
积分 11250
阅读权限 70
注册日期 2006-4-14
最后登录 2008-4-25 离线

[查看资料]  [发短消息]  [Blog
[个人主页]    QQ       
发表于:2006-11-23 13:44 
Solaris我还比较有兴趣,哈哈.看看今天的内容怎么样,是不是能学到一些东西,比如讲讲iptables


该问题专家已在 24 楼回答»



msn:nicholas.zdl@Gmail.com
欢迎联系我。
2006-11-23 13:443楼
 [ 客服 ] [ 顶部 ]
 
youjianhello
副版主  点击可查看详细



帖子 223
精华 0
无忧币 4098
积分 549
阅读权限 140
来自 (保密)
注册日期 2006-5-2
最后登录 2008-7-1 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 13:49 
请问专家如何拒绝sendmail的EXPN,同时也希望关闭VRFY,谢谢


该问题专家已在 29 楼回答»
2006-11-23 13:494楼
 [ 客服 ] [ 顶部 ]
 
jankie
主版主  点击可查看详细


论坛万户侯  
帖子 1714
精华 3
无忧币 29695
积分 13797
阅读权限 150
来自 (保密)
注册日期 2006-3-6
最后登录 2008-7-9 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 13:56 
如果在Linux下关闭p2p这样的协议呢,去deny一些电驴和BT呢?
先谢谢


该问题专家已在 22 楼回答»



www.WinCTO.com网络技术交流社区---www.WinCTO.com
2006-11-23 13:565楼
 [ 客服 ] [ 顶部 ]
 
253939045
助理工程师  点击可查看详细


帖子 1514
精华 2
无忧币 2993
积分 1888
阅读权限 40
来自 (保密)
注册日期 2006-5-30
最后登录 2008-6-27 离线

[查看资料]  [发短消息]  [Blog
  QQ       
发表于:2006-11-23 14:01 
linux和unix做服务器时。那个的安全性能好一点。他们分别支持的数据库都有那些。


俺是菜鸟。希望专家能解释清楚一点。


该问题专家已在 27 楼回答»



想找個︷安靜の角落оメ゛靜靜dē ﹏..整理ヽ﹏ゞ零亂dē思緒⌒゛┆ 我假装坚强゛罒其實我-.∝輸不起〆
2006-11-23 14:016楼
 [ 客服 ] [ 顶部 ]
 
无糖酸奶
新新人类  点击可查看详细



帖子 8
精华 0
无忧币 138
积分 60
阅读权限 20
注册日期 2006-5-12
最后登录 2008-2-26 离线

[查看资料]  [发短消息]  [Blog
[个人主页]    QQ       
发表于:2006-11-23 14:07 
使用FTP时,不能以root用户登录系统,应修改什么配置文件?


该问题专家已在 20 楼回答»
2006-11-23 14:077楼
 [ 客服 ] [ 顶部 ]
 
mingjie1116x
副版主  点击可查看详细


十二生肖之羊   射手座   行业勋章   技术勋章   诚信兄弟  
帖子 634
精华 4
无忧币 6805
积分 1797
阅读权限 140
来自 (保密)
注册日期 2006-4-12
最后登录 2008-7-6 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 14:14 


QUOTE:
原帖由 sery 于 2006-11-23 11:11 发表
大家好,很高兴能在"专家坐诊"这个栏目与大家见面,并共同探讨关于Linux/Solaris服务器的安全配置话题,大家平时在工作中遇到有什么疑难杂症可以发表出来一起研究,欢迎大家踊跃发言。



相关活动 ...
想问问专家,目前我们的服务是sun880  使用的操作系统是solaris 9 /oracle 8.1.7 /4CPU X1.2GB/  内存:8GB 如何优化我的操作系统,如何调整内核参数,使它发挥到最优的速度,目前我们服务感觉好慢。恳请专家指教!谢谢!


该问题专家已在 40 楼回答»
2006-11-23 14:148楼
 [ 客服 ] [ 顶部 ]
 
51joy
技术员  点击可查看详细



十二生肖之羊   处女座   行业勋章   技术勋章   诚信兄弟  
帖子 57
精华 0
无忧币 1073
积分 222
阅读权限 30
注册日期 2006-10-26
最后登录 2008-7-2 离线

[查看资料]  [发短消息]  [Blog
       
发表于:2006-11-23 14:15 
能不能系统说一下Solaris的安全配置应该从哪些方面入手?


该问题专家已在 15 楼回答»
2006-11-23 14:159楼
 [ 客服 ] [ 顶部 ]
 
hanbing2008
技术员  点击可查看详细


帖子 191
精华 0
无忧币 1038
积分 358
阅读权限 30
注册日期 2006-9-4
最后登录 2008-7-8 离线

[查看资料]  [发短消息]  [Blog
       
发表于:2006-11-23 14:20 
早,都开始了!我对Linux和Solaris比较感兴趣,但没用过Solaris操作系统,Solaris操作系统是不是对硬件又要求,只能装在SSUN服务器上?


该问题专家已在 36 楼回答»
2006-11-23 14:2010楼
 [ 客服 ] [ 顶部 ]
 
huwei
助理工程师  点击可查看详细


十二生肖之牛   天蝎座   行业勋章   技术勋章   诚信兄弟  
帖子 1190
精华 0
无忧币 2136
积分 1544
阅读权限 40
注册日期 2006-4-18
最后登录 2008-6-13 离线

[查看资料]  [发短消息]  [Blog
[个人主页]    QQ       
发表于:2006-11-23 14:25 
请问专家,用LINUX来做软路由都需要些什么?我指的是软件方面的


该问题专家已在 42 楼回答»
2006-11-23 14:2511楼
 [ 客服 ] [ 顶部 ]
 
huwei
助理工程师  点击可查看详细


十二生肖之牛   天蝎座   行业勋章   技术勋章   诚信兄弟  
帖子 1190
精华 0
无忧币 2136
积分 1544
阅读权限 40
注册日期 2006-4-18
最后登录 2008-6-13 离线

[查看资料]  [发短消息]  [Blog
[个人主页]    QQ       
发表于:2006-11-23 14:26 
RouterOS这个软件他运行的时候稳不稳定?


该问题专家已在 73 楼回答»
2006-11-23 14:2612楼
 [ 客服 ] [ 顶部 ]
 
cdmatong
超级版主  点击可查看详细


内阁大臣   十二生肖之狗   处女座  
帖子 4100
精华 2
无忧币 15473
积分 7210
阅读权限 200
来自 (保密)
注册日期 2006-4-18
最后登录 2008-7-9 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 14:28   标题:回复 #11 hanbing2008 的帖子
Solaris操作系统有for x86架构的,可以装在普通PC上的.

【MVP】马上申请成为“微软最有价值专家”【是什么造成了网管员的低工资】
2006-11-23 14:2813楼
 [ 客服 ] [ 顶部 ]
 
冰雪寒
超级版主  点击可查看详细


诚信兄弟  
帖子 2872
精华 45
无忧币 68668
积分 42128
阅读权限 200
来自 (保密)
注册日期 2006-1-19
最后登录 2008-7-8 离线

[查看资料]  [发短消息]  [Blog
  QQ       
发表于:2006-11-23 14:37   标题:回复 #2 fang780727 的帖子
我们的专家正在替大家解答,请各位不要着急,我这个非专业人士先帮fang780727解答一下。
仅代表个人观点。
其实在性能和功能方面,无论是windows还是linux都可以实现DNS各种基本功能。
在安全方面,由于linux系统本身安全性要高一些,所以在DNS安全防护方面也优于在windows下的DNS。但安全都是相对的。

天也空,地也空,人生渺渺在其中;
日也空,月也空,东升西坠为谁功;
金也空,银也空,死后何曾在手中;
妻也空,子也空,黄泉路上不相逢;
权也空,名也空,转眼荒郊土一封。
2006-11-23 14:3714楼
 [ 客服 ] [ 顶部 ]
 
sery
技术专家  点击可查看详细



论坛万户侯   十二生肖之鼠   处女座   行业勋章   技术勋章   诚信兄弟  
帖子 170
精华 0
无忧币 6089
积分 188
阅读权限 120
来自 (保密)
注册日期 2006-3-29
最后登录 2008-7-7 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 14:38  专家回答 9 楼的问题


QUOTE:
原帖由 51joy 于 2006-11-23 14:15 发表
能不能系统说一下solaris的安全配置应该从哪些方面入手?
安全是一个复杂的问题,不能以一两句话讲的清楚,下面谈谈我的一些想法:
1 先确定需要拿solaris干什么?需要什么样的安全级别?在实际的应用中,solaris大都运行在sun的专用服务器上,跑oracle这样的大型数据库,那么它一般是放在一个私有网络内,要访问它的应用服务器通过私有网络访问这个solaris服务器,但它本身并不对internet的用户提供访问.这样它就筑起了第一道安全防线.
2 安装系统是需要我们以定制的方式进行,安装尽可能少的软件包,安装完成后,需要安装它的各种系统补丁,然后根据要求修改某些内核参数(/etc/system).
3 启用solaris的防火墙工具ipf.根据具体的情况编写配置文件/etc/ipf/ipf.conf
4 其他措施.
2006-11-23 14:3815楼
 [ 客服 ] [ 顶部 ]
 
冰雪寒
超级版主  点击可查看详细


诚信兄弟  
帖子 2872
精华 45
无忧币 68668
积分 42128
阅读权限 200
来自 (保密)
注册日期 2006-1-19
最后登录 2008-7-8 离线

[查看资料]  [发短消息]  [Blog
  QQ       
发表于:2006-11-23 14:43   标题:回复 #4 youjianhello 的帖子
编辑"sendmail.cf"文件(vi /etc/sendmail.cf)并更改下面一行:

  O PrivacyOptions=authwarnings

  改为:

  O PrivacyOptions=authwarnings,noexpn,novrfy

  设置"noexpn"使sendmail禁止所有SMTP的"EXPN"命令,它也使sendmail拒绝所有SMTP的"VERB"命令。设置"novrfy"使sendmail禁止所有SMTP的"VRFY "命令。这种更改可以防止欺骗者使用"EXPN"和"VRFY"命令,而这些命令恰恰被那些不守规矩的人所滥用。

天也空,地也空,人生渺渺在其中;
日也空,月也空,东升西坠为谁功;
金也空,银也空,死后何曾在手中;
妻也空,子也空,黄泉路上不相逢;
权也空,名也空,转眼荒郊土一封。
2006-11-23 14:4316楼
 [ 客服 ] [ 顶部 ]
 
豪客
新新人类  点击可查看详细



帖子 13
精华 0
无忧币 3878
积分 23
阅读权限 20
来自 (保密)
注册日期 2006-10-26
最后登录 2007-12-21 离线

[查看资料]  [发短消息]  [Blog
[个人主页]    QQ       
发表于:2006-11-23 14:43 


QUOTE:
原帖由 mingjie1116x 于 2006-11-23 14:14 发表

想问问专家,目前我们的服务是sun880  使用的操作系统是solaris 9 /oracle 8.1.7 /4CPU X1.2GB/  内存:8GB 如何优化我的操作系统,如何调整内核参数,使它发挥到最优的速度,目前我们服务感觉好慢。恳请专家指教 ...
晕,就这个问题,秋香只怕是要写一本书了。字数还不能少于 30 万。
2006-11-23 14:4317楼
 [ 客服 ] [ 顶部 ]
 
冰雪寒
超级版主  点击可查看详细


诚信兄弟  
帖子 2872
精华 45
无忧币 68668
积分 42128
阅读权限 200
来自 (保密)
注册日期 2006-1-19
最后登录 2008-7-8 离线

[查看资料]  [发短消息]  [Blog
  QQ       
发表于:2006-11-23 14:56   标题:回复 #8 无糖酸奶 的帖子
root 不能直接以 telnet 连接上主机。 telnet 不是很安全,默认的情况之下就是无法允许 root 以 telnet 登入 Linux 主机的 。若要允许root用户登入,可用下列方法
  [root @test /root]# vi /etc/pam.d/login
  #auth required pam_securetty.so #将这一行加上注释!
  
  或
  # mv /etc/securetty /etc/securetty.bak
  这样一来, root 将可以直接进入 Linux 主机。不过,建议不要这样做。还可以在普通用户进入后,切换到root用户,拥有root的权限!

天也空,地也空,人生渺渺在其中;
日也空,月也空,东升西坠为谁功;
金也空,银也空,死后何曾在手中;
妻也空,子也空,黄泉路上不相逢;
权也空,名也空,转眼荒郊土一封。
2006-11-23 14:5618楼
 [ 客服 ] [ 顶部 ]
 
sery
技术专家  点击可查看详细



论坛万户侯   十二生肖之鼠   处女座   行业勋章   技术勋章   诚信兄弟  
帖子 170
精华 0
无忧币 6089
积分 188
阅读权限 120
来自 (保密)
注册日期 2006-3-29
最后登录 2008-7-7 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 15:00  专家回答 2 楼的问题


QUOTE:
原帖由 fang780727 于 2006-11-23 12:26 发表
LINUS做的DNS服务器跟WINDOWS做的DNS服务器的性能跟安全有何区别?
linux/unix的dns多用bind来做,windows的dns基本原理不太清楚.安全和性能方面的比较应该从操作系统本身这方面来考虑.

unix/linux的dns大都采用bind这个工具,windows的dns底层的东西不太清楚。windows的dns相对于linux的bind配置要容易和方便很多。但个人认为bind比windows的dns安全性和稳定性好,要不怎么internet大部分dns是基于linux/unix的bind呢
2006-11-23 15:0019楼
 [ 客服 ] [ 顶部 ]
 
sery
技术专家  点击可查看详细



论坛万户侯   十二生肖之鼠   处女座   行业勋章   技术勋章   诚信兄弟  
帖子 170
精华 0
无忧币 6089
积分 188
阅读权限 120
来自 (保密)
注册日期 2006-3-29
最后登录 2008-7-7 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 15:05  专家回答 7 楼的问题


QUOTE:
原帖由 无糖酸奶 于 2006-11-23 14:07 发表
使用ftp时,不能以root用户登录系统,应修改什么配置文件?
打开文件 ftpusers,如果有root,行首加#号注释掉就可以了。
solaris 10 ftpusers文件在/etc/ftpd目录下。
2006-11-23 15:0520楼
 [ 客服 ] [ 顶部 ]
 
冰雪寒
超级版主  点击可查看详细


诚信兄弟  
帖子 2872
精华 45
无忧币 68668
积分 42128
阅读权限 200
来自 (保密)
注册日期 2006-1-19
最后登录 2008-7-8 离线

[查看资料]  [发短消息]  [Blog
  QQ       
发表于:2006-11-23 15:05   标题:回复 #11 huwei 的帖子
利用Linux自带的Firewall软件包来构建软路由

http://bbs.51cto.com/viewthread.php?tid=114438

天也空,地也空,人生渺渺在其中;
日也空,月也空,东升西坠为谁功;
金也空,银也空,死后何曾在手中;
妻也空,子也空,黄泉路上不相逢;
权也空,名也空,转眼荒郊土一封。
2006-11-23 15:0521楼
 [ 客服 ] [ 顶部 ]
 
sery
技术专家  点击可查看详细



论坛万户侯   十二生肖之鼠   处女座   行业勋章   技术勋章   诚信兄弟  
帖子 170
精华 0
无忧币 6089
积分 188
阅读权限 120
来自 (保密)
注册日期 2006-3-29
最后登录 2008-7-7 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 15:08  专家回答 5 楼的问题


QUOTE:
原帖由 jankie 于 2006-11-23 13:56 发表
如果在linux下关闭p2p这样的协议呢,去deny一些电驴和bt呢?
先谢谢
可以使用协议分析工具——ethereal,ethereal是一个有名的网络端口探测器,是可以在linux、solaris、sgi等各种平台运行的网络监听软件一般说来,ethereal基本上是为破坏者所利用的工具,而对于网络管理员来说,也可以通过捕包分析,来确定一些异常的流量和局域网内部的非正常用户与外界的通信,比如说对于现在比较占用网络带宽的诸如bit torrent 等p2p应用软件流量,通过使用该软件确定这些流量,网络管理员就可以使用流量控制(tc)的方法来规范、合理的分配带宽资源,提高网络的利用率。ethereal可以在http://www.ethereal.com/download.html上下载
2006-11-23 15:0822楼
 [ 客服 ] [ 顶部 ]
 
豪客
新新人类  点击可查看详细



帖子 13
精华 0
无忧币 3878
积分 23
阅读权限 20
来自 (保密)
注册日期 2006-10-26
最后登录 2007-12-21 离线

[查看资料]  [发短消息]  [Blog
[个人主页]    QQ       
发表于:2006-11-23 15:08 


QUOTE:
原帖由 冰雪寒 于 2006-11-23 14:56 发表
root 不能直接以 telnet 连接上主机。 telnet 不是很安全,默认的情况之下就是无法允许 root 以 telnet 登入 Linux 主机的 。若要允许root用户登入,可用下列方法
  # vi /etc/pam.d/login
  #auth require ...
telnet协议是明文协议,决定了它的不安全性。即使以其它用户登录后再“su”,也同样是不安全的。建议对于安全性要求高的环境中,使用SSH来代表telnet。
2006-11-23 15:0823楼
 [ 客服 ] [ 顶部 ]
 
sery
技术专家  点击可查看详细



论坛万户侯   十二生肖之鼠   处女座   行业勋章   技术勋章   诚信兄弟  
帖子 170
精华 0
无忧币 6089
积分 188
阅读权限 120
来自 (保密)
注册日期 2006-3-29
最后登录 2008-7-7 离线

[查看资料]  [发短消息]  [Blog
[个人主页]         
发表于:2006-11-23 15:09  专家回答 3 楼的问题


QUOTE:
原帖由 nicholas 于 2006-11-23 13:44 发表
solaris我还比较有兴趣,哈哈.看看今天的内容怎么样,是不是能学到一些东西,比如讲讲iptables
solaris 里是ipf,linux是iptables.
ipf的配置文件 /etc/ipf/ipf.conf.用命令man ipf.conf查配置语法,下面给一个例子
block in log quick all with short
#block in log quick all with ipopts
block in on xl0 proto tcp from any to any port = 135
block in on xl0 proto tcp from any to any port = 139
block in on xl0 proto tcp from any to any port = 4444
block in on xl0 proto tcp from any to any port = 445
block in on xl0 proto tcp from any to any port = 67
block in on xl0 proto tcp from any to any port = 79
block in on xl0 proto tcp from any to any port = 16881
block in on xl0 proto udp from any to any port = 135
block in on xl0 proto udp from any to any port = 139
block in on xl0 proto udp from any to any port = 4444
block in on xl0 proto udp from any to any port = 445
block in on xl0 proto udp from any to any port = 67
#only kongzhong corp's mail server is allowed
block in on xl0 proto tcp from any to any port = 25
pass in on xl0 proto tcp from any to 61.135.154.8 port = 25
pass in on xl0 proto tcp from any to 61.135.154.50 port = 25
pass in on xl0 proto tcp from any to 61.135.154.185 port = 25
pass in on xl0 proto tcp from any to 218.247.170.213 port = 25
block in on xl0 proto tcp from any to any port = 3128
2006-11-23 15:0924楼
 [ 客服 ] [ 顶部 ]
 
huihui
技术员  点击可查看详细


帖子 741
精华 0
无忧币 584
积分 859
阅读权限 30
来自 (保密)
注册日期 2006-10-25
最后登录 2008-2-25 离线

[查看资料]  [发短消息]  [Blog
       
发表于:2006-11-23 15:12 
同上,在保证网络安全的前题下,我们应该主动使用一些更安全的协议和技术!


该问题专家已在 30 楼回答»



自信,坚定,勇敢,执着地追求着我的梦想...