大家好，很高兴能在"专家坐诊"这个栏目与大家见面，并共同探讨关于Linux/Solaris服务器的安全配置话题，大家平时在工作中遇到有什么疑难杂症可以发表出来一起研究，欢迎大家踊跃发言。

如果要运行sendmail，请修改邮件发送配置文件（通常位于/etc/sendmail.cf)，将o privacyoptions=authwarnings改为o privacyoptions=authwarnings,novrfy,noexpn，这样可以关闭expn和vrfy的输出。

可以使用协议分析工具——ethereal，ethereal是一个有名的网络端口探测器，是可以在linux、solaris、sgi等各种平台运行的网络监听软件一般说来，ethereal基本上是为破坏者所利用的工具，而对于网络管理员来说，也可以通过捕包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如bit torrent 等p2p应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制（tc）的方法来规范、合理的分配带宽资源，提高网络的利用率。
ethereal可以在 http://www.ethereal.com/download.html下载。

打开文件 ftpusers，如果有root，行首加#号注释掉就可以了。
solaris 10 ftpusers文件在/etc/ftpd目录下。

安全是一个复杂的问题,不能以一两句话讲的清楚,下面谈谈我的一些想法:
1 先确定需要拿solaris干什么?需要什么样的安全级别?在实际的应用中,solaris大都运行在sun的专用服务器上,跑oracle这样的大型数据库,那么它一般是放在一个私有网络内,要访问它的应用服务器通过私有网络访问这个solaris服务器,但它本身并不对internet的用户提供访问.这样它就筑起了第一道安全防线.
2 安装系统是需要我们以定制的方式进行,安装尽可能少的软件包,安装完成后,需要安装它的各种系统补丁,然后根据要求修改某些内核参数(/etc/system).
3 启用solaris的防火墙工具ipf.根据具体的情况编写配置文件/etc/ipf/ipf.conf
4 其他措施.

linux/unix的dns多用bind来做,windows的dns基本原理不太清楚.安全和性能方面的比较应该从操作系统本身这方面来考虑.
unix/linux的dns大都采用bind这个工具，windows的dns底层的东西不太清楚。windows的dns相对于linux的bind配置要容易和方便很多。但个人认为bind比windows的dns安全性和稳定性好，要不怎么internet大部分dns是基于linux/unix的bind呢

修改下面的内核参数:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 63 > /proc/sys/net/ipv4/icmp_echoreply_rate
echo 61 > /proc/sys/net/ipv4/icmp_timeexceed_rate
echo 62 > /proc/sys/net/ipv4/icmp_paramprob_rate
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

或者使用 iptables -i input -t icmp -j drop 干脆把它丢弃

建议设置私有地址或者只允许少数几台服务器访问.
看/etc/ssh/sshd_config文件有没有allowhosts这样的行.看有没有ipf进程,如有,修改配置文件/etc/ipf/ipf.conf符合你的要求,然后重新加载 ipf -f /etc/ipf/ipf.conf

我有一篇这样的文章 http://sery.blog.51cto.com/blog/10037/5555

在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编辑你的profile文件（vi /etc/profile）,在"HISTFILESIZE="后面加入下面这行：
TMOUT=300
300，表示300秒，也就是表示5分钟。这样，如果系统中登陆的用户在5分钟内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。
改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。

solaris 里是ipf，linux是iptables.
ipf的配置文件 /etc/ipf/ipf.conf.用命令man ipf.conf查配置语法，下面给一个例子
block in log quick all with short
#block in log quick all with ipopts
block in on xl0 proto tcp from any to any port = 135
block in on xl0 proto tcp from any to any port = 139
block in on xl0 proto tcp from any to any port = 4444
block in on xl0 proto tcp from any to any port = 445
block in on xl0 proto tcp from any to any port = 67
block in on xl0 proto tcp from any to any port = 79
block in on xl0 proto tcp from any to any port = 16881
block in on xl0 proto udp from any to any port = 135
block in on xl0 proto udp from any to any port = 139
block in on xl0 proto udp from any to any port = 4444
block in on xl0 proto udp from any to any port = 445
block in on xl0 proto udp from any to any port = 67
#only kongzhong corp's mail server is allowed
block in on xl0 proto tcp from any to any port = 25
pass in on xl0 proto tcp from any to 61.135.154.8 port = 25
pass in on xl0 proto tcp from any to 61.135.154.50 port = 25
pass in on xl0 proto tcp from any to 61.135.154.185 port = 25
pass in on xl0 proto tcp from any to 218.247.170.213 port = 25
block in on xl0 proto tcp from any to any port = 3128