关于 solaris8系统安全！

xq2004

在sun 280R 上solaris8系统打完8_Recommended补丁集后，是否其它安全补丁就不用装了？？？？？
补丁打完后有如下提示。

The following patches were not able to be installed:
        110458-02
        109898-05
        110075-01
        110901-01
        111234-01
        112138-01
        109470-02
        109951-01
        111071-01
        111232-01
        110939-01
        111548-01
        111504-01
        111069-01
        110957-02
        111879-01
        114152-01
        109778-16
        109149-02
        109695-03
        110416-03
        111647-01
        112039-01
        114045-10
        111310-01
        109883-02
        108989-02
        109238-02
        109894-01
        112390-08
        111327-05
        108985-03

For more installation messages refer to the installation logfile:
  /var/sadm/install_data/Solaris_8_Recommended_log

Use '/usr/bin/showrev -p' to verify installed patch-ids.
Refer to individual patch README files for more patch detail.
Rebooting the system is usually necessary after installation.

系统上现在只开放telnet /ftp /netscape message server 服务
sendmail 服务已经被K。

谁知道netscape message server 要用到哪些端口！
已经知道有
21
23
80
110
25
在路由器上还要开放哪些端口才可以正常收发邮件？？？
现在已经把邮件服务器ip的所有端口映射到了外网。
现在希望只对外映射所需要用到的端口·

elk

21,23最好关掉

xq2004

21,23端口上得服务都可以通过修改inetd.conf文件关闭。
可是如果关掉23端口就不能远程维护。
如果需要远程down机就很麻烦！

先前就是因为机房ups电用完后，sun280r 总是正常down机，所以系统崩溃过一次了。后来重新装的。系统是完全安装。所以不知道其安全性如何。

系统重做时装了两遍，第一遍时把系统装完后没有打上面那个补丁集，把netscape message server 邮件服务装好后，系统稳定运行了一天半后，所有服务均告停止！
：（不能收发邮件，不能用telnet登录,不能ftp ，就连在主机接上显示器后，系统居然也不正常，图形界面时黑屏，只能看到鼠标！
：（

重新启动后各服务可以起来了·
但是图形界面登录后就全是黑屏！只能看到鼠标！！！！
痛苦之下有安装了一遍系统，用了近3个小时把上面那个补丁集装打上，然后重新安装配置nms邮件服务！
搞不明白！solaris8系统如果不打补丁，这么脆弱？？？？很容易被别人黑？？？？？一天半都不到.
唉！痛苦，我这个新手真是郁闷之极！！！！
只好在路由器上下点工夫，只对外开放有用端口！其他端口都pass掉！但现在连

只好暂时作罢！

melonm

为安全起见，最好用ssh代替telnet和ftp，ssh用端口22。ssh装好之后，路由器上只需要映射邮件服务器的端口22,25和110。如果需要在防火墙之外进行用到80的web管理的话，可以用ssh的port forwarding来做，也就是说，port80可以用port 22建一个tunnel来做了。

管理主机80-(ssh)->;22---->;22路由器--(port mapping)-->;邮件服务器22-(ssh)->;邮件服务器80。

实际上如果所有邮件客户端都使用ssh的话，port 25和110也都可以这么做，防火墙只需要要开port 22，但现实中这比较极端（除非是私家网络）。

对Solaris来说，打了Recommended Patch之后就要需要再装Security Patch了。

xq2004

但是 nms邮件服务系统很怪！不知道它的工作原理是如何的，所以无法找到它真正在网络上开放的端口。
在路由器上针对邮件服务器只开放了80,25,110,23等端口后！通过web方式竟然不能登录进入邮件系统。
检查路由器设置，一点问题都没有。
然后又在路由器上设置对外开放所有端口。这时，通过web就可以登录进入邮件系统了！所以关键是我还没找到nms服务所占用的端口。
80 web
25 smtp
110 pop3
23 telnet
如果是其他邮件系统，通过开放上述端口都可以从外部正常访问的。


关于用ssl代替telnet 的好处我觉得就是改变了服务的端口号和进行了一些验证算法。不大会用。

打安全补丁我觉得是一直都应该做的，只是在sun的网站上不知道该装哪些安全补丁,不知是否也是补丁集的形式 ，能够自动安装？
谢谢楼主提点！

xq2004

http://gceclub.sun.com.cn/NASApp/sme/controller/bottomresource?cat_id=02040301#

在sun 网站上只看到有8_Recommended补丁包，它好象也包含了一些安全补丁，如过要另外在打补丁？？？？都需要什么补丁！哪里有的下。
我在sun网站上也转了一圈，没找到其它关于安全方面的补丁！（比较苯）
哪里有这样的补丁？？？？
一直想找些可信度高的补丁程序，不敢打来历不明的补丁程序！！！！
因为我在也不想重装这个邮件系统了！！！！
不然用户又会把我扔下楼去.......
那可有的受了！
：）