FreeBSD下构建安全的Web服务器

(说明：本文已首发在安全焦点，可以参考一下链接http://www.xfocus.net/articles/200506/808.html)
* 作者：heiyeluren
* 创建：2005-04-10 20:38
* 修改：2005-05-14 23:25
* 邮箱：heiyeluren_at_163.com
* 主页：http://www.unixsky.net
* 博客：http://blog.csdn.net/heiyeshuwu
::目录::
序言
一、系统和服务程序的安装
1. 系统安装
2. 服务程序安装
二、系统安全设置
1. 用户控制
2. 文件访问控制
3. 系统服务和端口控制
4. 日志管理和控制
5. 文件指纹检测
6. 系统指纹泄露和防范
7. 系统内核安全
8. 系统安全优化
[@more@]
三、服务程序的安全设置
1. Apache安全设置
2. PHP安全设置
3. Mysql安全设置
4. vsFTPd安全设置
5. SSH的安全设置
四、防火墙的安装和设置
1. 安装ipfw
2. 配置ipfw
五、Unix/Linux上的后门技术和防范
1. 帐号后门
2. shell后门
3. cron服务后门
4. rhosts后门
5. Login后门
6. Bind后门
7. 服务后门
8. rootkit后门
9. 内核后门
10. 其他后门
六、结束语
附录
序言
在我们跑Web服务器的时候，大家可能都会一致认为使用Linux＋Mysql＋Apache＋PHP整个开源的系统是比较好的选择，但是我个人认为这是不合理的，首先要根据你的应用来觉得你使用什么服务。假如你需要跑Oracle等大型应用的话，而且Oracle在Linux下是支持的比较好的，那么使用Linux是个好的选择，因为在FreeBSD下安装Oracle是个非常麻烦的事情。那么如果是跑普通的网站应用的话，我觉得使用FreeBSD＋Mysql＋Apache＋PHP是个好的选择，因为对于一个网站来讲，稳定安全是第一位的，否则你的网站什么时候被人修改了都不知道怎么回事，或者被黑客入侵，把数据修改或者删除，那就糟糕了，毕竟现在什么红客、黑客的一堆，不能不防。当然，不是说Linux不安全，但是在Linux下集成了很多不安全的程序，导致了它的不安全，但如果设置的好，Linux一样可以很安全。在中国网络应急响应中心（http://www.cert.org.cn）这几个月的数据来看，每个月被入侵成功最高的是Linux系统，占百分之六十多，然后过来是Windows系统，占百分之三十多，而FreeBSD的入侵比例是百分之几。
任何系统都可以很安全，也可以很不安全，关键是管理员怎么做的，世界上没有最安全的系统，只有更安全的系统。下面的文章就是
在FreeBSD平台上构建一个比较安全的Web服务器，希望对网管和网络安全爱好者能有一些启发，权当抛砖引玉，希望能够有更好阐述的文章。
一、系统和服务程序的安装
1. 系统安装
为了保证系统的安全，我们系统准备采用最新的FreeBSD版本，首先是安全，系统兼容性也比较好，这个主要是个人习惯和需求，为了简单起见，这里我们选用了最新的FreeBSd5.3版本进行安装。整个安装过程我就不讲了，如果不清楚的朋友可以参考FreeBSD中文手册（http://www.freebsd.org.cn），整个过程不是很复杂，虽然没有Windows/Linux的系统安全简单，但是比起有些Unix的安装来讲是人性许多的。安装中必须把基本包和内核源代码都装上，为了以后编译内核方便，如果另外，如果喜欢使用ports安装软件的话，还要把ports装上，但是尽量一些没有必要的程序不要装。如果要安装Webmin等，还要把perl等包装上。系统文件拷贝完以后，会要求配置一些设置，比如把IP地址、名字服务器等设好，不要打开IPv6，不需要DHCP等服务，不要系统默认的FTP服务，配置 /etc/inetd.conf 时把SSH服务打开，方便我们进行远程管理，如果不想使用inetd这个超级服务来管理的话，可以关闭它，在/etc/rc.conf中添加inetd_enable="NO"，然后设置sshd_enable="YES"一样可以打开SSH服务，后面我们会详细谈到SSH的设置。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有