安全设置
2009-05-13 05:33:32来源:未知 阅读 ()
FreeBSD虽然已经足够强大、安全了,但还不是百分之百的安全,所以这篇文章还是有必要看的......
1、如何发现入侵
2、紧急处理需知
3、如何进行审核
目的
尽管BSD系列的操作系统发行版比大多数的系统就安全性而言都相对强健,但默认安装仍然存在许多脆弱点,同时它仍然有许多可以进一步加强的安全特性,因此本篇配置文档旨在让对unix操作系统有一定了解的人员能够通过阅读文档对照操作,将一台FreeBSD的服务器配置成安全脆弱性最小化的主机。本文档有一配套文档FreeBSD security checklist v1.0。
内容
一、必选配置选项
1、取消控制台信任设置
系统的控制台是一个非常重要的安全弱点所在的位置,因为一个使用者能接触控制台,那么就表示他得到管理人员的特殊信任。系统缺省赋予了控制台终端以较大的安全信任。此外,接触控制台还能从物理上访问系统硬件,包括重新启动系统、将硬盘窃取分析其中的数据等等。然而,物理安全等措施不是在这里要讨论的内容。
设置单用户模式启动需要密码验证
为了避免偶然的非法访问控制台造成的安全问题,所需要设置的第一件任务就是取消控制台的信任设置,这个设置位于/etc/ttys中。
su-2.05# cat /etc/ttys
---------------------snip----------------------
29 # If console is marked "insecure", then init will ask for the root password
30 # when going to single-user mode.
31 console none unknown off secure >/etc/syslog.conf
[root@redhat conf]#echo /var/log/firewall_logs 600 5 100 * Z>>/etc/newsyslog.conf
c-2.创建/etc/ipf.rule
[root@redhat /etc]# cat ipf.rules
---------------------snip----------------------
pass out quick on ed0 proto tcp from any to any keep state
pass out quick on ed0 proto udp from any to any keep state
pass out quick on ed0 proto icmp from any to any keep state
block out quick on ed0 all
pass in quick on ed0 proto udp from 192.168.168.130/32 to any port = 68 keep state
block return-rst in log quick on ed0 proto tcp from any to any
block return-icmp-as-dest(port-unr) in log quick on ed0 proto udp from any to any
block in log quick on ed0 all
---------------------snip----------------------
c-3.创建/etc/ipnat.rules
[root@redhat /etc]#cat ipnat.rules
map ed0 192.168.168.168.0/24 -> 0/32
3、加入hosts.allow及hosts.deny
FreeBSD缺省安装了TCP Wrappers,这是一个对网络服务访问进行控制很有用的工具。当inetd调用服务时,tcpd可以截获该调用并且对连接请求进行评价。在该过程中,tcpd把连接请求与各种规则相比。如果连接请求通过这些测试,tcpd启动申请的服务器,由服务器满足客户的请求。但如果连接不能通过tcpd的评价,连接被丢弃。要利用TCP Wrappers的连接评价能力,必须配置tcpd的配置文件/etc/hosts.deny与/etc/hosts.allow,下面是一个配置例子,具体细节看手册页。
第一步:编辑hosts.deny文件(vi /etc/hosts.deny)加入下面这些行:
Access is denied by default.
# Deny access to everyone.
ALL:
[email=ALL@ALL]ALL@ALL[/email]
, PARANOID #Matches any host whose name does not match its address, see bellow.
这样做的意思是:所有的服务、访问位置,如果没有被明确地允许,也就是在"/etc/hosts.allow"中找不到匹配的项,就是被禁止的。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:FreeBSD+ipfilter+squid配置实例
下一篇:IPFILTER详解
- ACL 疑问 2009-05-13
- 做完raid之后,系统无法启动,各位兄弟帮帮忙吧 2009-05-13
- freebsd系统共享上网问题! 2009-05-13
- nginx的index页设置问题!! 2009-05-13
- PC-BSD 7.1不能登录 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
