FreeBSD基本安全加固

FreeBSD基本安全加固:
1.修改 /etc/rc.conf:
sendmail_enable="NONE"   //关闭sendmail
syslogd_enable="YES"     //开户syslogd
syslogd_flags="-ss"      //禁止syskogd接受来自远程主机的记录并关闭端口，但仍然允许 localhost 进行日志记录
tcp_drop_synfin="YES"    //阻止OS指纹识别的企图,需在内核中加入" options  TCP_DROP_SYNFIN "
log_in_vain="YES"        //记录每一个到关闭端口的连接企图,这个最好是在启用了防火墙功能之后再打开.
accounting_enable="YES"  //打开系统审计功能
clear_tmp_enable="YES"   //在系统启动时将清空 /tmp
icmp_drop_redirect="YES"  //丢弃ICMP重定向。可以防止DOS攻击或劫持进程
icmp_log_redirect="YES"   //记录ICMP重定向
fsck_y_enable="YES"      //计算机启动时候发现文件系统失效，将以-y参数运行fsck
update_motd="NO"         //防止系统自动加入信息到motd
sendmail_enable="NONE"
syslogd_enable="YES"
syslogd_flags="-ss"
tcp_drop_synfin="YES"
log_in_vain="YES"
accounting_enable="YES"
clear_tmp_enable="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
fsck_y_enable="YES"
update_motd="NO"
修改/etc/sysctl.conf文件，调整IP堆栈
net.inet.icmp.bmcastecho=0   #关闭对广播类型的响应，过滤ICMP响应后，服务器无法ping 通，可以提高部分安全性能
net.inet.udp.checksum=1      #对UDP包的校验和进行计算，防止不正确的UDP包的攻击
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
#在默认情况下，操作系统在关闭的端口上接受到TCP SYN段的时候，会发送RST信息包，告诉攻击者这个端口关闭了，导致攻击者继续扫描下一个端口，使端口扫描简单化，浪费了本机CPU时间在DOS上。我们可以使用blackhole来控制对没有socket监听的TCP或者UDP端口接受到连接请求时的行为。
#当设置这个选项后，系统将马上丢弃这个包而不发RST包，连接端将看到"Connection reset by peer."
2.限制远程登录的终端数量:
修改 /etc/ttys,如果不想打开太多的终端，请把对应的 "on" 改为 "off" ,当然，只是一部分 ttys .保持至少1个 "on," 否则会无法登录，这将导致系统无法使用.ttyv8 默认情况下是 "off" .
3.限制远程登录地址和用户:
限制远程登录，可以通过编辑 /etc/login.access 实现的:
如果禁止一切远程登录（这意味着必须物理地坐在机器前面），删除下面这一行前面的#号：
#-:wheel:ALL EXCEPT LOCAL .win.tue.nl
并把 .win.tue.nl 去掉，于是它看起来将像这样：
-:wheel:ALL EXCEPT LOCAL
如果你需要从远程登录，那么把.win.tue.nl 替换为相应的IP或域名。如果有多个地址，用空格分开。
如果只有一两个用户的话，那么可以拒绝其他人登录：
-:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4
用具体的用户名替换掉 user1 user2 。如果需要的话，增加相应的tty。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有