安全,技巧,FreeBSD

让FreeBSD更安全(Securing FreeBSD)
前几天我整理了过去的一些笔记，以及近几年收集的一些安全建议。我认为这可能对您有帮助，所以本
周我就暂停文档系列的文章，写一点关于使你的FreeBSD系统更安全的内容。
很明显，在这个领域我不可能用一篇文章全面地介绍所有的事情。另外，也不可能给出一个防止四海皆
准的，保证任何系统都安全的方案。
在我整理笔记的过程中，我注意到很多都是关于如何让FreeBSD服务器(如，Web服务器，邮件服务器，等
等)更安全的方法。如果你用FreeBSD做为个人系统，并希望完全的桌面功能的话，这就不太够用了。你
肯定不愿意因为某些强化安全的设置，造成某些功能无法使用，并在此后的一周内孤立无援地与计算机
进行搏斗，直到找到问题的所在。
因此，你将注意到，和许多其它安全教程不同，这份文档并不建议你修改FreeBSD系统中文件的权限。这
是有意的。除非你正在强化一台生产服务器的安全性，并且十分明白自己在做什么，否则绝不要修改文
件的权限。(如果你一定要做做实验的话，请在自己的home文件夹中作)。不然的话，一些东西可能就会
停止工作，例如，电子邮件，X Window系统，
调节阀
http://www.lehuipv.com/index.htm声音。怪事会
在不经意的时刻发生，让你头疼良久之后才意识到可能是一周前的某个权限设置造成的问题。
我们都知道Internet并不总是一个友好的地方，而且你可能也不想让另一个地方的人拥有与你一样的访
问许可权限。这意味着你可能不希望在没有某种防火墙的前提下访问Internet。幸运的是，你的FreeBSD
系统支持良种防火墙：ipfw 和 ipfilter。更令人振奋的是，通俗易懂的文档正在迅速增加。如果你不
在
电动阀门
http://www.lehuipv.com/ddfm.htm防火墙后面，那么请花一个周六下午的时间读一读如何在
你的系统上配置防火墙的文章，并操练一把。你将为此感到愉快，以下是一部分可用的资源：
man ipfw
FreeBSD Handbook: Section 10.7 -- Firewalls
Setting Up a Dual-Homed Host using IPFW and NATD
man ipf
IPFilter and PF resources
好的安全总是“层层设防”，这意味着如果一个机制失效了，仍然有备用的机制。即使你的系统已经受
到了防火墙的保护，你仍然需要禁用所有服务，除了那些绝对需要的。在桌面系统中，不需要很多的服
务。
用下面的命令可以查看哪些服务正在试图监听连接你的系统：
sockstat -4
输出的差别可能很大，这取决于在安装的最后阶段选择的软件，以及之后自行安装的port和package。
端口6000(X Window服务器)是输出中非常常见的；如果没看到它的话，启动一个X Window会话，然后重
新运行 sockstat -4。不幸的是，在过去的几年中有很多针对X Window的攻击。幸运的是，使用X并不需
要打开6000端口，不必担心，即使关闭了这个
气动阀门
http://www.lehuipv.com/qdfm.htm端口，仍然可
以使用图形界面！
许多方法可以关掉这个端口。我发现的最简单的方法是成为超级用户，并编辑 /usr/X11R6/bin/startx
。找到 serverargs 那一行，并把它改为类似下面的样子：
serverargs="-nolisten tcp"
保存修改之后，以普通用户身份运行X并执行 sockstat -4。如果没有打字错误，那么X会像往常那样启
动，但 sockstat -4 输出中不会再出现端口6000。
如果想了解6000端口打开的后果，请阅读 Crash Course in X Window Security。
好了，现在 sockstat -4 输出中的服务少了一个。我们还需要处理一下邮件：端口 25 (smtp) 和 587

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有