我們都知道Internet并不總是一個友好的地方,而且你可能也不想讓另一個地方的人擁有與你一樣的訪問許可權限�。這意味著你可能不希望在沒有某種防火墻的前提下訪問Internet。幸運的是�,你的FreeBSD系統(tǒng)支持良種防火墻:ipfw 和 ipfilter���。更令人振奮的是���,通俗易懂的文檔正在迅速增加。如果你不在防火墻后面����,那么請花一個周六下午的時間讀一讀如何在你的系統(tǒng)上配置防火墻的文章,并操練一把����。你將為此感到愉快,以下是一部分可用的資源:
man ipfw
FreeBSD Handbook: Section 10.7 — Firewalls
Setting Up a Dual-Homed Host using IPFW and NATD
man ipf
IPFilter and PF resources
好的安全總是“層層設防”����,這意味著如果一個機制失效了�,仍然有備用的機制����。即使你的系統(tǒng)已經(jīng)受到了防火墻的保護����,你仍然需要禁用所有服務�,除了那些絕對需要的。在桌面系統(tǒng)中���,不需要很多的服務。
用下面的命令可以查看哪些服務正在試圖監(jiān)聽連接你的系統(tǒng):
sockstat -4
輸出的差別可能很大�,這取決于在安裝的最后階段選擇的軟件,以及之后自行安裝的port和package�。
端口6000(X Window服務器)是輸出中非常常見的;如果沒看到它的話����,啟動一個X Window會話,然后重新運行 sockstat -4����。不幸的是,在過去的幾年中有很多針對X Window的攻擊�。幸運的是,使用X并不需要打開6000端口���,不必擔心�,即使關閉了這個端口,仍然可以使用圖形界面�!
許多方法可以關掉這個端口。我發(fā)現(xiàn)的最簡單的方法是成為超級用戶����,并編輯 /usr/X11R6/bin/startx���。找到 serverargs 那一行�,并把它改為類似下面的樣子:
serverargs=”-nolisten tcp”
保存修改之后����,以普通用戶身份運行X并執(zhí)行 sockstat -4。如果沒有打字錯誤���,那么X會像往常那樣啟動���,但 sockstat -4 輸出中不會再出現(xiàn)端口6000。
如果想了解6000端口打開的后果����,請閱讀 Crash Course in X Window Security。
好了���,現(xiàn)在 sockstat -4 輸出中的服務少了一個。我們還需要處理一下郵件:端口 25 (smtp) 和 587 (submission)�。收發(fā)郵件并不需要 587 端口,為了關閉它�,我們需要修改 /etc/mail/sendmail.cf�。查找這一行:
O DaemonPortOptions=Port=587, Name=MSA, M=E
然后在前面加上 # ,并告訴 sendmail 變化:
killall -HUP sendmail
-HUP 不會殺掉 sendmail���,但他會告訴sendmail重新處理 /etc/mail/sendmail.cf�。重復sockstat -4 �,它將不再顯示 587。
那么端口25呢����?你可能需要,也可能不需要打開這個端口,這取決于使用什么樣的郵件程序來收發(fā)郵件���。對于運行 FreeBSD 4.6-RELEASE 或更高版本的系統(tǒng),在/etc/rc.conf中增加下面的行:
sendmail_enable=”NO”
將告訴 sendmail 只監(jiān)聽 localhost����,這允許所有的郵件客戶程序發(fā)送郵件。如果你知道你的郵件客戶程序帶有內(nèi)置的SMTP代理���,或者喜歡冒險���,那么可以嘗試一下:
sendmail_enable=”NONE”
這將徹底關閉25端口�。檢查一下這是否讓你無法發(fā)送郵件是很重要的����,確保已經(jīng)關掉了所有應用程序����,隨后,以超級用戶身份執(zhí)行:
shutdown now
收到提示后按回車���、exit�。重新登錄后給自己發(fā)一封郵件,如果收不到����,那么把NONE改回NO。
如果你的”sockstat”顯示端口111打開����,那么把下面幾行加到 /etc/rc.conf (或者����,如果已經(jīng)有這些行,把 YES 改為 NO):
nfs_server_enable=”NO”
nfs_client_enable=”NO”
portmap_enable=”NO”
Portmap只有在運行NFS時才是必需的�,而這往往不是FreeBSD桌面系統(tǒng)的需要���。歷史上它有過很多安全問題���,因此除非你絕對需要它,否則就別用�。
syslog (端口 514) 也可能出現(xiàn)在你的輸出結(jié)果中���。我們可能并不希望完全關掉 syslog ���,因為它提供的消息記錄是我們需要的�。但我們并不需要為此打開端口���。在 /etc/rc.conf 文件中增加下面的選項:
syslogd_enable=”YES”
syslogd_flags=”-ss”
標志中的ss (確認用了兩個s���,而不是一個) 將禁止來自遠程主機的記錄并關閉端口,但仍然允許 localhost 進行日志記錄����。
隨后�,確認 /etc/rc.conf 中inetd_enable不是YES����。如果sockstat輸出中有inetd���,那么/etc/inetd.conf中肯定有什么項目沒有被注釋掉�,如果不需要的話����,那么把那一行前面加上#,并 killall inetd�。
如果需要使用DHCP自動獲取地址,那么請保持dhclient (udp 6打開���,否則將不能刷新地址����。
如果在 sockstat 輸出中發(fā)現(xiàn)了其他東西����,那么請看看 man rc.conf 里面有沒有關于如何關掉這些東西的提示����。如果沒有的話���,那么很可能是某個啟動腳本啟動了一些服務程序����,請執(zhí)行:
cd /usr/local/etc/rc.d
來看看你的系統(tǒng)中的啟動腳本���。絕大多數(shù) packages/ports 會安裝一個擴展名為sample的示范腳本用于啟動服務�,這些腳本并不被執(zhí)行�;也有一些直接安裝能夠執(zhí)行的腳本,它們會在計算機啟動的時候加載���。禁止某個腳本知性最簡單的方法是把它的擴展名改為sample,隨后殺掉守護程序���,這樣sockstat就不會再說什么了�。 舉例來說���,我最近安裝了 ethereal 結(jié)果發(fā)現(xiàn) snmpd 出現(xiàn)在 sockstat -4 的輸出中,這個程序在安全方面名聲不佳�,因此我把自己升級為root并執(zhí)行了下面的命令:
cd /usr/local/etc/rc.d
mv snmpd.sh snmpd.sh.sample killall snmpd
你可能會希望把下面的選項加入 /etc/rc.conf :
tcp_drop_synfin=”YES”
這個選項可以挫敗諸如OS指紋識別的企圖(譯注:這個選項對最新的nmap無效)���。如果你打算開啟這個選項,那么�,還需要在內(nèi)核編譯配置文件中加入:
options TCP_DROP_SYNFIN
還有兩個相關的選項:
icmp_drop_redirect=”YES”
icmp_log_redirect=”YES”
ICMP 重定向可以被利用完成DoS攻擊。這篇 ARP and ICMP redirection games article 介紹了具體的一些情況�。
在打開 icmp_log_redirect 選項時請務必小心�,因為它會記錄每一個ICMP重定向 ���,如果你遭到了這樣的攻擊���,那么日志很可能會塞滿記錄。
建好防火墻之后���,請考慮加入下面的選項:
log_in_vain=”YES”
這個選項會記錄每一個到關閉端口的連接企圖。另一個比較有意思的選項是:
accounting_enable=”YES”
這將打開系統(tǒng)審計功能���,如果你不熟悉他們�,那么請閱讀 man sa 和 man lastcomm ���。
最后,下面的選項可能非常有用:
clear_tmp_enable=”YES”
因為它在系統(tǒng)啟動時將清空 /tmp ����,這永遠是一件值得去做的事情���。
讓我們來研究一下其他能夠加強安全的設置���。我比較喜歡把默認的口令加密算法改為Blowfish����,因為它在提供最佳安全性的前提下�,也提供了最快的速度。這里有一份 comparison of algorithms[幾種密碼學算法的比較]���。
當然����,如果你對這類東西感興趣的話�,看看 Cryptogram newsletter ,它是Blowfish作者寫的���。
為了啟用 Blowfish 散列����,編輯 /etc/login.conf 并把 passwd_format 一行改成下面這樣:
:passwd_format=blf:/
保存設置����,重新創(chuàng)建登錄數(shù)據(jù)庫:
cap_mkdb /etc/login.conf
隨后需要修改每一個用戶的口令���,以便讓這些口令都使用 Blowfish 散列值����。以超級用戶的身份執(zhí)行下面的命令:
passwd username
需要修改所有用戶的口令�,包括root自己����。
完成了這些操作之后,重新檢查一下確認自己沒有遺漏什么:
more /etc/master.passwd
所有用戶的口令應該以$2.開始
最后���,重新配置 adduser 程序,讓它在以后使用Blowfish���。修改 /etc/auth.conf����,找到 crypt_default 一行����,改為:
crypt_default=blf
你可能已經(jīng)注意到�,每次登錄的時候FreeBSD都會提示你�,你在用的那個系統(tǒng)是FreeBSD���,以及它的版權信息,包括內(nèi)核的編譯時間����,等等����。這些信息可能有用,但相當煩人�,特別是當別人可以登錄的時候,它可能會暴露一些你不希望暴露的信息���。
可以通過編輯 /etc/motd 來阻止計算機說出一些不該說的東西,或者宣揚你的一些想法����,包括你喜歡看的 sci-fi 文摘���,或者其他一些——總之你想寫什么就寫什么���。
隨后���,刪除版權信息:
touch /etc/COPYRIGHT
隨后���,還可以修改登錄提示,編輯 /etc/gettytab. 找到 default:/ 小節(jié)�,它以下面的文字開頭:
:cb:ce:ck:lc
小心地修改 /r/n/ /r/n/r/nr/n: 之間的文字來適應自己的需要����。請仔細檢查 /r 和 /n 的數(shù)量���,并保存修改���。例如,我的登錄提示是這樣的:
I’m a node in cyberspace. Who are you?
login:
可以在其他終端上嘗試登錄����,以確認正確性。
最后���,即使你已經(jīng)修改了motd并從中刪除了內(nèi)核版本信息�,默認情況下FreeBSD仍然會在啟動之后把這些東西加入 /etc/motd ����。因此需要修改 /etc/rc.conf 并加入下面的設置:
update_motd=”NO”
這個設置需要重新啟動才會生效����。
此外����,限制登錄也是非常重要的。因為這些變動會改變 login 程序的行為���,因此需要非常謹慎。比較好的習慣是保持一個以root身份登錄的終端����,用其他終端嘗試。這樣如果由于某種原因造成問題���,你仍然可以改正����。
包括你自己在內(nèi)的任何人都不應該直接以root身份登錄�。修改 /etc/ttys。你將注意到 ttyv0 到 ttyv8的一系列設置。把后面的 secure 改為 insecure���。注意,這個文件肯定是你不希望有任何錯誤的一個文件���,因此請仔細地進行測試����。如果設置正確����,root登錄將收到 “Login incorrect” ���。
我個人傾向于使用所有的9個終端。如果你不打算這樣,請把對應的 “on” 改為 “off” ���,當然,只是一部分 ttys ����。切記保持至少1個 “on,” 否則你會無法登錄,這將導致系統(tǒng)無法使用����。ttyv8 默認情況下是 “off” ����,這意味著你需要手動打開X,如果希望自動啟動����,那么把它改為”on.”。
最后一個我想說的限制是阻止從其他地方登錄�,這是通過編輯 /etc/login.access 實現(xiàn)的���。
你可能希望禁止一切遠程登錄(這意味著你必須物理地坐在機器前面)����,刪除下面這一行前面的#號:
#-:wheel:ALL EXCEPT LOCAL .win.tue.nl
把 .win.tue.nl 去掉�,于是它看起來將像這樣:
-:wheel:ALL EXCEPT LOCAL
如果你需要從遠程登錄�,那么把.win.tue.nl 替換為相應的IP或域名。如果有多個地址���,用空格分開。
如果只有一兩個用戶的話����,那么可以拒絕其他人登錄:
-:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4
用具體的用戶名替換掉 user1 user2 ���。如果需要的話,增加相應的tty�。
另外�,也可以把用戶組方在這里。首先�,編輯 /etc/group 并增加下面的行:
mygroup:*:100:genisis,dlavigne6,biko
當增加組時,需要保證GID的唯一性���。
隨后����,修改 /etc/login.access :
-:ALL EXCEPT mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5
測試它非常重要�,一定要留一個終端����。測試每一個終端上的登錄,確認其效果���。
FreeBSD安裝系統(tǒng)后的基本安全設置
編輯/etc/rc.conf。增加以下內(nèi)容
#ee /etc/rc.conf
#關閉掉syslog使用的端口
syslogd_enable="YES"
syslogd_flags="-ss"
#挫敗OS指紋識別(需要在內(nèi)核中加入options TCP_DROP_SYNFIN)
tcp_drop_synfin="YES"
#ICMP重定向
icmp_drop_redirect="YES"
icmp_log_rediretc="YES"
#記錄每一個企圖到關閉端口的連接
log_in_vain="YES"
#系統(tǒng)審計功能
accounting_enable="YES"
#開機自動清空/tmp
clear_tmp_enable="YES"
#禁用內(nèi)核信息提示
update_motd="NO"
#關閉nfs服務
nfs_server_enable="NO"
nsf_client_enable="NO"
portmap_enable="NO"
#關閉sendmail
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
#開啟磁盤配額
enable_quotas="YES"
check_quotas="YES"
刪除登陸時的信息提示
#rm /etc/motd
#touch /etc/motd
#touch /etc/COPYRIGHT
#ee /etc/gettytab
default:/
:cb:ce:ck:lc:fd#1000:im=/r/在這里修改成你需要的文字/r/n/r/n:sp#1200:/
:if=/etc/issue:
禁止一般用戶查看系統(tǒng)日志
# chmod g-w,o-r /var/log/*
# chmod 600 /etc/syslog.conf
# chmod 600 /etc/newsyslog.conf
為了防止cracker利用rootkit工具通過后門進入系統(tǒng)���,
# chflags schg /bin/*
# chflags schg /sbin/*
把系統(tǒng)的核心的運行層次設置為最安全的層次
# sysctl -w kern.securelevel=2
禁止一般用戶使用crontab
# echo root > /var/cron/allow
# chmod 600 /var/cron/allow
修改/etc/sysctl.conf,增加以下內(nèi)容
#ee /etc/sysctl.conf
#防止ICMP廣播風暴
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
#限制系統(tǒng)發(fā)送ICMP速率
net.inet.icmp.icmplim=100
#安全參數(shù),編譯內(nèi)核的時候加了options TCP_DROP_SYNFIN才可以用
net.inet.icmp.icmplim_output=0
net.inet.tcp.drop_synfin=1
#設置為1會幫助系統(tǒng)清除沒有正常斷開的TCP連接,這增加了一些網(wǎng)絡帶寬的使用,但是一些死掉的連接最終能被識別并清除���。死的TCP連接是被撥號用戶存取的系統(tǒng)的一個特別的問題,因為用戶經(jīng)常斷開modem而不正確的關閉活動的連接
net.inet.tcp.always_keepalive=1
#若看到net.inet.ip.intr_queue_drops這個在增加����,就要調(diào)大net.inet.ip.intr_queue_maxlen,為0最好
net.inet.ip.intr_queue_maxlen=0
#防止DOS攻擊��,默認為30000
net.inet.tcp.msl=7500
#接收到一個已經(jīng)關閉的端口發(fā)來的所有包�,直接drop���,如果設置為1則是只針對TCP包
net.inet.tcp.blackhole=2
#接收到一個已經(jīng)關閉的端口發(fā)來的所有UDP包直接drop
net.inet.udp.blackhole=1
#為網(wǎng)絡數(shù)據(jù)連接時提供緩沖
net.inet.tcp.inflight.enable=1
#如果打開的話每個目標地址一次轉(zhuǎn)發(fā)成功以后它的數(shù)據(jù)都將被記錄進路由表和arp數(shù)據(jù)表,節(jié)約路由的計算時間,但會需要大量的內(nèi)核內(nèi)存空間來保存路由表
net.inet.ip.fastforwarding=0
#kernel編譯打開options POLLING功能���,高負載情況下使用低負載不推薦SMP不能和polling一起用
#kern.polling.enable=1
#并發(fā)連接數(shù),默認為128���,推薦在1024-4096之間,數(shù)字越大占用內(nèi)存也越大
kern.ipc.somaxconn=32768
#禁止用戶查看其他用戶的進程
security.bsd.see_other_uids=0
#設置kernel安全級別
kern.securelevel=0
#記錄下任何TCP連接
net.inet.tcp.log_in_vain=1
#記錄下任何UDP連接
net.inet.udp.log_in_vain=1
#防止不正確的udp包的攻擊
net.inet.udp.checksum=1
#防止DOS攻擊
net.inet.tcp.syncookies=1
#僅為線程提供物理內(nèi)存支持���,需要256兆以上內(nèi)存
#kern.ipc.shm_use_phys=1
# 線程可使用的最大共享內(nèi)存
kern.ipc.shmmax=67108864
# 最大線程數(shù)量
kern.ipc.shmall=32768
# 程序崩潰時不記錄
kern.coredump=0
# lo本地數(shù)據(jù)流接收和發(fā)送空間
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
# 數(shù)據(jù)包數(shù)據(jù)段大小,ADSL為1452���。
net.inet.tcp.mssdflt=1452
# 為網(wǎng)絡數(shù)據(jù)連接時提供緩沖
net.inet.tcp.inflight_enable=1
# 數(shù)據(jù)包數(shù)據(jù)段最小值���,ADSL為1452
net.inet.tcp.minmss=1460
# 本地數(shù)據(jù)最大數(shù)量
net.inet.raw.maxdgram=65536
# 本地數(shù)據(jù)流接收空間
net.inet.raw.recvspace=65536
更改默認的加密算法為Blowfish
為了啟用 Blowfish 散列,編輯 /etc/login.conf 并把 passwd_format 一行改成下面這樣:
:passwd_format=blf:/
保存設置��,重新創(chuàng)建登錄數(shù)據(jù)庫:
#cap_mkdb /etc/login.conf
隨后需要修改每一個用戶的口令����,以便讓這些口令都使用 Blowfish 散列值���。以超級用戶的身份執(zhí)行下面的命令:
#passwd username (username為你的用戶名)
需要修改所有用戶的口令,包括root自己��。
完成了這些操作之后���,重新檢查一下確認自己沒有遺漏什么:
#more /etc/master.passwd
所有用戶的口令應該以$2.開始
最后,重新配置 adduser 程序����,讓它在以后使用Blowfish�����。修改 /etc/auth.conf,找到 crypt_default 一行��,改為:
crypt_default=blf
