序言

一、系統和服務程序的安裝
1. 系統安裝
2. 服務程序安裝

二、系統安全設置
1. 用戶控制
2. 文件訪問控制
3. 系統服務和端口控制
4. 日志管理和控制
5. 文件指紋檢測
6. 系統指紋泄露和防范
7. 系統內核安全
8. 系統安全優化

三、服務程序的安全設置
1. Apache安全設置
2. PHP安全設置
3. Mysql安全設置
4. vsFTPd安全設置
5. SSH的安全設置

四、防火墻的安裝和設置
1. 安裝ipfw
2. 配置ipfw

五、Unix/Linux上的后門技術和防范
1. 帳號后門
2. shell后門
3. cron服務后門
4. rhosts后門
5. Login后門
6. Bind后門
7. 服務后門
8. rootkit后門
9. 內核后門
10. 其他后門

六、結束語

附錄


序言

在我們跑Web服務器的時候，大家可能都會一致認為使用Linux＋Mysql＋Apache＋PHP整個開源的系統是比較好的選擇，但是我個人認為這是不合理的，首先要根據你的應用來覺得你使用什么服務。假如你需要跑Oracle等大型應用的話，而且Oracle在Linux下是支持的比較好的，那么使用Linux是個好的選擇，因為在FreeBSD下安裝Oracle是個非常麻煩的事情。那么如果是跑普通的網站應用的話，我覺得使用FreeBSD＋ Mysql＋Apache＋PHP是個好的選擇，因為對于一個網站來講，穩定安全是第一位的，否則你的網站什么時候被人修改了都不知道怎么回事，或者被黑客入侵，把數據修改或者刪除，那就糟糕了，畢竟現在什么紅客、黑客的一堆，不能不防。當然，不是說Linux不安全，但是在Linux下集成了很多不安全的程序，導致了它的不安全，但如果設置的好，Linux一樣可以很安全。在中國網絡應急響應中心（http://www.cert.org.cn）這幾個月的數據來看，每個月被入侵成功最高的是Linux系統，占百分之六十多，然后過來是Windows系統，占百分之三十多，而FreeBSD的入侵比例是百分之幾。

任何系統都可以很安全，也可以很不安全，關鍵是管理員怎么做的，世界上沒有最安全的系統，只有更安全的系統。下面的文章就是
在FreeBSD平臺上構建一個比較安全的Web服務器，希望對網管和網絡安全愛好者能有一些啟發，權當拋磚引玉，希望能夠有更好闡述的文章。


一、系統和服務程序的安裝


1. 系統安裝

為了保證系統的安全，我們系統準備采用最新的FreeBSD版本，首先是安全，系統兼容性也比較好，這個主要是個人習慣和需求，為了簡單起見，這里我們選用了最新的FreeBSd5.3版本進行安裝。整個安裝過程我就不講了，如果不清楚的朋友可以參考FreeBSD中文手冊（http://www.freebsd.org.cn），整個過程不是很復雜，雖然沒有Windows/Linux的系統安全簡單，但是比起有些Unix的安裝來講是人性許多的。安裝中必須把基本包和內核源代碼都裝上，為了以后編譯內核方便，如果另外，如果喜歡使用ports安裝軟件的話，還要把ports裝上，但是盡量一些沒有必要的程序不要裝。如果要安裝 Webmin等，還要把perl等包裝上。系統文件拷貝完以后，會要求配置一些設置，比如把IP地址、名字服務器等設好，不要打開IPv6，不需要 DHCP等服務，不要系統默認的FTP服務，配置 /etc/inetd.conf 時把SSH服務打開，方便我們進行遠程管理，如果不想使用inetd這個超級服務來管理的話，可以關閉它，在/etc/rc.conf中添加 inetd_enable="NO"，然后設置sshd_enable="YES"一樣可以打開SSH服務，后面我們會詳細談到SSH的設置。

系統裝完后，在 /etc/inetd.conf 中把除了ssh之外的服務全部關閉，特別是telnet和rlogin等服務，一定要慎重，否則很可能每幾天系統就被入侵了。安裝完系統后，建議對系統進行升級，比如使用 make world 或 cvsup 把系統內核和ports進行升級。這個步驟和Windows裝完后打補丁差不多。


2. 服務程序安裝

系統裝完以后，就開始安裝我們的應用軟件，我們的方針還是最新的軟件是最安全的，比如能夠防止一些老版本中的溢出等等。我們基本就是要讓我們的系統有數據庫，同時能夠處理Web服務，同時能夠遠程對網站進行文件管理的FTP服務。我們基本選擇的程序都是比較通常的程序。另外，為了有個可視化的管理工具，我們同時也可以安裝一個基于瀏覽器的管理工具Webmin，方便沒有ssh客戶端等等的時候進行管理。

首先我們選用的Web服務是Apache httpd 2.0.53，這是目前的最新版本，當然你也可以考慮1.3的版本，主要是看個人習慣。我們網站是PHP程序編寫，所以要安裝PHP，版本是 4.3.11，也是最新的版本，如果你的網站程序需要PHP5的支持，那么可以下載php5.0.4。數據庫還是最快速的Mysql，選擇的版本是最新的 4.0.23，如果你需要外鍵、事務、子查詢、存儲過程等的支持，那么你可以考慮4.1和5.0的版本。最后我們的FTP選擇最安全的vsFTPd，因為它是最安全快速的，我在局域網中測試它的最高創數速率能夠達到10MB/S,proFTPd只有8MB/S，vsFTPd針對小型FTP服務器支持非常好，畢竟我用戶不多，幾個更新網站而已，當然，如果你喜歡簡單方便，也可以考慮使用FreeBSD自帶的FTPd，功能和易用性也是不錯的。如果你用戶比較多，并且功能要求比較高，建議使用proFTPd、pure-FTPd、wu-FTPd等，但有些FTPd不是非常安全，選擇時候一定要慎重考慮。

服務器程序列表：
Apache 2.0.53 下載地址：http://httpd.apache.org
PHP 4.3.11 下載地址：http://www.php.net
Mysql 4.0.23 下載地址：http://dev.mysql.com
vsFTPd 2.0.2 下載地址：http://vsftpd.beasts.org

反正最少的服務+最少的端口+安全的設置 = 最大的安全，盡量能夠不需要使用的服務就不要安裝，比如telnetd、rlogind等，那么相反會對服務器安全構成威脅。

安裝以上程序你可以采用手工編譯安裝，也可以采用FreeBSD的ports 來進行安裝，這看個人愛好，我個人比較喜歡使用手工安裝，如果不明白具體安裝的朋友可以參考我的Blog上關于安裝Apache+PHP+Mysql的方法。



二、系統安全設置


1. 用戶控制

盡量少的用戶，我們的FTP帳戶是和系統帳戶綁定在一起的，所以我們添加用戶的時候先建立一個目錄，然后把新建的用戶主目錄指向到該目錄下。假設我需要一個用戶能夠管理我的網站，而我網站的目錄是在 /usr/www 目錄下，那么我們新建立的用戶 www_user 的主目錄就指向 /usr/www 目錄，同時它的shell是沒有的：/usr/sbin/nologin ，主要是為了防止它通過ssh登陸到系統。同時FTP的密碼也要設置的非常復雜，防止黑客通過暴力破解獲得FTP權限。另外還要說道我們的root用戶的密碼，我想最少應該不要少于10位的數字＋字母＋字符的密碼（我的密碼是18位），否則是非常不安全的，如果密碼簡單，那么黑客通過短時間的暴力破解 SSH中的root帳戶，不用幾天，系統就可能被攻破了，同時也建議最少一個月更改一次root用戶的密碼。（強烈建議一般帳戶不要有登陸系統的權限，就是把shell設為/usr/sbin/nologin）
一般如果要使用root權限建議建立一個屬于wheel組的小用戶，然后登陸后通過su命令提升為root用戶進行管理，如果黑客通過破解了我們普通用戶的權限后登陸系統，也不能直接通過root權限進行管理，這是一種安全防范的簡單方法。


2. 文件訪問控制

有時候被黑客入侵后拿到了小權限用戶，比如傳了一個WebShell到系統中，那么對方很可能會把 /etc/passwd 等內容直接讀取出來，同時查看/etc/master.passwd中對加密后的root用戶的密碼hash進行破解，最后拿到密碼進行登陸系統。那么我們就要控制部分文件只有root能夠訪問，其他用戶無權訪問。比如uname，gcc等，如果黑客拿到小權限用戶后就會查看系統版本，然后找到該版本系統對應的溢出程序，使用gcc來進行編譯，如果我們能夠限制黑客訪問uname和gcc等程序，能在一定程度上減緩黑客入侵的腳步。
使用chmod來改變某個文件的權限信息，比如我要 /etc/passwd 和 /etc/master.passwd 文件只能允許root訪問：
使用八進制數字來設置
# chmod 700 /etc/passwd
# chmod 700 /etc/master.passwd
使用字符標記來進行設置
# chmod u+w+r+x,go-w-r-x /etc/passwd
# chmod u+w+r+x,go-w-r-x /etc/master.passwd
系統中有多個重要文件需要設置控制訪問權限，一定要控制好，否則將會構成重要威脅。


3. 系統服務和端口控制

端口開的越多就越給黑客多一個入侵的機會，服務越多，危險越大，因為你不知道那些服務是不是有潛在的漏洞或者又發現了新的漏洞，所以盡量少的服務，比如sendmail默認是打開的，那么些建議你把sendmail關閉，關閉防范是在 /etc/rc.conf中加上：
sendmail_enable = "NONE"，如果設為"NO"那么只能夠關閉掉pop3服務，不能關閉smtp的服務，所以要設置為"NONE"。
系統中最好除了我們能夠看到的Apache、Mysql、vsFTPd、SSH之外不要打開其他任何端口和服務?；镜姆绞绞鞘褂胣etstat -a 查看打開的端口，然后從對應的端口來找相關的服務，比如我們這里應該只允許開的端口有 21, 22, 80, 3306等，如果有其他端口，那么一定要仔細檢查，很可能是黑客的后門或者是會對系統安全構成威脅的服務。同時有些服務不需要****網絡連接的話，只是需要本地的連接，比如Mysql，那么就可以關閉Socket****，這個將在Mysql安全設置中講解，另外，可以通過防火墻來控制部分端口訪問和連接狀況，比如Mysql的3306端口只允許192.168.0.1訪問，那么我們就在ipfw里添加規則：
ipfw add 10001 allow tcp from 192.168.0.1 to 10.10.10.1 80 in
這樣就能夠防止黑客來訪問服務器上的Mysql服務。具體防火墻的設置將在下面“防火墻設置”中詳細講解。


4. 日志管理和控制 (未完)


5. 文件指紋檢測

文件指紋就是我們文件的基本信息，比如文件權限、文件所屬用戶/組、文件最后修改日期、文件大小等等，這些都是重要信息，一般黑客入侵后都可能修改文件，那么文件指紋就不一樣了。另外，文件的md5校驗值也屬于文件的指紋的一種。
為了防止黑客篡改系統中的部分核心文件，比如 /etc/passwd, /etc/shadow, /etc/inetd.conf 等等，那么我們就可以考慮把部分重要文件進行備份，同時做一份目前有的文件的一個指紋保留，比如把 /etc，/bin, /usr/bin 目錄下的文件進行指紋保留：
# ls -l /etc > /var/back/etc.txt
# ls -l /bin > /var/back/bin.txt
# ls -l /bin > /var/back/usrbin.txt
當然，還有就是給每個重要的文件加上md5校驗值，如果覺得不對勁的時候就進行匹配，保證文件的安全。
你可以給你覺得需要做指紋備份的目錄進行備份，一般這是為了以后被黑客入侵后的系統檢測和系統恢復。比如可以通過文件被修改的時間來確定是不是被入侵，比如可以對比看 /etc/inetc.conf文件和備份的文件有什么不同來確定是不是安裝了服務型后門等。


6. 系統指紋泄漏和防范 (未完)

一般黑客為了入侵某個系統，一定會先進行掃描等工作，掃描包括目標系統的端口開放情況和服務器使用服務程序和操作系統情況。比如很簡單的手工檢測Web服務的指紋：
# telnet target.com 80
那么就很可能返回Apache和PHP的版本信息，那么同時也可能使用掃描工具對Mysql、vsFTPd、SSH等服務的端口進行掃描，獲取這些服務的指紋。多暴露一份系統信息，那么系統就多一份危險。那么解決辦法就是把服務器上服務程序的Banner全部修改掉，從而能夠迷惑黑客。

下面簡單的說一些修改那些服務Banner的方法。

* Apache
修改httpd.conf文件,設置以下選項:
ServerSignature Off
ServerTokens Prod
上面的適用apache1***, apache 2.0這些都是默認 , 不過還是有server=Apache字樣, 若要完全去掉需重新亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb