FreeBSD handbook中文版 2 開始安裝FreeBSD(2)
2024-07-26 00:29:07
供稿:網友
作者:iceblood
E-Mail: iceblood@163.com
寫作日期:2002-03-03
FreeBSD在網絡服務器的領域里占有一席之地�����,不管是在高端應用,還是小型企業里�����,
使用FreeBSD做服務器都是不錯的選擇�����,但是如何才能建立一個安全的網絡呢�����?
首先我們來做一個這樣的假設�����,某公司有兩臺服務器,需要建立一個以FreeBSD為平臺
的網關�����,并且還能提供電子郵件�����、DNS�����、WEB等服務�����,看起來好象這是一個很簡單的事情�����,
然而要建立一個安全性高的卻不簡單�����,在此我將為大家介紹如何去做�����,首先我憑著自己
對FreeBSD的熟練程度,做了以下設計:
Internet
____|____
| |
| Gateway |
---------
|
____________|______________
___|____ ____|____
| | | |
| LAN | | WWW |
---------- ----------
以上是我為該公司設計的網絡結構圖�����,首先我們來分析一下這個圖�����,由于Gateway是一個
與Internet直接連接的服務器�����,糟受的攻擊自然也是最多的�����,所以也是最危險了�����。而且
由于該服務器擔任著公司的網關�����,該服務器只要一出問題�����,也將影響到全公司�����。為了穩
定性�����、安全性�����,我考慮該服務器要跑的服務越少越好�����。服務越少�����,那么漏洞出現的可能
性也越少�����。而WWW服務器由于放在了Gateway里面,受Gateway的保護�����,所以一般來說遭受
的攻擊比較少�����,所以一般可以滿足足夠多的服務�����,但是這些服務怎么樣才能讓Internet
上的人訪問呢�����?這就會在下面我們詳細介紹了�����。
首先我們來安裝Gateway�����,Gateway要使用的Internet的ip為x.x.x.x網卡為xl0�����,內部IP
為192.168.0.1網卡為xl1,由于Gateway起到網關的作用�����,所以為了安全性�����,在該服務器
上做安全是非常重要的�����,FreeBSD有自帶了一個ipfirewall防火墻�����,既然有�����,我們當然要
利用上了�����,首先編譯內核:
cd /sys/i386/conf
cp GENERIC ./kernel_IPFW
用編輯器打開kernel_IPFW這個文本文件,在該文件里加入以下內容:
optionsIPFIREWALL //通知操作系統的內核檢查每個IP數據包�����,將它們與規則
集進行比較
optionsIPDIVERT //啟用由ipfw divert使用的轉向IP套接字�����。這一選項需要
與natd聯合使用�����。
optionsIPFIREWALL_VERBOSE //向系統的注冊程序發送注冊信息包�����。
optionsIPFIREWALL_VERBOSE_LIMIT=100 //限制一臺機器注冊的次數�����。
optionsIPSTEALTH //啟動支持秘密轉發的代碼�����,這一選項在使防火墻不被
traceroute和類似工具發現時很有用�����。
optionsACCEPT_FILTER_DATA
optionsACCEPT_FILTER_HTTP //接受過濾器中的靜態連接
optionsICMP_BANDLIM //ICMP_BANDLIM根據帶寬限制產生icmp錯誤�����。一般情況
下我們需要這個選項�����,它有助于你的系統免受D.O.S.攻擊�����。
把以上參數加入以后保存kernel_IPFW文件�����。
make depend
cd ../../compile/kernel_IPFW
make
make install
(注意?����。�����。。�����?����!請不要使用遠程方式來設置服務器�����!為什么�����?等下你就能知道了�����。)
以上完成以后�����,你就可以重新啟動系統使用新的內核了�����。
使用新內核以后�����,如果該系統本來是連在網絡上的�����,那么這時他的網絡部分已經完全
喪失�����,這表示系統新的內核已經起作用了�����,防火墻也起作用了�����,但由于FreeBSD的防火
墻默認情況下是不允許任何機器訪問,所以該機器的任何網絡功能都暫時喪失�����。不過不
要著急�����,接著往下看�����,你就會覺得非常有意思了�����。
既然該服務器擔當是的網關�����,那么讓網關啟動起來是必須的�����。我們現在再:
cd /etc
用編譯器編譯rc.conf
加入如下參數:
gateway_enable="YES" //啟動網關
##########IP-firewall#################
firewall_enable="YES" //激活firewall防火墻
firewall_script="/etc/rc.firewall" //firewall防火墻的默認腳本
firewall_type="/etc/ipfw.conf" //firewall自定義腳本
firewall_quiet="NO" //起用腳本時�����,是否顯示規則信息?����,F在為“NO”假如你的
防火墻腳本已經定型�����,那么就可以把這里設置成“YES”了�����。
firewall_logging_enable="YES" //啟用firewall的log記錄�����。
##########NATD#######################
natd_interface="xl0" //NATD服務啟用在哪塊網卡�����。
natd_enable="YES" //激活NATD服務
natd_flags="-config /etc/natd.conf" //NATD服務參數設置文件�����。
設置完成后我們再編譯/etc/syslog.conf文件。
加入以下行:
!ipfw
*.* /var/log/ipfw.log
好了rc.conf文件設置完畢�����,然后就是其他文件了�����。
新建/etc/ipfw.conf 文件�����,在文件里寫入以下內容:
add 00400 divert natd ip from any to any via xl0 //natd服務啟動設置
add 00001 deny log ip from any to any ipopt rr
add 00002 deny log ip from any to any ipopt ts
add 00003 deny log ip from any to any ipopt ssrr
add 00004 deny log ip from any to any ipopt lsrr
add 00005 deny tcp from any to any in tcpflags syn,fin //這5行是過濾各種掃描包
#######tcp#########
add 10000 allow tcp from xx.xx.xx.xx to x.x.x.x 22 in //向Internet
的xx.xx.xx.xx這個IP開放SSH服務�����。也就是只信任這個IP的SSH登陸�����。
add 10001 allow tcp from any to x.x.x.x 80 in //向整個Internet開放HTTP服務�����。
add 10002 allow tcp from any to x.x.x.x 25 in //向整個Internet開放smtp服務�����。
add 10003 allow tcp from any to x.x.x.x 110 in //向整個Internet開放pop3服務。
add 19997 check-state
add 19998 allow tcp from any to any out keep-state setup
add 19999 allow tcp from any to any out //這三個組合起來是允許內部網
絡訪問出去�����,如果想服務器自己不和Internet進行tcp連接出去�����,可以把19997和19998去
掉�����。(不影響Internet對服務器的訪問)
######udp##########
add 20001 allow udp from any 53 to me in recv xl0 //允許其他DNS服務器的
信息進入該服務器�����,因為自己要進行DNS解析嘛~
add 20002 allow udp from any to x.x.x.x 53 in recv xl0 //向整個Internet開
放DNS服務�����。
add 29999 allow udp from any to any out //允許自己的UDP包往外發送�����。
######icmp#########
add 30000 allow icmp from any to any icmptypes 3
add 30001 allow icmp from any to any icmptypes 4
add 30002 allow icmp from any to any icmptypes 8 out
add 30003 allow icmp from any to any icmptypes 0 in
add 30004 allow icmp from any to any icmptypes 11 in //允許自己ping別人的
服務器�����。也允許內部網絡用router命令進行路由跟蹤�����。
#######lan##########
add 40000 allow all from 192.168.0.0/16 to any
add 40001 allow all from any to 192.168.0.0/16 //允許內部網絡訪問Internet�����。
好了�����,還有natd沒設置了�����,我們再次添加/etc/natd.conf這個文件�����,其內容如下:
log yes //啟動natd的log記錄�����。
redirect_port tcp 192.168.0.2:25 x.x.x.x:25 //把對服務器IP為x.x.x.x的smtp
訪問轉到192.168.0.2的25上去。
redirect_port tcp 192.168.0.2:80 x.x.x.x:80 //把對服務器IP為x.x.x.x的http
訪問轉到192.168.0.2的80上去�����。
redirect_port tcp 192.168.0.2:110 x.x.x.x:110 //把對服務器IP為x.x.x.x的pop3
訪問轉到192.168.0.2的110上去�����。
好了�����,natd也設置完了~重新啟動一下系統讓防火墻和natd生效�����,現在就是該裝的服務沒
裝了�����,雖然防火墻已經讓這些服務通行�����。
我們現在在Gateway上安裝DNS服務�����,我現在選擇的是bind 9.2.0�����,安裝過程不是我們的
重點�����,所以這里就不詳細介紹了�����,我這里只對bind的安全設置做一個說明�����,假設bind的
工作目錄是/etc/namedb現在我們對bind設置一下�����,因為bind的大多數版本都存在問題�����,
這個版本雖然目前沒有,但還是提防為好�����,我在這里建議使用chroot技術來增強bind的
安全�����,假設我們把chroot目錄設在/chroot�����,我們做以下事情:
pw useradd bind -g 53 -u 53 -d /nologin -s /nologin
mkdir /chroot
mkdir /chroot/etc
mkdir /chroot/var
mkdir /chroot/var/run
cp -rp /etc/namedb /chroot/etc/namedb //建立bind的工作環境和目錄�����。
然后再運行
$PATH/sbin/named -t /chroot -u bind
這樣做了后運行ps -ax |grep named會發現bind是以bind這個權限很底的身份運行�����,
我們到/chroot/var/run目錄下看�����,會發現有named.pid這個文件�����,表示bind已經很成
功的被chroot在/chroot這個目錄里了�����,就算被“黑客”利用bind入侵了�����,由于權限很底�����,
而且被限制在/chroot這個目錄里�����,并且里面沒有任何的shell�����,不給“黑客”任何的破
壞條件。所以說bind這時已經相當安全了�����。
到此整個Gateway服務器就已經完全設置完畢�����。
現在就是內部服務器了�����,而內部服務器受到Gateway以及防火墻的保護�����,所以在安裝上
沒有多大的問題�����,只要注意一下郵件服務軟件以及HTTP服務軟件是否有漏洞就行了�����,
比如不要使用老版本的sendmail�����,因為sendmail的每個版本都存在一定的安全問題�����,
我這里建議使用Qmail�����,關于Qmail的安裝可以下載我提供的Qmail安裝包
http://www.linuxaid.com.cn/training/tips/showtip.jsp?i=245 �����,而在HTTP上就
要注意不要使用帶漏洞的新聞發布系統�����,論壇等�����。
好了�����,整個服務器都已經安裝完了,以上本人已經在兩臺FreeBSD 4.5的機器上測試
通過�����。使用FreeBSD4.5的朋友們�����,如果按以上方法去設置自己的服務器的話�����,基本
能保證正常工作�����。
聲明:該文章由iceblood本人原創�����,如有什么問題歡迎大家與我交流經驗�����,文章如
要轉載�����,請保持文章的完整性�����,包括“聲名”部分
