Unix系统高级安全设置

来源：作者：KCN 出处：巧巧读书 2006-09-18 进入讨论组

上一页 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 下一页

　　5.1.2 Misc. hints and tips

　　5.1.2.1 LKM

　　在正式提供服务的系统上, 也许该关掉 LKM。为什么? 请看:

　　Phrack Magazine Volume 7, Issue 51 September 01, 1997, article 09要关掉 LKMs, 在 kernel 设定档中加入这一行:

　　options NOLKM

　　5.1.2.2 Portmap

　　FreeBSD 出厂的默认值会将 portmap 这项功能打开。如果你不需要它的话,把它关掉。

　　如果你没有跑任何需要呼叫 RPC 的程序的话,你就不需要跑这个程序。如果要关掉portmap 这个程序,你可以去修改 /etc/rc.conf , 把

　　portmap_enable="YES" # Run the portmapper service (or NO).

　　改成

　　portmap_enable="NO" # Run the portmapper service (or NO).

　　5.1.2.3 Sendmail

　　FreeBSD 出厂的默认值也会执行 sendmail 的功能。从很久以前 sendmail 就以不安全且漏洞百出闻名。最近人们努力的将 sendmail 中的错误清除,但是由于 sendmail是一个很肥大的程序,要将所有的错误都抓出来相当的困难。换句话说:如果你不需要它的话,最好把它关掉。如果你真的需要它的话,最好到 sendmail 的网站去看看有没有新的patches 或是 hacks, sendmail 的网站在 http://www.sendmail.org 。

　　此外,如果你的 sendmail 版本是 8.8 以后的版本,请设定好你的系统,以防止 spammer利用你的系统去干坏事。设定 anti-spam 的信息可以在http://www.sendmail.org/antispam.html 下找到。

　　如果你决定要把 sendmail 关掉的话,只要去修改 /etc/rc.conf (没错,又是它)中的:sendmail_enable="YES" # Run the sendmail daemon (or NO).

　　改成sendmail_enable="NO" # Run the sendmail daemon (or NO).

　　5.1.2.4 Ports and Packages

　　在一台高安全性的系统上, 最好不要使用 ports 或 packakges。你不会真正知道是不是安装 suid 的程序进你的系统 -- 而且你不会想再多这些 suid 的东西了, 相信我。尽管你在 pkg_add 时可以使用不同的选项(如 "-v" 或 "-n"), 最好还是自己来: 抓回它的 source code, 自己 compile, 再手动安装完成。

　　5.1.2.5 Filesystem quota

　　如果你的系统是 "shell" type server,你可能希望设定使用者的 quota (可用空间)。如此一来可以保护你的系统免受 Denial of Service 攻击方式的侵扰(不论是有意或是无意的)。在未设定 quota 的系统上使用者可以随意的灌爆你的硬盘。要把 quota这项功能打开,你可以修改 /etc/rc.conf 中的这项设定:

　　check_quotas="NO" # Check quotas (or NO).

　　改成

　　check_quotas="YES" # Check quotas (or NO).

　　请先看看以下的 man page,这些文件说明如何使用 quota 的各项设定,并且有一些设定的范例:quotaon, edquota, repquota, quota

　　请确定在 /etc/fstab 中有加入 "userquota" , 详见 man 5 fstab。

　　5.1.2.6 Crontab

　　如果你使用了 /etc/crontab 的话,这项功能有可能提供入侵者一些额外的信息。

　　请确定你做过 "chmod 640 /etc/crontab"

　　5.1.2.7 BPF

　　BPF 是 berkeley packet filter 的缩写,要使用这项功能前你必须修改 kernel,以达成监听网络的目的。像 tcpdump 和 NFR 这些程序都使用 BPF。然而 BSD的监听程序也都透过BPF 来达成,如果有人拿到你系统的 root 权限的话,在系统上设定 BPF 功能反而帮助他们更容易的监听你的网络。如果没有必要的话,不要设定 kernel 中 BPF的功能。 FreeBSD 出厂的设定值是将这个功能关闭起来的。

　　5.1.2.8 CVSup, CVS, 等等

　　如果你是使用 CD-ROM 安装你的系统的话,很有可能当你拿到你的 CD-ROM时,已经发现某些程序有错误存在了。在大部份的情况下(我们希望如此),这些错误与系统安全无关。然而,我建议你将你的系统升级到最新的 -current (或是 -stable,视你的喜好而定) 版本。如此你可以确定你系统上的的是最新版本的系统原始码。

　　你需要的信息在这边可以找到:

　　http://www.freebsd.org/handbook/handbook264.html#508 在更新你操作系统的原始码后你必须去 "make world",详细的文件在:

　　http://www.nothing-going-on.demon.co.uk/FreeBSD/make-world/make-world.html

　　5.1.2.9 SSH

　　使用 ssh 以代替 telnet, ftp, rlogin, rsh 等的重要性, 再怎么强调都是不够的。对于使用慢速线路的人 (dial-up, 56K frame), ssh 有 -C 选项:-C 将数据压缩后再传出去, 包括了 stdin, tdout, stderr还有透过 X11 还有TCP/IP。压缩的算法同 gzip, 而且可以指定压缩的 level。对于 moden users 和使用慢速线路的人, 这功能是不错的。但有高速线路的人, 这么搞只会拖慢速度。在主机对连时可以设默认值, 请再参照文件。

　　这会让你用起来快一点 :) 总之就是用 SSH 就对了啦! 拜托, 拜托, 使用 ssh。如果你硬是不信邪, 再也没什么安全措施可以帮助你了 !!

　　5.1.2.10 Related URLs

　　1) FreeBSD Hardening Project:

　　http://www.watson.org/fbsd-hardening/

　　2) FreeBSD ipfw Configuration Page:

　　http://www.metronet.com/~pgilley/freebsd/ipfw

　　3) FreeBSD Security advisories:

　　ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/

　　4) FreeBSD Security web page:

　　http://www.freebsd.org/security/security.html

　　5) Security tools in FreeBSD:

　　http://www.samag.com/archive/0705/feature.html打开： http://www.qqread.com/unix/h209529.html