当前位置 : Nixsky>BSD>FreeBSD>列表

让 FreeBSD 更安全(Securing FreeBSD)

来源： 作者： 时间：2007-03-10 点击：

前几天我整理了过去的一些笔记，以及近几年收集的一些安全建议。我认为这可能对您有帮助，所以本周我就暂停文档系列的文章，写一点关于使你的 FreeBSD 系统更安全的内容。

很明显，在这个领域我不可能用一篇文章全面地介绍所有的事情。另外，也不可能给出一个防止四海皆准的，保证任何系统都安全的方案。

在我整理笔记的过程中，我注意到很多都是关于如何让 FreeBSD 服务器(如，Web 服务器，邮件服务器，等等)更安全的方法。如果你用FreeBSD 做为个人系统，并希望完全的桌面功能的话，这就不太够用了。你肯定不愿意因为某些强化安全的设置，造成某些功能无法使用，并在此后的一周内孤立无援地与计算机进行搏斗，直到找到问题的所在。

因此，你将注意到，和许多其它安全教程不同，这份文档并不建议你修改 FreeBSD 系统中文件的权限。这是有意的。除非你正在强化一台生产服务器的安全性，并且十分明白自己在做什么，否则绝不要修改文件的权限。(如果你一定要做做实验的话，请在自己的 home文件夹中作)。不然的话，一些东西可能就会停止工作，例如，电子邮件，X Window系统，声音。怪事会在不经意的时刻发生，让你头疼良久之后才意识到可能是一周前的某个权限设置造成的问题。

我们都知道 Internet 并不总是一个友好的地方，而且你可能也不想让另一个地方的人拥有与你一样的访问许可权限。这意味着你可能不希望在没有某种防火墙的前提下访问 Internet。幸运的是，你的FreeBSD系统支持良种防火墙：ipfw 和 ipfilter。更令人振奋的是，通俗易懂的文档正在迅速增加。如果你不在防火墙后面，那么请花一个周六下午的时间读一读如何在你的系统上配置防火墙的文章，并操练一把。你将为此感到愉快，以下是一部分可用的资源：

man ipfw
FreeBSD Handbook: Section 10.7 -- Firewalls
Setting Up a Dual-Homed Host using IPFW and NATD

man ipf
IPFilter and PF resources

好的安全总是“层层设防”，这意味着如果一个机制失效了，仍然有备用的机制。即使你的系统已经受到了防火墙的保护，你仍然需要禁用所有服务，除了那些绝对需要的。在桌面系统中，不需要很多的服务。

用下面的命令可以查看哪些服务正在试图监听连接你的系统：

sockstat -4

输出的差别可能很大，这取决于在安装的最后阶段选择的软件，以及之后自行安装的 port 和 package。

端口 6000(X Window服务器)是输出中非常常见的；如果没看到它的话，启动一个X Window会话，然后重新运行 sockstat -4。不幸的是，在过去的几年中有很多针对 X Window 的攻击。幸运的是，使用X并不需要打开6000端口，不必担心，即使关闭了这个端口，仍然可以使用图形界面！

许多方法可以关掉这个端口。我发现的最简单的方法是成为超级用户，并编辑 /usr/X11R6/bin/startx。找到 serverargs 那一行，并把它改为类似下面的样子：

serverargs = "-nolisten tcp"

保存修改之后，以普通用户身份运行X并执行 sockstat -4。如果没有打字错误，那么X会像往常那样启动，但 sockstat -4 输出中不会再出现端口 6000。

如果想了解6000端口打开的后果，请阅读 Crash Course in X Window Security。

好了，现在 sockstat -4 输出中的服务少了一个。我们还需要处理一下邮件：端口 25 (smtp) 和 587 (submission)。收发邮件并不需要 587 端口，为了关闭它，我们需要修改 /etc/mail/sendmail.cf。查找这一行：

O DaemonPortOptions=Port=587, Name=MSA, M=E

然后在前面加上 # ，并告诉 sendmail 变化：

killall -HUP sendmail

-HUP 不会杀掉 sendmail，但他会告诉sendmail重新处理 /etc/mail/sendmail.cf。重复sockstat -4 ，它将不再显示 587。

那么端口 25 呢？你可能需要，也可能不需要打开这个端口，这取决于使用什么样的邮件程序来收发邮件。对于运行 FreeBSD 4.6-RELEASE 或更高版本的系统，在 /etc/rc.conf 中增加下面的行：

sendmail_enable = "NO"

将告诉 sendmail 只监听 localhost，这允许所有的邮件客户程序发送邮件。如果你知道你的邮件客户程序带有内置的SMTP代理，或者喜欢冒险，那么可以尝试一下：

sendmail_enable = "NONE"

这将彻底关闭 25 端口。检查一下这是否让你无法发送邮件是很重要的，确保已经关掉了所有应用程序，随后，以超级用户身份执行：

shutdown now

收到提示后按回车、exit。重新登录后给自己发一封邮件，如果收不到，那么把NONE改回NO。

如果你的"sockstat"显示端口111打开，那么把下面几行加到 /etc/rc.conf (或者，如果已经有这些行，把 YES 改为 NO):

nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"

Portmap 只有在运行NFS时才是必需的，而这往往不是FreeBSD桌面系统的需要。历史上它有过很多安全问题，因此除非你绝对需要它，否则就别用。

syslog (端口 514) 也可能出现在你的输出结果中。我们可能并不希望完全关掉 syslog ，因为它提供的消息记录是我们需要的。但我们并不需要为此打开端口。在 /etc/rc.conf 文件中增加下面的选项:

syslogd_enable="YES"
syslogd_flags="-ss"

[收藏] [推荐] [评论] [打印] [关闭]

顶一下

上一篇：Freebsd6.0下ports安装apache2.2.0+mysql5.1.7+php5.1.2
下一篇：在 FreeBSD 上使用软 RAID-1

最新评论共有 0 位网友发表了评论

查看所有评论

发表评论