我們都知道Internet并不總是一個(gè)友好的地方��,而且你可能也不想讓另一個(gè)地方的人擁有與你一樣的訪(fǎng)問(wèn)許可權(quán)限��。這意味著你可能不希望在沒(méi)有某種防火墻的前提下訪(fǎng)問(wèn)Internet�。幸運(yùn)的是�����,你的FreeBSD系統(tǒng)支持良種防火墻:ipfw 和 ipfilter����。更令人振奮的是,通俗易懂的文檔正在迅速增加���。如果你不在防火墻后面���,那么請(qǐng)花一個(gè)周六下午的時(shí)間讀一讀如何在你的系統(tǒng)上配置防火墻的文章,并操練一把。你將為此感到愉快�,以下是一部分可用的資源:
man ipfw
FreeBSD Handbook: Section 10.7 — Firewalls
Setting Up a Dual-Homed Host using IPFW and NATD
man ipf
IPFilter and PF resources
好的安全總是“層層設(shè)防”,這意味著如果一個(gè)機(jī)制失效了��,仍然有備用的機(jī)制���。即使你的系統(tǒng)已經(jīng)受到了防火墻的保護(hù)��,你仍然需要禁用所有服務(wù),除了那些絕對(duì)需要的�����。在桌面系統(tǒng)中���,不需要很多的服務(wù)�����。
用下面的命令可以查看哪些服務(wù)正在試圖監(jiān)聽(tīng)連接你的系統(tǒng):
sockstat -4
輸出的差別可能很大���,這取決于在安裝的最后階段選擇的軟件,以及之后自行安裝的port和package����。
端口6000(X Window服務(wù)器)是輸出中非常常見(jiàn)的����;如果沒(méi)看到它的話(huà)��,啟動(dòng)一個(gè)X Window會(huì)話(huà)��,然后重新運(yùn)行 sockstat -4���。不幸的是����,在過(guò)去的幾年中有很多針對(duì)X Window的攻擊����。幸運(yùn)的是,使用X并不需要打開(kāi)6000端口�,不必?fù)?dān)心,即使關(guān)閉了這個(gè)端口�����,仍然可以使用圖形界面��!
許多方法可以關(guān)掉這個(gè)端口。我發(fā)現(xiàn)的最簡(jiǎn)單的方法是成為超級(jí)用戶(hù)��,并編輯 /usr/X11R6/bin/startx����。找到 serverargs 那一行,并把它改為類(lèi)似下面的樣子:
serverargs=”-nolisten tcp”
保存修改之后��,以普通用戶(hù)身份運(yùn)行X并執(zhí)行 sockstat -4�。如果沒(méi)有打字錯(cuò)誤,那么X會(huì)像往常那樣啟動(dòng)���,但 sockstat -4 輸出中不會(huì)再出現(xiàn)端口6000。
如果想了解6000端口打開(kāi)的后果��,請(qǐng)閱讀 Crash Course in X Window Security����。
好了,現(xiàn)在 sockstat -4 輸出中的服務(wù)少了一個(gè)���。我們還需要處理一下郵件:端口 25 (smtp) 和 587 (submission)��。收發(fā)郵件并不需要 587 端口��,為了關(guān)閉它��,我們需要修改 /etc/mail/sendmail.cf���。查找這一行:
O DaemonPortOptions=Port=587, Name=MSA, M=E
然后在前面加上 # �,并告訴 sendmail 變化:
killall -HUP sendmail
-HUP 不會(huì)殺掉 sendmail��,但他會(huì)告訴sendmail重新處理 /etc/mail/sendmail.cf�。重復(fù)sockstat -4 ,它將不再顯示 587��。
那么端口25呢�����?你可能需要���,也可能不需要打開(kāi)這個(gè)端口�����,這取決于使用什么樣的郵件程序來(lái)收發(fā)郵件���。對(duì)于運(yùn)行 FreeBSD 4.6-RELEASE 或更高版本的系統(tǒng)�,在/etc/rc.conf中增加下面的行:
sendmail_enable=”NO”
將告訴 sendmail 只監(jiān)聽(tīng) localhost�����,這允許所有的郵件客戶(hù)程序發(fā)送郵件����。如果你知道你的郵件客戶(hù)程序帶有內(nèi)置的SMTP代理,或者喜歡冒險(xiǎn)���,那么可以嘗試一下:
sendmail_enable=”NONE”
這將徹底關(guān)閉25端口����。檢查一下這是否讓你無(wú)法發(fā)送郵件是很重要的�����,確保已經(jīng)關(guān)掉了所有應(yīng)用程序�,隨后���,以超級(jí)用戶(hù)身份執(zhí)行:
shutdown now
收到提示后按回車(chē)���、exit�����。重新登錄后給自己發(fā)一封郵件�����,如果收不到����,那么把NONE改回NO��。
如果你的”sockstat”顯示端口111打開(kāi)�,那么把下面幾行加到 /etc/rc.conf (或者,如果已經(jīng)有這些行����,把 YES 改為 NO):
nfs_server_enable=”NO”
nfs_client_enable=”NO”
portmap_enable=”NO”
Portmap只有在運(yùn)行NFS時(shí)才是必需的,而這往往不是FreeBSD桌面系統(tǒng)的需要����。歷史上它有過(guò)很多安全問(wèn)題,因此除非你絕對(duì)需要它��,否則就別用���。
syslog (端口 514) 也可能出現(xiàn)在你的輸出結(jié)果中�����。我們可能并不希望完全關(guān)掉 syslog �,因?yàn)樗峁┑南⒂涗浭俏覀冃枰摹5覀儾⒉恍枰獮榇舜蜷_(kāi)端口���。在 /etc/rc.conf 文件中增加下面的選項(xiàng):
syslogd_enable=”YES”
syslogd_flags=”-ss”
標(biāo)志中的ss (確認(rèn)用了兩個(gè)s����,而不是一個(gè)) 將禁止來(lái)自遠(yuǎn)程主機(jī)的記錄并關(guān)閉端口����,但仍然允許 localhost 進(jìn)行日志記錄。
隨后��,確認(rèn) /etc/rc.conf 中inetd_enable不是YES�����。如果sockstat輸出中有inetd�,那么/etc/inetd.conf中肯定有什么項(xiàng)目沒(méi)有被注釋掉����,如果不需要的話(huà)����,那么把那一行前面加上#�����,并 killall inetd����。
如果需要使用DHCP自動(dòng)獲取地址,那么請(qǐng)保持dhclient (udp 6打開(kāi)�����,否則將不能刷新地址��。
如果在 sockstat 輸出中發(fā)現(xiàn)了其他東西���,那么請(qǐng)看看 man rc.conf 里面有沒(méi)有關(guān)于如何關(guān)掉這些東西的提示��。如果沒(méi)有的話(huà)�,那么很可能是某個(gè)啟動(dòng)腳本啟動(dòng)了一些服務(wù)程序�����,請(qǐng)執(zhí)行:
cd /usr/local/etc/rc.d
來(lái)看看你的系統(tǒng)中的啟動(dòng)腳本。絕大多數(shù) packages/ports 會(huì)安裝一個(gè)擴(kuò)展名為sample的示范腳本用于啟動(dòng)服務(wù)����,這些腳本并不被執(zhí)行;也有一些直接安裝能夠執(zhí)行的腳本����,它們會(huì)在計(jì)算機(jī)啟動(dòng)的時(shí)候加載。禁止某個(gè)腳本知性最簡(jiǎn)單的方法是把它的擴(kuò)展名改為sample�,隨后殺掉守護(hù)程序,這樣sockstat就不會(huì)再說(shuō)什么了�����。 舉例來(lái)說(shuō)��,我最近安裝了 ethereal 結(jié)果發(fā)現(xiàn) snmpd 出現(xiàn)在 sockstat -4 的輸出中��,這個(gè)程序在安全方面名聲不佳��,因此我把自己升級(jí)為root并執(zhí)行了下面的命令:
cd /usr/local/etc/rc.d
mv snmpd.sh snmpd.sh.sample killall snmpd
你可能會(huì)希望把下面的選項(xiàng)加入 /etc/rc.conf :
tcp_drop_synfin=”YES”
這個(gè)選項(xiàng)可以挫敗諸如OS指紋識(shí)別的企圖(譯注:這個(gè)選項(xiàng)對(duì)最新的nmap無(wú)效)���。如果你打算開(kāi)啟這個(gè)選項(xiàng)�����,那么����,還需要在內(nèi)核編譯配置文件中加入:
options TCP_DROP_SYNFIN
還有兩個(gè)相關(guān)的選項(xiàng):
icmp_drop_redirect=”YES”
icmp_log_redirect=”YES”
ICMP 重定向可以被利用完成DoS攻擊��。這篇 ARP and ICMP redirection games article 介紹了具體的一些情況���。
在打開(kāi) icmp_log_redirect 選項(xiàng)時(shí)請(qǐng)務(wù)必小心����,因?yàn)樗鼤?huì)記錄每一個(gè)ICMP重定向 ��,如果你遭到了這樣的攻擊��,那么日志很可能會(huì)塞滿(mǎn)記錄�����。
建好防火墻之后�����,請(qǐng)考慮加入下面的選項(xiàng):
log_in_vain=”YES”
這個(gè)選項(xiàng)會(huì)記錄每一個(gè)到關(guān)閉端口的連接企圖。另一個(gè)比較有意思的選項(xiàng)是:
accounting_enable=”YES”
這將打開(kāi)系統(tǒng)審計(jì)功能��,如果你不熟悉他們��,那么請(qǐng)閱讀 man sa 和 man lastcomm �����。
最后���,下面的選項(xiàng)可能非常有用:
clear_tmp_enable=”YES”
因?yàn)樗谙到y(tǒng)啟動(dòng)時(shí)將清空 /tmp �,這永遠(yuǎn)是一件值得去做的事情��。
讓我們來(lái)研究一下其他能夠加強(qiáng)安全的設(shè)置�。我比較喜歡把默認(rèn)的口令加密算法改為Blowfish,因?yàn)樗谔峁┳罴寻踩缘那疤嵯?�,也提供了最快的速度�����。這里有一份 comparison of algorithms[幾種密碼學(xué)算法的比較]�。
當(dāng)然��,如果你對(duì)這類(lèi)東西感興趣的話(huà)�,看看 Cryptogram newsletter ����,它是Blowfish作者寫(xiě)的��。
為了啟用 Blowfish 散列���,編輯 /etc/login.conf 并把 passwd_format 一行改成下面這樣:
:passwd_format=blf:\
保存設(shè)置��,重新創(chuàng)建登錄數(shù)據(jù)庫(kù):
cap_mkdb /etc/login.conf
隨后需要修改每一個(gè)用戶(hù)的口令�����,以便讓這些口令都使用 Blowfish 散列值�。以超級(jí)用戶(hù)的身份執(zhí)行下面的命令:
passwd username
需要修改所有用戶(hù)的口令����,包括root自己。
完成了這些操作之后�,重新檢查一下確認(rèn)自己沒(méi)有遺漏什么:
more /etc/master.passwd
所有用戶(hù)的口令應(yīng)該以$2.開(kāi)始
最后,重新配置 adduser 程序���,讓它在以后使用Blowfish�。修改 /etc/auth.conf,找到 crypt_default 一行�,改為:
crypt_default=blf
你可能已經(jīng)注意到,每次登錄的時(shí)候FreeBSD都會(huì)提示你���,你在用的那個(gè)系統(tǒng)是FreeBSD����,以及它的版權(quán)信息���,包括內(nèi)核的編譯時(shí)間����,等等���。這些信息可能有用����,但相當(dāng)煩人�����,特別是當(dāng)別人可以登錄的時(shí)候,它可能會(huì)暴露一些你不希望暴露的信息�。
可以通過(guò)編輯 /etc/motd 來(lái)阻止計(jì)算機(jī)說(shuō)出一些不該說(shuō)的東西,或者宣揚(yáng)你的一些想法�,包括你喜歡看的 sci-fi 文摘,或者其他一些——總之你想寫(xiě)什么就寫(xiě)什么�。
隨后,刪除版權(quán)信息:
touch /etc/COPYRIGHT
隨后�,還可以修改登錄提示,編輯 /etc/gettytab. 找到 default:\ 小節(jié)���,它以下面的文字開(kāi)頭:
:cb:ce:ck:lc
小心地修改 \r\n\ \r\n\r\nr\n: 之間的文字來(lái)適應(yīng)自己的需要。請(qǐng)仔細(xì)檢查 \r 和 \n 的數(shù)量���,并保存修改��。例如���,我的登錄提示是這樣的:
I’m a node in cyberspace. Who are you?
login:
可以在其他終端上嘗試登錄,以確認(rèn)正確性����。
最后,即使你已經(jīng)修改了motd并從中刪除了內(nèi)核版本信息����,默認(rèn)情況下FreeBSD仍然會(huì)在啟動(dòng)之后把這些東西加入 /etc/motd ���。因此需要修改 /etc/rc.conf 并加入下面的設(shè)置:
update_motd=”NO”
這個(gè)設(shè)置需要重新啟動(dòng)才會(huì)生效。
此外��,限制登錄也是非常重要的�。因?yàn)檫@些變動(dòng)會(huì)改變 login 程序的行為,因此需要非常謹(jǐn)慎��。比較好的習(xí)慣是保持一個(gè)以root身份登錄的終端���,用其他終端嘗試��。這樣如果由于某種原因造成問(wèn)題����,你仍然可以改正�����。
包括你自己在內(nèi)的任何人都不應(yīng)該直接以root身份登錄�����。修改 /etc/ttys。你將注意到 ttyv0 到 ttyv8的一系列設(shè)置��。把后面的 secure 改為 insecure���。注意��,這個(gè)文件肯定是你不希望有任何錯(cuò)誤的一個(gè)文件�,因此請(qǐng)仔細(xì)地進(jìn)行測(cè)試�����。如果設(shè)置正確���,root登錄將收到 “Login incorrect” 。
我個(gè)人傾向于使用所有的9個(gè)終端�。如果你不打算這樣,請(qǐng)把對(duì)應(yīng)的 “on” 改為 “off” ���,當(dāng)然���,只是一部分 ttys 。切記保持至少1個(gè) “on,” 否則你會(huì)無(wú)法登錄��,這將導(dǎo)致系統(tǒng)無(wú)法使用。ttyv8 默認(rèn)情況下是 “off” �����,這意味著你需要手動(dòng)打開(kāi)X�,如果希望自動(dòng)啟動(dòng),那么把它改為”on.”����。
最后一個(gè)我想說(shuō)的限制是阻止從其他地方登錄,這是通過(guò)編輯 /etc/login.access 實(shí)現(xiàn)的�����。
你可能希望禁止一切遠(yuǎn)程登錄(這意味著你必須物理地坐在機(jī)器前面)����,刪除下面這一行前面的#號(hào):
#-:wheel:ALL EXCEPT LOCAL .win.tue.nl
把 .win.tue.nl 去掉,于是它看起來(lái)將像這樣:
-:wheel:ALL EXCEPT LOCAL
如果你需要從遠(yuǎn)程登錄�,那么把.win.tue.nl 替換為相應(yīng)的IP或域名。如果有多個(gè)地址���,用空格分開(kāi)�。
如果只有一兩個(gè)用戶(hù)的話(huà)����,那么可以拒絕其他人登錄:
-:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4
用具體的用戶(hù)名替換掉 user1 user2 �����。如果需要的話(huà)����,增加相應(yīng)的tty��。
另外���,也可以把用戶(hù)組方在這里��。首先����,編輯 /etc/group 并增加下面的行:
mygroup:*:100:genisis,dlavigne6,biko
當(dāng)增加組時(shí)��,需要保證GID的唯一性��。
隨后���,修改 /etc/login.access :
-:ALL EXCEPT mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5
測(cè)試它非常重要��,一定要留一個(gè)終端��。測(cè)試每一個(gè)終端上的登錄�����,確認(rèn)其效果���。
FreeBSD安裝系統(tǒng)后的基本安全設(shè)置
編輯/etc/rc.conf。增加以下內(nèi)容
#ee /etc/rc.conf
#關(guān)閉掉syslog使用的端口
syslogd_enable="YES"
syslogd_flags="-ss"
#挫敗OS指紋識(shí)別(需要在內(nèi)核中加入options TCP_DROP_SYNFIN)
tcp_drop_synfin="YES"
#ICMP重定向
icmp_drop_redirect="YES"
icmp_log_rediretc="YES"
#記錄每一個(gè)企圖到關(guān)閉端口的連接
log_in_vain="YES"
#系統(tǒng)審計(jì)功能
accounting_enable="YES"
#開(kāi)機(jī)自動(dòng)清空/tmp
clear_tmp_enable="YES"
#禁用內(nèi)核信息提示
update_motd="NO"
#關(guān)閉nfs服務(wù)
nfs_server_enable="NO"
nsf_client_enable="NO"
portmap_enable="NO"
#關(guān)閉sendmail
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
#開(kāi)啟磁盤(pán)配額
enable_quotas="YES"
check_quotas="YES"
刪除登陸時(shí)的信息提示
#rm /etc/motd
#touch /etc/motd
#touch /etc/COPYRIGHT
#ee /etc/gettytab
default:\
:cb:ce:ck:lc:fd#1000:im=\r\在這里修改成你需要的文字\r\n\r\n:sp#1200:\
:if=/etc/issue:
禁止一般用戶(hù)查看系統(tǒng)日志
# chmod g-w,o-r /var/log/*
# chmod 600 /etc/syslog.conf
# chmod 600 /etc/newsyslog.conf
為了防止cracker利用rootkit工具通過(guò)后門(mén)進(jìn)入系統(tǒng)����,
# chflags schg /bin/*
# chflags schg /sbin/*
把系統(tǒng)的核心的運(yùn)行層次設(shè)置為最安全的層次
# sysctl -w kern.securelevel=2
禁止一般用戶(hù)使用crontab
# echo root > /var/cron/allow
# chmod 600 /var/cron/allow
修改/etc/sysctl.conf,增加以下內(nèi)容
#ee /etc/sysctl.conf
#防止ICMP廣播風(fēng)暴
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
#限制系統(tǒng)發(fā)送ICMP速率
net.inet.icmp.icmplim=100
#安全參數(shù),編譯內(nèi)核的時(shí)候加了options TCP_DROP_SYNFIN才可以用
net.inet.icmp.icmplim_output=0
net.inet.tcp.drop_synfin=1
#設(shè)置為1會(huì)幫助系統(tǒng)清除沒(méi)有正常斷開(kāi)的TCP連接�,這增加了一些網(wǎng)絡(luò)帶寬的使用,但是一些死掉的連接最終能被識(shí)別并清除���。死的TCP連接是被撥號(hào)用戶(hù)存取的系統(tǒng)的一個(gè)特別的問(wèn)題��,因?yàn)橛脩?hù)經(jīng)常斷開(kāi)modem而不正確的關(guān)閉活動(dòng)的連接
net.inet.tcp.always_keepalive=1
#若看到net.inet.ip.intr_queue_drops這個(gè)在增加��,就要調(diào)大net.inet.ip.intr_queue_maxlen��,為0最好
net.inet.ip.intr_queue_maxlen=0
#防止DOS攻擊�,默認(rèn)為30000
net.inet.tcp.msl=7500
#接收到一個(gè)已經(jīng)關(guān)閉的端口發(fā)來(lái)的所有包,直接drop�,如果設(shè)置為1則是只針對(duì)TCP包
net.inet.tcp.blackhole=2
#接收到一個(gè)已經(jīng)關(guān)閉的端口發(fā)來(lái)的所有UDP包直接drop
net.inet.udp.blackhole=1
#為網(wǎng)絡(luò)數(shù)據(jù)連接時(shí)提供緩沖
net.inet.tcp.inflight.enable=1
#如果打開(kāi)的話(huà)每個(gè)目標(biāo)地址一次轉(zhuǎn)發(fā)成功以后它的數(shù)據(jù)都將被記錄進(jìn)路由表和arp數(shù)據(jù)表,節(jié)約路由的計(jì)算時(shí)間,但會(huì)需要大量的內(nèi)核內(nèi)存空間來(lái)保存路由表
net.inet.ip.fastforwarding=0
#kernel編譯打開(kāi)options POLLING功能����,高負(fù)載情況下使用低負(fù)載不推薦SMP不能和polling一起用
#kern.polling.enable=1
#并發(fā)連接數(shù),默認(rèn)為128�����,推薦在1024-4096之間����,數(shù)字越大占用內(nèi)存也越大
kern.ipc.somaxconn=32768
#禁止用戶(hù)查看其他用戶(hù)的進(jìn)程
security.bsd.see_other_uids=0
#設(shè)置kernel安全級(jí)別
kern.securelevel=0
#記錄下任何TCP連接
net.inet.tcp.log_in_vain=1
#記錄下任何UDP連接
net.inet.udp.log_in_vain=1
#防止不正確的udp包的攻擊
net.inet.udp.checksum=1
#防止DOS攻擊
net.inet.tcp.syncookies=1
#僅為線(xiàn)程提供物理內(nèi)存支持,需要256兆以上內(nèi)存
#kern.ipc.shm_use_phys=1
# 線(xiàn)程可使用的最大共享內(nèi)存
kern.ipc.shmmax=67108864
# 最大線(xiàn)程數(shù)量
kern.ipc.shmall=32768
# 程序崩潰時(shí)不記錄
kern.coredump=0
# lo本地?cái)?shù)據(jù)流接收和發(fā)送空間
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
# 數(shù)據(jù)包數(shù)據(jù)段大小��,ADSL為1452��。
net.inet.tcp.mssdflt=1452
# 為網(wǎng)絡(luò)數(shù)據(jù)連接時(shí)提供緩沖
net.inet.tcp.inflight_enable=1
# 數(shù)據(jù)包數(shù)據(jù)段最小值��,ADSL為1452
net.inet.tcp.minmss=1460
# 本地?cái)?shù)據(jù)最大數(shù)量
net.inet.raw.maxdgram=65536
# 本地?cái)?shù)據(jù)流接收空間
net.inet.raw.recvspace=65536
更改默認(rèn)的加密算法為Blowfish
為了啟用 Blowfish 散列���,編輯 /etc/login.conf 并把 passwd_format 一行改成下面這樣:
:passwd_format=blf:\
保存設(shè)置,重新創(chuàng)建登錄數(shù)據(jù)庫(kù):
#cap_mkdb /etc/login.conf
隨后需要修改每一個(gè)用戶(hù)的口令,以便讓這些口令都使用 Blowfish 散列值�。以超級(jí)用戶(hù)的身份執(zhí)行下面的命令:
#passwd username (username為你的用戶(hù)名)
需要修改所有用戶(hù)的口令,包括root自己���。
完成了這些操作之后���,重新檢查一下確認(rèn)自己沒(méi)有遺漏什么:
#more /etc/master.passwd
所有用戶(hù)的口令應(yīng)該以$2.開(kāi)始
最后,重新配置 adduser 程序���,讓它在以后使用Blowfish����。修改 /etc/auth.conf���,找到 crypt_default 一行��,改為:
crypt_default=blf
