FreeBSD网站的安全构架(1)
点击次数:27 次 发布日期:2008-11-22 10:19:39 作者:源代码网
|
1。如果Server运行Apache or Wu-ftpd,Proftpd.且运行模式为standalone,也就是说作为 一个独立的后台服务进程,可以独立的响应用户的请求,不受Super-Server Daemon- -->inetd的控制。那么我建议大家可以修改/etc/inetd.conf文件,除去shell and login Services running外,把其它的服务都关掉。在其它服务前加"#"(i.e #ftp) 这样一来大家远程控制服务器就用SSH(Secure Shell)来管理服务器(rlogin or rsh your-server).OK! 2.改变系统的核心变量达到对外屏闭服务器没有使用的端口: #sysctl -w net.inet.tcp.log-in-vain=1 #sysctl -w net.inet.udp.log-in-vain=1 3.观察提供服务端口的数目,除去Port21(ftp),80(www),513(login),111(sunrpc)外, 把其它的服务端口关闭 #netstat -na|grep LISTEN 4.观察文件系统的设置情况,以防止远程非法用户mount your-filesystem. #cat /etc/fstab 如果你看到分区属性中有osuid属性,请改变。 5。可以把系统的核心的运行层次设置为最安全的层次。 #sysctl -w kern.securelevel=2 6.为了防止cracker利用rootkit工具通过后门进入系统。对/bin,/sbin进行安全保护。 #chflags schg /bin/* #chflags schg /sbin/* 7。确保系统运行了系统登陆守护后台进程。#ps -aux|grep syslogd 8.不允许一般用户阅读系统的日志文件。 #chmod g-w,o-r * (/var/log/*) 摘自 /country.myrice.com/ 源代码网供稿. |
