前几天我整理了过去的一些笔记,以及近几年收集的一些安全建议。所以我就写一点关于使你的FreeBSD系统安全方面的内容。
很明显,在这个领域我不可能用一篇文章全面地介绍所有的事情。另外,也不可能给出一个防止四海皆准的,保证任何系统都安全的方案。
在我整理笔记的过程中,我注意到很多都是关于如何让FreeBSD服务器(如,Web服务器,邮件服务器,等等)更安全的方法。如果你用FreeBSD做为个人系统,并希望完全的桌面功能的话,这就不太够用了。你肯定不愿意因为某些强化安全的设置,造成某些功能无法使用,并在此后的一周内孤立无援地与计算机进行搏斗,直到找到问题的所在。
因此,你将注意到,和许多其它安全教程不同,这篇文章并不建议你修改FreeBSD系统中文件的权限。这是有意的。除非你正在强化一台生产服务器的安全性,并且十分明白自己在做什么,否则绝不要修改文件的权限。(如果你一定要做做实验的话,请在自己的home文件夹中作)。不然的话,一些东西可能就会停止工作,例如,电子邮件,X Window系统,声音。怪事会在不经意的时刻发生,让你头疼良久之后才意识到可能是一周前的某个权限设置造成的问题。
我们都知道Internet并不总是一个友好的地方,而且你可能也不想让另一个地方的人拥有与你一样的访问许可权限。这意味着你可能不希望在没有某种防火墙的前提下访问Internet。幸运的是,你的FreeBSD系统支持良种防火墙:ipfw 和 ipfilter。更令人振奋的是,通俗易懂的文档正在迅速增加。如果你不在防火墙后面,那么请花一个周六下午的时间读一读如何在你的系统上配置防火墙的文章,并操练一把。你将为此感到愉快,以下是一部分可用的资源:
man ipfw
FreeBSD Handbook: Section 10.7 -- Firewalls
Setting Up a Dual-Homed Host using IPFW and NATD
man ipf
IPFilter and PF resources
好的安全总是“层层设防”,这意味着如果一个机制失效了,仍然有备用的机制。即使你的系统已经受到了防火墙的保护,你仍然需要禁用所有服务,除了那些绝对需要的。在桌面系统中,不需要很多的服务。
用下面的命令可以查看哪些服务正在试图监听连接你的系统:
