FreeBSD网站的安全构架(1)

系统网络环境的设置情况

1。如果Server运行Apache or Wu-ftpd,Proftpd.且运行模式为standalone,也就是说作为

一个独立的后台服务进程，可以独立的响应用户的请求，不受Super-Server Daemon-

-->inetd的控制。那么我建议大家可以修改/etc/inetd.conf文件，除去shell and

login Services running外，把其它的服务都关掉。在其它服务前加"#"(i.e #ftp)

这样一来大家远程控制服务器就用SSH(Secure Shell)来管理服务器(rlogin or rsh

your-server).OK!

2.改变系统的核心变量达到对外屏闭服务器没有使用的端口：

#sysctl -w net.inet.tcp.log-in-vain=1

#sysctl -w net.inet.udp.log-in-vain=1

3.观察提供服务端口的数目，除去Port21(ftp),80(www),513(login),111(sunrpc)外，

把其它的服务端口关闭

#netstat -na|grep LISTEN

4.观察文件系统的设置情况，以防止远程非法用户mount your-filesystem.

#cat /etc/fstab

如果你看到分区属性中有osuid属性，请改变。

5。可以把系统的核心的运行层次设置为最安全的层次。

#sysctl -w kern.securelevel=2

6.为了防止cracker利用rootkit工具通过后门进入系统。对/bin,/sbin进行安全保护。

#chflags schg /bin/*

#chflags schg /sbin/*

7。确保系统运行了系统登陆守护后台进程。#ps -aux|grep syslogd

8.不允许一般用户阅读系统的日志文件。 #chmod g-w,o-r * (/var/log/*)

摘自 /country.myrice.com/

• ·用FREEBSD作开发的一些实现方式
• ·FreeBSD下有关设备名,分区和mount的
• ·FreeBSD实实在在的选择
• ·在FreeBSD4.3 release上使用I
• ·FreeBSD 5.3 ports 安装 AM
• ·在freeBSD下编译linux kernel
• ·如何看FreeBSD的系统日志
• ·使用md5校验码验证所下载文件的正确性
• ·如何去掉FreeBSD控制台上显示的太多的提示
• ·NDIS wrapper for FreeBS