用FreeBSD构建安全的Web服务器（四）

新客网 XKER.COM 2008-01-18 来源：新客网编辑整理 佚名 收藏本文

　　5. SSH安全设置
　　
　　SSH是一个基于SSL的安全连接远程治理的服务程序,主要出现就是为了解决telnet、rlogin、rsh等程序在程序交互过程中存在明文传输易被监听的问题而产生的，目前基本上是推荐使用ssh来代替telnet、rlogin、rsh等远程治理服务。
　　ssh能够直接在windows平台下通过Secure SSH Client等客户端工具进行连接治理，目前最流行的服务器端就是OpenSSH程序，目前最新版本是OpenSSH4.0版，具体可以参考www.openssh.com网站。
　　OpenSSH在FreeBSD下已经集成安装了，FreeBSD5.3下的OpenSSH版本是3.8.1，建议ports升级到4.0。
　　
　　
　　主要的安全配置文件是/etc/ssh/sshd_config文件，我们编辑该文件。
　　
　　(1) 使用protocol 2代替protocol 1，SSH2更加安全，可以防止攻击者通过修改携带的版本banner来劫持（hijacking）启动会话进程并降低到protocol 1。注释掉protocol 2,1 改用下面语句代替：
　　protocol 2
　　
　　(2) 合理设置最大连接数量， 防止DOS攻击
　　
　　　　MaxStartups 5:50:10
　　
　　(3)关闭X11forwording ，防止会话劫持
　　
　　　　X11Forwarding no
　　
　　(4)建议不使用静态密码，而使用DSA 或RSA KEY，修改如下内容可以关闭使用密码认证：
　　
　　　　PasswordAuthentication no
　　
　　(5)可以限制某个组或光是单个用户访问shell
　　
　　　　AllowGroups wheel
　　或者
　　　　AllowUsers heiyeluren
　　
　　(6) 限制root用户登陆，主要是为了防止暴力破解
　　
　　 PermitRootLogin no
　　
　　(7) 不答应口令为空的用户登陆
　　
　　 PermitEmptyPasswords no
　　
　　(8)使用TCP wrappers来限制一些访问，修改/etc/hosts.allow文件，注释掉"ALL : ALL : allow"，增加如下内容：
　　
　　　　sshd:localhost:allow
　　　　sshd:friendlcomputer:allow
　　　　sshd:all : deny
　　
　　　　#相关命令：
　　　　#chsh -s /sbin/nologin user
　　

• ·在VMWare中配XFree86的Demo
• ·Unicode与ISO10646（上）
• ·FreeBSD对硬件的支持
• ·关于在FreeBSD上安装GD库的问题解决
• ·FreeBSD 的部分Package简介
• ·freebsd 文件类型表示
• ·用 NT loader 来启动 FreeBSD
• ·FreeBSD Lastcomm介绍
• ·用ports安装指定服务器问题
• ·FreeBSD基础点滴
• ·FreeBSD有许多简单而功能强大的命令
• ·给FreeBSD新手的一些建议
• ·FreeBSD下如何访问MS-DOS文件系统
• ·FreeBSD 升级系统
• ·在FreeBSD上运行Windows软件
• ·FreeBSD 的在线帮助手册