用FreeBSD构建安全的Web服务器（二）

　　【新客网FreeBSD教程】6. 系统指纹泄漏和防范
　　
　　一般黑客为了入侵某个系统，一定会先进行扫描等工作，扫描包括目标系统的端口开放情况和服务器使用服务程序和操作系统情况。比如很简单的手工检测Web服务的指纹：
　　# telnet target.com 80
　　那么就很可能返回Apache和PHP的版本信息，那么同时也可能使用扫描工具对Mysql、vsFTPd、SSH等服务的端口进行扫描，获取这些服务的指纹。多暴露一份系统信息，那么系统就多一份危险。那么解决办法就是把服务器上服务程序的Banner全部修改掉，从而能够迷惑黑客。
　　
　　下面简单的说一些修改那些服务Banner的方法。
　　
　　* Apache
　　修改httpd.conf文件,设置以下选项:
　　ServerSignature Off
　　ServerTokens Prod
　　上面的适用apache1***, apache 2.0这些都是默认 , 不过还是有server=Apache字样, 若要完全去掉需重新編译。
　　彻底地去掉banner, 修改httpd.h:
　　Include/httpd.h
　　Define SERVER_BASEVENDOR "Apache Group"
　　Define SERVER_PRODUCTVENDOR "Apache"
　　Define SERVER_BASEVERSION "1.3.27"
　　后从新编译Apache就能够完全去掉了。
　　
　　
　　* PHP
　　在php.ini中设置 expose_php = Off ，那么将无法在 http头信息中看到php的版本信息。
　　
　　* Mysql
　　
　　
　　* vsFTPd
　　vsFTPd基本上是无法获取到一些关于vsFTPd的banner信息的，不过因为vsFTPd默认的banner信息是"Welcome to FTP Server!"对于高手来说，还是能够猜测到一点，所以我们要彻底改掉。修改vsFTPd的配置文件 vsftpd.conf 中的下面选项：
　　Ftpd_banner=xxxxx
　　把后面的xxxxx改为你想要的banner信息。
　　
　　
　　* SSH
　　好象FreeBSD下默认安装的SSH被telnet target.com 22 的时候会显示SSH和FreeBSD的信息，简直是个大祸害，什么都告诉别人了，但是目前为止我还不知道怎么修改，知道的高手请指点。
　　
　　
　　7. 系统内核安全
　　
　　FreeBSD有个比较强的功能，就是能够定义系统内核的安全等级，主要是为了防止内核后门专门定制的，能通过不同的等级限制对内核的访问和对防火墙等的修改。我们首先要开启系统的安全等级，然后设定安全等级，我们打开 /etc/rc.conf：
　　# ee /etc/rc.conf
　　加入下面的内容：
　　kern_securelevel_enable="YES"
　　kern_securelevel="-1"
　　第一句是打开安全等级，第二句是定义等级。它一共五个等级，下面说说不同之处。
　　* kern_securelevel -1：这是系统默认级别，没有提供任何内核的保护错误；
　　* kern_securelevel 0：基本上作用不多，当你的系统刚启动就是0级别的，当进入多用户模式的时候就自动变成1级了。
　　* kern_securelevel 1：在这个级别上，有如下几个限制：
　　a. 不能通过kldload或者kldunload加载或者卸载可加载内核模块；
　　b. 应用程序不能通过/dev/mem或者/dev/kmem直接写内存；
　　c. 不能直接往已经装在(mounted)的磁盘写东西，也就是不能格式化磁盘，但是可以通过标准的内核接口执行写操作；
　　d. 不能启动X-windows，同时不能使用chflags来修改文件属性；
　　* kern_securelevel 2：在 1 级别的基础上还不能写没装载的磁盘，而且不能在1秒之内制造多次警告，这个是防止DoS控制台的；
　　* kern_securelevel 3：在 2 级别的级别上不答应修改IPFW防火墙的规则。
　　假如你已经装了防火墙，并且把规则设好了，不轻易改动，那么建议使用3级别，假如你没有装防火墙，而且还预备装防火墙的话，不建议使用。我们这里推荐使用 2 级别，能够避免比较多对内核攻击。
　　
　　

最新相关文章

• ·在VMWare中配XFree86的Demo
• ·Unicode与ISO10646（上）
• ·FreeBSD对硬件的支持
• ·关于在FreeBSD上安装GD库的问题解决
• ·FreeBSD 的部分Package简介
• ·freebsd 文件类型表示
• ·用 NT loader 来启动 FreeBSD
• ·FreeBSD Lastcomm介绍
• ·用ports安装指定服务器问题
• ·FreeBSD基础点滴
• ·FreeBSD有许多简单而功能强大的命令
• ·给FreeBSD新手的一些建议
• ·FreeBSD下如何访问MS-DOS文件系统
• ·FreeBSD 升级系统
• ·在FreeBSD上运行Windows软件
• ·FreeBSD 的在线帮助手册