用FreeBSD构建安全的Web服务器（一）

　　二、系统安全设置
　　
　　1. 用户控制
　　
　　尽量少的用户，我们的FTP帐户是和系统帐户绑定在一起的，所以我们添加用户的时候先建立一个目录，然后把新建的用户主目录指向到该目录下。假设我需要一个用户能够治理我的网站，而我网站的目录是在 /usr/www 目录下，那么我们新建立的用户 www_user 的主目录就指向 /usr/www 目录，同时它的shell是没有的：/usr/sbin/nologin ，主要是为了防止它通过ssh登陆到系统。同时FTP的密码也要设置的非常复杂，防止黑客通过暴力破解获得FTP权限。另外还要说道我们的root用户的密码，我想最少应该不要少于10位的数字＋字母＋字符的密码（我的密码是18位），否则是非常不安全的，假如密码简单，那么黑客通过短时间的暴力破解SSH中的root帐户，不用几天，系统就可能被攻破了，同时也建议最少一个月更改一次root用户的密码。（强烈建议一般帐户不要有登陆系统的权限，就是把shell设为/usr/sbin/nologin）
　　一般假如要使用root权限建议建立一个属于wheel组的小用户，然后登陆后通过su命令提升为root用户进行治理，假如黑客通过破解了我们普通用户的权限后登陆系统，也不能直接通过root权限进行治理，这是一种安全防范的简单方法。
　　
　　
　　2. 文件访问控制
　　
　　有时候被黑客入侵后拿到了小权限用户，比如传了一个WebShell到系统中，那么对方很可能会把 /etc/passwd 等内容直接读取出来，同时查看/etc/master.passwd中对加密后的root用户的密码hash进行破解，最后拿到密码进行登陆系统。那么我们就要控制部分文件只有root能够访问，其他用户无权访问。比如uname，gcc等，假如黑客拿到小权限用户后就会查看系统版本，然后找到该版本系统对应的溢出程序，使用gcc来进行编译，假如我们能够限制黑客访问uname和gcc等程序，能在一定程度上减缓黑客入侵的脚步。
　　使用chmod来改变某个文件的权限信息，比如我要 /etc/passwd 和 /etc/master.passwd 文件只能答应root访问：
　　使用八进制数字来设置
　　# chmod 700 /etc/passwd
　　# chmod 700 /etc/master.passwd
　　使用字符标记来进行设置
　　# chmod u w r x,go-w-r-x /etc/passwd
　　# chmod u w r x,go-w-r-x /etc/master.passwd
　　系统中有多个重要文件需要设置控制访问权限，一定要控制好，否则将会构成重要威胁。
　　
　　
　　3. 系统服务和端口控制
　　
　　端口开的越多就越给黑客多一个入侵的机会，服务越多，危险越大，因为你不知道那些服务是不是有潜在的漏洞或者又发现了新的漏洞，所以尽量少的服务，比如sendmail默认是打开的，那么些建议你把sendmail关闭，关闭防范是在 /etc/rc.conf中加上：
　　sendmail_enable = "NONE"，假如设为"NO"那么只能够关闭掉pop3服务，不能关闭smtp的服务，所以要设置为"NONE"。
　　系统中最好除了我们能够看到的Apache、Mysql、vsFTPd、SSH之外不要打开其他任何端口和服务。基本的方式是使用netstat -a 查看打开的端口，然后从对应的端口来找相关的服务，比如我们这里应该只答应开的端口有 21, 22, 80, 3306等，假如有其他端口，那么一定要仔细检查，很可能是黑客的后门或者是会对系统安全构成威胁的服务。同时有些服务不需要监听网络连接的话，只是需要本地的连接，比如Mysql，那么就可以关闭Socket监听，这个将在Mysql安全设置中讲解，另外，可以通过防火墙来控制部分端口访问和连接状况，比如Mysql的3306端口只答应192.168.0.1访问，那么我们就在ipfw里添加规则：
　　ipfw add 10001 allow tcp from 192.168.0.1 to 10.10.10.1 80 in
　　这样就能够防止黑客来访问服务器上的Mysql服务。具体防火墙的设置将在下面“防火墙设置”中具体讲解。
　　
　　
　　4. 日志治理和控制
　　
　　
　　5. 文件指纹检测
　　
　　文件指纹就是我们文件的基本信息，比如文件权限、文件所属用户/组、文件最后修改日期、文件大小等等，这些都是重要信息，一般黑客入侵后都可能修改文件，那么文件指纹就不一样了。另外，文件的md5校验值也属于文件的指纹的一种。
　　为了防止黑客篡改系统中的部分核心文件，比如 /etc/passwd, /etc/shadow, /etc/inetd.conf 等等，那么我们就可以考虑把部分重要文件进行备份，同时做一份目前有的文件的一个指纹保留，比如把 /etc，/bin, /usr/bin 目录下的文件进行指纹保留：
　　# ls -l /etc > /var/back/etc.txt
　　# ls -l /bin > /var/back/bin.txt
　　# ls -l /bin > /var/back/usrbin.txt
　　当然，还有就是给每个重要的文件加上md5校验值，假如觉得不对劲的时候就进行匹配，保证文件的安全。
　　你可以给你觉得需要做指纹备份的目录进行备份，一般这是为了以后被黑客入侵后的系统检测和系统恢复。比如可以通过文件被修改的时间来确定是不是被入侵，比如可以对比看 /etc/inetc.conf文件和备份的文件有什么不同来确定是不是安装了服务型后门等。

　　未完，待续

最新相关文章

• ·在VMWare中配XFree86的Demo
• ·Unicode与ISO10646（上）
• ·FreeBSD对硬件的支持
• ·关于在FreeBSD上安装GD库的问题解决
• ·FreeBSD 的部分Package简介
• ·freebsd 文件类型表示
• ·用 NT loader 来启动 FreeBSD
• ·FreeBSD Lastcomm介绍
• ·用ports安装指定服务器问题
• ·FreeBSD基础点滴
• ·FreeBSD有许多简单而功能强大的命令
• ·给FreeBSD新手的一些建议
• ·FreeBSD下如何访问MS-DOS文件系统
• ·FreeBSD 升级系统
• ·在FreeBSD上运行Windows软件
• ·FreeBSD 的在线帮助手册