让FreeBSD更安全(Securing FreeBSD)

翻译：delphij 前几天我整治了往日的少许条记，以及近几年搜集的少许安定倡导。我觉得这大概对您有扶助，以是本周我就休憩文书档案系列的作品，写一点对于使你的freebsd体例更安定的实质。很鲜明，在这个范围我不大概用一篇作品所有地引见一切的工作。其余，也不大概给出一个提防四海皆准的，保护任何体例都安定的计划。在我整治条记的进程中，我提防到很多都是对于怎样让freebsd效劳器(如，web效劳器，邮件效劳器，之类)更安定的本领。即使你用freebsd做为部分体例，并蓄意实足的桌面功效的话，这就不太够用了。你确定不承诺由于某些加强安定的树立，形成某些功效没辙运用，并在尔后的一周内孤掌难鸣地与计划机举行格斗，直到找到题目的地方。所以，你将提防到，和很多其它安定教程各别，这份文书档案并不倡导你窜改freebsd体例中文献的权力。这是蓄意的。只有你正在加强一台消费效劳器的安定性，而且格外领会本人在做什么，要不绝不要窜改文献的权力。(即使你确定要做做试验的话，请在本人的home文献夹中作)。否则的话，少许货色大概就会遏止处事，比方，电子邮件，x window体例，声响。怪事会在不经意的功夫爆发，让你头疼长久之后才认识到大概是一周前的某个权力树立形成的题目。咱们都领会internet并不老是一个和睦的场合，并且你大概也不想让另一个场合的人具有与你一律的考察承诺权力。这表示着你大概不蓄意在没有那种风火墙的基础下考察internet。倒霉的是，你的freebsd体例扶助良种风火墙：ipfw 和 ipfilter。更令人震撼的是，肤浅易懂的文书档案正在赶快减少。即使你不在风火墙反面，那么请花一个周六下昼的功夫读一读怎样在你的体例上摆设风火墙的作品，并演练一把。你将为此感触欣喜，以次是一局部可用的资源：man ipfwfreebsd handbook: section 10.7 -- firewallssetting up a dual-homed host using ipfw and natdman ipfipfilter and pf resources好的安定老是“层层布防”，这表示着即使一个体制作废了，仍旧有备用的体制。纵然你的体例已接受到了风火墙的养护，你仍旧须要禁止使用一切效劳，除去那些一致须要的。在桌面体例中，不须要很多的效劳。用底下的吩咐不妨察看哪些效劳正在试图监听贯穿你的体例：sockstat -4输入的分辨大概很大，这在于于在安置的结果阶段采用的软硬件，以及之后自行安置的port和package。端口6000(x window效劳器)是输入中非往往见的；即使没看到它的话，启用一个x window对话，而后从新运转 sockstat -4。悲惨的是，在往日的几年中有很多对准x window的报复。倒霉的是，运用x并不须要翻开6000端口，不用担忧，纵然封闭了这个端口，仍旧不妨运用图形界面！很多本领不妨关掉这个端口。我创造的最大略的本领是变成超等用户，并编纂 /usr/x11r6/bin/startx。找到 serverargs 那一条龙，并把它改为一致底下的格式：serverargs="-nolisten tcp"生存窜改之后，以普遍用户身份运转x并实行 sockstat -4。即使没有打字缺点，那么x会像平常那么启用，但 sockstat -4 输入中不会再展示端口6000。即使想领会6000端口翻开的成果，请观赏 crash course in x window security。好了，此刻 sockstat -4 输入中的效劳少了一个。咱们还须要处置一下邮件：端口 25 (smtp) 和 587 (submission)。收发邮件并不须要 587 端口，为了封闭它，咱们须要窜改 /etc/mail/sendmail.cf。搜索这一条龙：o daemonportoptions=port=587, name=msa, m=e而后在前方加上 # ，并报告 sendmail 变革：killall -hup sendmail-hup 不会杀掉 sendmail，但他会报告sendmail从新处置 /etc/mail/sendmail.cf。反复sockstat -4 ，它将不复表露 587。那么端口25呢？你大概须要，也大概不须要翻开这个端口，这在于于运用怎么办的邮件步调来收发邮件。对于运转 freebsd 4.6-release 或更高本子的体例，在/etc/rc.conf中减少底下的行：sendmail_enable="no"将报告 sendmail 只监听 localhost，这承诺一切的邮件存户步调发送邮件。即使你领会你的邮件存户步调带有内置的smtp代劳，大概爱好浮夸，那么不妨试验一下：sendmail_enable="none"这将完全封闭25端口。查看一下这能否让你没辙发送邮件是很要害的，保证仍旧关掉了一切运用步调，随后，以超等用户身份实行：shutdown now收到提醒后按回车、exit。从新登录后给本人发一封邮件，即使收不到，那么把none改回no。即使你的"sockstat"表露端口111翻开，那么把底下几行加到 /etc/rc.conf (大概，即使仍旧有那些行，把 yes 改为 no):nfs_server_enable="no"nfs_client_enable="no"portmap_enable="no"portmap惟有在运转nfs时才是必定的，而这常常不是freebsd桌面体例的须要。汗青上它有过很多安定题目，所以只有你一致须要它，要不就别用。syslog (端口 514) 也大概出此刻你的输入截止中。咱们大概并不蓄意实足关掉 syslog ，由于它供给的动静记载是咱们须要的。但咱们并不须要为此打发端口。在 /etc/rc.conf 文献中减少底下的选项:syslogd_enable="yes"syslogd_flags="-ss"标记中的ss (确认用了两个s，而不是一个) 将遏止来自长途长机的记载并封闭端口，但仍旧承诺 localhost 举行日记记载。随后，确认 /etc/rc.conf 中inetd_enable不是yes。即使sockstat输入中有inetd，那么/etc/inetd.conf中确定有什么名目没有被解释掉，即使不须要的话，那么把那一条龙前方加上#，并 killall inetd。即使须要运用dhcp机动获得地方，那么请维持dhclient (udp 68)翻开，要不将不许革新地方。即使在 sockstat 输入中创造了其余货色，那么请看看 man rc.conf 内里有没相关于怎样关掉那些货色的提醒。即使没有的话，那么很大概是某个启用剧本启用了少许效劳步调，请实行：cd /usr/local/etc/rc.d来看看你的体例中的启用剧本。绝大普遍 packages/ports 会安置一个扩充名为sample的演示剧本用来启用效劳，那些剧本并不被实行；也有少许径直安置不妨实行的剧本，它们会在计划机启用的功夫加载。遏止某个剧本知性最大略的本领是把它的扩充名改为sample，随后杀掉保护步调，如许sockstat就不会再说什么了。 举例来说，我迩来安置了 ethereal 截止创造 snmpd 出此刻 sockstat -4 的输入中，这个步调在安定上面名气不佳，所以我把本人晋级为root并实行了底下的吩咐：cd /usr/local/etc/rc.dmv snmpd.sh snmpd.sh.sample killall snmpd你大概会蓄意把底下的选项介入 /etc/rc.conf ：tcp_drop_synfin="yes"这个选项不妨挫败诸如os螺纹辨别的计划(译注：这个选项对最新的nmap失效)。即使你安排打开这个选项，那么，还须要在前核编写翻译摆设文献中介入：options tcp_drop_synfin再有两个关系的选项：icmp_drop_redirect="yes"icmp_log_redirect="yes"icmp 重定向不妨被运用实行dos报复。这篇 arp and icmp redirection games article 引见了简直的少许情景。在翻开 icmp_log_redirect 选项时请必须提防，由于它会记载每一个icmp重定向 ，即使你受到了如许的报复，那么日记很大概会塞满记载。建好风火墙之后，请商量介入底下的选项：log_in_vain="yes"这个选项会记载每一个到封闭端口的贯穿计划。另一个比拟有道理的选项是：accounting_enable="yes"这将翻开体例审批功效，即使你不熟习她们，那么请观赏 man sa 和 man lastcomm 。结果，底下的选项大概特殊有效：clear_tmp_enable="yes"由于它在体例启用时将清空 /tmp ，这长久是一件犯得着去做的工作。让咱们来接洽一下其余不妨巩固安定的树立。我比拟爱好把默许的口令加密算法改为blowfish，由于它在供给最好安定性的基础下，也供给了最快的速率。这边有一份 comparison of algorithms[几种暗号学算法的比拟]。固然，即使你对这类货色感爱好的话，看看 cryptogram newsletter ，它是blowfish作家写的。为了起用 blowfish 散列，编纂 /etc/login.conf 并把 passwd_format 一条龙改成底下如许：:passwd_format=blf:\生存树立，从新创造登录数据库：cap_mkdb /etc/login.conf随后须要窜改每一个用户的口令，再不让那些口令都运用 blowfish 散列值。以超等用户的身份实行底下的吩咐：passwd username须要窜改一切用户的口令，囊括root本人。实行了那些操纵之后，从新查看一下确认本人没有脱漏什么：more /etc/master.passwd 一切用户的口令该当以$2.发端结果，从新摆设 adduser 步调，让它在此后运用blowfish。窜改 /etc/auth.conf，找到 crypt_default 一条龙，改为：crypt_default=blf你大概仍旧提防到，历次登录的功夫freebsd城市提醒你，你在用的谁人体例是freebsd，以及它的版权消息，囊括内核的编写翻译功夫，之类。那些消息大概有效，但十分烦人，更加是当旁人不妨登录的功夫，它大概会表露少许你不蓄意表露的消息。不妨经过编纂 /etc/motd 来遏止计划机说出少许不该说的货色，大概传播你的少许办法，囊括你爱好看的 sci-fi 文章摘要，大概其余少许——总之你想写什么就写什么。随后，简略版权消息：touch /etc/copyright随后，还不妨窜改登录提醒，编纂 /etc/gettytab. 找到 default:\ 末节，它以底下的笔墨发端：:cb:ce:ck:lc提防地窜改 \r\n\ \r\n\r\nr\n: 之间的笔墨来符合本人的须要。请提防查看 \r 和 \n 的数目，并生存窜改。比方，我的登录提醒是如许的：i'm a node in cyberspace. who are you?login:不妨在其余结尾上试验登录，以确认精确性。结果，纵然你仍旧窜改了motd并居中简略了内核本子消息，默许情景下freebsd仍旧会在启用之后把那些货色介入 /etc/motd 。所以须要窜改 /etc/rc.conf 并介入底下的树立：update_motd="no" 这个树立须要从新启用才会奏效。其余，控制登录也利害常要害的。由于那些变化会变换 login 步调的动作，所以须要特殊精心。比拟好的风气是维持一个以root身份登录的结尾，用其余结尾试验。如许即使因为那种因为形成题目，你仍旧不妨矫正。囊括你本人在前的任何人都不该当径直以root身份登录。窜改 /etc/ttys。你将提防到 ttyv0 到 ttyv8的一系列树立。把反面的 secure 改为 insecure。提防，这个文献确定是你不蓄意有任何缺点的一个文献，所以请提防地举行尝试。即使树立精确，root登录将收到 "login incorrect" 。我部分目标于运用一切的9个结尾。即使你不安排如许，请把对应的 "on" 改为 "off" ，固然，不过一局部 ttys 。牢记维持起码1个 "on," 要不你会没辙登录，这将引导体例没辙运用。ttyv8 默许情景下是 "off" ，这表示着你须要手动翻开x，即使蓄意机动启用，那么把它改为"on."。结果一个我想说的控制是遏止从其余场合登录，这是经过编纂 /etc/login.access 实行的。你大概蓄意遏止十足长途登录（这表示着你必需物理地坐在呆板前方），简略底下这一条龙前方的#号：#-:wheel:all except local .win.tue.nl把 .win.tue.nl 去掉，所以它看上去将像如许：-:wheel:all except local 即使你须要从长途登录，那么把.win.tue.nl 替代为相映的ip或域名。即使有多个地方，用空格划分。即使惟有一两个用户的话，那么不妨中断其余人登录：-:all except user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4用简直的用户名替代掉 user1 user2 。即使须要的话，减少相映的tty。其余，也不妨把用户组方在这边。开始，编纂 /etc/group 并减少底下的行：mygroup:*:100:genisis,dlavigne6,biko当减少组时，须要保护gid的独一性。随后，窜改 /etc/login.access ：-:all except mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5尝试它特殊要害，确定要留一个结尾。尝试每一个结尾上的登录，确认其功效。