📄 00000030.htm
字号:
<BR>portmap_enable="YES" # Run the portmapper service (or NO). <BR> <BR> 改成 <BR> <BR>portmap_enable="NO" # Run the portmapper service (or NO). <BR> <BR> <BR> o Sendmail <BR> <BR> FreeBSD 出厂的预设值也会执行 sendmail 的功能。从很久以前 sendmail 就以不安全 <BR> 且漏洞百出闻名。最近人们努力的将 sendmail 中的错误清除,但是由於 sendmail是一 <BR> 个很肥大的程式,要将所有的错误都抓出来相当的困难。换句话说:如果你不需要它的话 <BR> ,最好把它关掉。如果你真的需要它的话,最好到 sendmail 的网站去看看有没有新的 <BR> patches 或是 hacks, sendmail 的网站在 <A HREF="http://www.sendmail.org">http://www.sendmail.org</A> 。 <BR> 此外,如果你的 sendmail 版本是 8.8 以後的版本,请设定好你的系统,以防止 spammer <BR> 利用你的系统去干坏事。设定 anti-spam 的资讯可以在 <BR> <A HREF="http://www.sendmail.org/antispam.html">http://www.sendmail.org/antispam.html</A> 下找到。 <BR> <BR> 如果你决定要把 sendmail 关掉的话,只要去修改 /etc/rc.conf (没错,又是它)中的: <BR> <BR>sendmail_enable="YES" # Run the sendmail daemon (or NO). <BR> <BR> 改成 <BR> <BR>sendmail_enable="NO" # Run the sendmail daemon (or NO). <BR> <BR> <BR> o Ports and Packages <BR> <BR> 在一台高安全性的系统上, 最好不要使用 ports 或 packakges。 你不会真正知道是不 <BR> 是安装 suid 的程式进你的系统 -- 而且你不会想再多这些 suid 的东西了, 相信我。 <BR> 尽管你在 pkg_add 时可以使用不同的选项(如 "-v" 或 "-n"), 最好还是自己来: 抓回 <BR> 它的 source code, 自己 compile, 再手动安装完成。 <BR> <BR> o Filesystem quota <BR> <BR> 如果你的系统是 "shell" type server,你可能希望设定使用者的 quota (可用空间)。 <BR> 如此一来可以保护你的系统免受 Denial of Service 攻击方式的侵扰(不论是有意或 <BR> 是无意的)。在未设定 quota 的系统上使用者可以随意的灌爆你的硬碟。要把 quota <BR> 这项功能打开,你可以修改 /etc/rc.conf 中的这项设定: <BR> <BR>check_quotas="NO" # Check quotas (or NO). <BR> <BR> 改成 <BR> <BR>check_quotas="YES" # Check quotas (or NO). <BR> <BR> <BR> 请先看看以下的 man page,这些文件说明如何使用 quota 的各项设定,并且有一些设定 <BR> 的范例: quotaon, edquota, repquota, quota <BR> 请确定在 /etc/fstab 中有加入 "userquota" , 详见 man 5 fstab。 <BR> <BR> <BR> o Crontab <BR> <BR> 如果你使用了 /etc/crontab 的话,这项功能有可能提供入侵者一些额外的资讯。 <BR> 请确定你做过 "chmod 640 /etc/crontab" <BR> <BR> <BR> o BPF <BR> <BR> BPF 是 berkeley packet filter 的缩写,要使用这项功能前你必须修改 kernel,以达 <BR> 成监听网路的目的。像 tcpdump 和 NFR 这些程式都使用 BPF。然而 BSD的监听程式 <BR> 也都透过 BPF 来达成,如果有人拿到你系统的 root 权限的话,在系统上设定 BPF 功 <BR> 能反而帮助他们更容易的监听你的网路。如果没有必要的话,不要设定 kernel 中 BPF <BR> 的功能。 FreeBSD 出厂的设定值是将这个功能关闭起来的。 <BR> <BR> <BR> o CVSup, CVS, 等等 <BR> <BR> 如果你是使用 CD-ROM 安装你的系统的话,很有可能当你拿到你的 CD-ROM时,已经发现 <BR> 某些程式有错误存在了。在大部份的情况下(我们希望如此),这些错误与系统安全无关 <BR> 。然而,我建议你将你的系统升级到最新的 -current (或是 -stable,视你的喜好而定) <BR> 版本。如此你可以确定你系统上的的是最新版本的系统原始码。 <BR> 你需要的资讯在这边可以找到: <BR> <BR> <A HREF="http://www.freebsd.org/handbook/handbook264.html#508">http://www.freebsd.org/handbook/handbook264.html#508</A> <BR> <BR> 在更新你作业系统的原始码後你必须去 "make world",详细的文件在: <BR> <BR> <A HREF="http://www.nothing-going-on.demon.co.uk/FreeBSD/make-world/make-world.html">http://www.nothing-going-on.demon.co.uk/FreeBSD/make-world/make-world.html</A> <BR> <BR> <BR> <BR> o SSH <BR> <BR> 使用 ssh 以代替 telnet, ftp, rlogin, rsh 等的重要性, 再怎麽强调都是不够的。 <BR> 对於使用慢速线路的人 (dial-up, 56K frame), ssh 有 -C 选项: <BR> <BR> -C Requests compression of all data (including stdin, <BR> stdout, stderr, and data for forwarded X11 and <BR> TCP/IP connections). The compression algorithm is <BR> the same used by gzip, and the "level" can be con- <BR> trolled by the CompressionLevel option (see below). <BR> Compression is desirable on modem lines and other <BR> slow connections, but will only slow down things on <BR> fast networks. The default value can be set on a <BR> host-by-host basis in the configuration files; see <BR> the Compress option below. <BR> 将资料压缩後再传出去, 包括了 stdin, stdout, stderr <BR> 还有透过 X11 还有 TCP/IP。压缩的演算法同 gzip, 而且 <BR> 可以指定压缩的 level。对於 moden users 和使用慢速线 <BR> 路的人, 这功能是不错的。 但有高速线路的人, 这麽搞只 <BR> 会拖慢速度。在主机对连时可以设预设值, 请再叁照文件。 <BR> <BR> 这会让你用起来快一点 :) 总之就是用 SSH 就对了啦! 拜托, 拜托, 使用 ssh。 如果 <BR> 你硬是不信邪, 再也没什麽安全措施可以帮助你了 !! <BR> <BR> o Related URLs <BR> <BR> FreeBSD Hardening Project: <BR> <A HREF="http://www.watson.org/fbsd-hardening/">http://www.watson.org/fbsd-hardening/</A> <BR> <BR> FreeBSD ipfw Configuration Page: <BR> <A HREF="http://www.metronet.com/~pgilley/freebsd/ipfw">http://www.metronet.com/~pgilley/freebsd/ipfw</A> <BR> <BR> FreeBSD Security advisories: <BR> <A HREF="ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/">ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/</A> <BR> <BR> FreeBSD Security web page: <BR> <A HREF="http://www.freebsd.org/security/security.html">http://www.freebsd.org/security/security.html</A> <BR> <BR> Security tools in FreeBSD: <BR> <A HREF="http://www.samag.com/archive/0705/feature.html">http://www.samag.com/archive/0705/feature.html</A> <BR> <BR> o Thanks <BR> <BR> 对於这份仍在赶工的文件我有许多的感谢。你的批评, 指教, 才让这份文件得以问世。 <BR> <BR> <BR> <BR> <BR>-- <BR>※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.114.8.209] <BR><CENTER><H1>BBS水木清华站∶精华区</H1></CENTER></BODY></HTML>⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -