刚刚装好FreeBSD,接下来将对其进行简单的安全配置。
1. 彻底关闭sendmail
添加 sendmail_enable="NONE" 到 /etc/rc.conf
2. 让syslogd仅记录本机
添加 syslogd_flags="-ss" 到 /etc/rc.conf
3. 修改/etc/ttys
将 console 该行末尾 secure 改为 insecure,以防止有人通过进入单用户模式而直接控制系统。
通常都是通过SSH远程登陆来管理系统的,还可禁用8个虚拟控制台(也就是在控制台通过alt+F1/F2/F3等来切换的):
注释除ttyv0以外的ttyv1-ttyv8即可。
4. 修改/etc/sysctl.conf
去掉security.bsd.see_other_uids=0前面的#即可。
5. 修改/etc/motd
修改默认内容为自定义内容,并添加 update_motd="NO" 到 /etc/rc.conf
6. 禁用ctrl+alt+del重新启动
在内核配置文件中添加以下内容,然后重新编译并安装新内核:
options SC_DISABLE_REBOOT
7. 安装ipfw防火墙
在内核配置文件中添加以下内容,然后重新编译并安装新内核:
options IPFIREWALL
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
添加以下内容到 /etc/rc.conf:
firewall_enable="YES"
firewall_logging="YES"
firewall_script="/etc/rc.firewall"
firewall_type="client"
修改 /etc/rc.firewall 定制访问规则
8. 启用sshguard防止暴力破解SSH密码
安装sshguard:
cd /usr/ports/security/sshguard-ipfw/
make install clean
编辑/etc/syslog.conf:
去掉 auth.info;authpriv.info |exec /usr/local/sbin/sshguard 前面的#
重新启动 syslogd:
/etc/rc.d/syslogd restart