FreeBSD系统安装及安全调整

FreeBSD系统安装及安全调整

内容简介:本文将详细介绍一个网站服务器的系统安装、针对安全因素的系统调整。该服务器通过Apache+PHP4+MySQL提供动态网站服务,通过自带的FTPD提供网页上传服务,通过自带的Open SSH提供管理维护服务。本文将不涉及Apache和MySQL的管理。

  一、安装操作系统

  1.选择发行版本

  安装生产服务器,应当尽量选择最新的稳定版本。本文将采用 FreeBSD 4.8 RELEASE。

  4.8-RELEASE是成文时候最新的-STABLE版本。5.0-RELEASE和即将推出的5.1-RELEASE都是-CURRENT分支的发行版本,其稳定性和性能可能不如-STABLE,仅适合于开发者和发烧友。对于生产服务器来说,miniinst或disc1就足够了。请下载4.8-RELEASE-i386-mini.iso这个文件,刻录成安装光盘。
本文所叙述操作系统的安装就将采用光盘安装方式。

  2.安装要点

  通过安装向导可以很轻松的完成系统安装,这里不加详细叙述,仅仅指出如下两点:

  (1)硬盘分区的注意事项:

  分区的大小根据应用的实际情况而异,特别指出的是,网站文件、数据库文件、日志文件、临时文件应当单独分区存储,以防止攻击者滥用磁盘空间导致系统崩溃。下面是一块容量为18G SCSI硬盘的分区例子:

分区 大小 备注
/ 128M
SWAP 1008M 至少是内存数量的2倍(本系统采用512M内存)
/tmp 256M
/usr 3G 系统和Apache等应用软件、源码存储于这个分区
/usr/home 7G 网站文件存储于此
/var 3G 数据库将使用这个分区
/var/log 2811M 日志文件单独分区

  (2)选择要安装的文件(distributions):

  只安装必要的基本系统即可,绝对不要安装全部软件。在custom项目中,选取如下安装内容:

  bin,基本的 FreeBSD系统文件;
  man,系统帮助文件;
  src—》sys,操作系统核心源码,定制内核时候将使用到。

  接下来,安装程序询问是否安装PORTS,为了方便安装软件,我们选择安装。但在高安全要求的系统上,最好不要使用ports或者packages,尽量自己下载源代码在本地编译,手动安装。

  提示:有时,安全和易用是相互矛盾的。

  然后是拷贝文件,直至安装完毕。

  3.安装后的初步设置

  安装完之后,建议您安装cvsup-without-gui(从bento. freebsd.org可以下在最新版本),并同步代码。对系统进行初步设置:

  增加用户帐号;
  设置网络参数,将主机连接到网络上(全部设置完成后移动到Internet);
  配置网络服务,打开FTP、 SSH服务,后续的配置工作都将远程进行。


  二、定制系统内核

  定制系统内核内容:

  支持特定硬件,如SMP、RAID、大容量内存;
  删除多余硬件驱动支持;
  增强系统安全性,增加IP过滤防火墙支持。

  编辑内核设置文件,为增强安全特性,增添或修改如下内容:

  #启用ipfw过滤
  options IPFIREWALL #打开IPFW过滤功能
  options IPFIREWALL_VERBOSE #设置过滤日志记录
  options IPFIREWALL_VERBOSE_LIMIT=100 #设置日志记录限制
  options IPFIREWALL_DEFAULT_TO_ACCEPT #设置缺省行为
  options NOLKM#关闭LKM
  options TCP_DROP_SYNFIN #丢弃SYNFIN包,需要在rc.conf中打开

  #关于虚拟终端
  #取消历史记录,在登出系统后刷新虚拟终端缓冲中的内容
  SC_NO_HISTORY
  #取消debug键
  SC_DISABLE_DDBKEY
  #取消ctl+alt+del键
  SC_DISABLE_REBOOT


  重新编译系统内核并使之生效。

  三、系统配置

  1.修改/etc/inetd.conf文件内容,配置inetd服务

  (1)telnet服务

  我们将使用 SSH远程管理这台服务器,因此禁止telnet服务:在行前加"#"标记。

  (2)FTP服务

  使用系统自带的FTP服务,并作如下设置:

  ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -l -h

  -l 参数,记录每个成功或者失败的FTP登录尝试;
  -l -l 参数,所有的下载、上传、删除更动作和文件名都会被记录下来(设置syslog.conf)
  -h参数,将禁止主机相关信息的输出,例如ftpd版本、主机名等;
  -P参数,指定FTPD进程监听端口号

  FTP服务其他安全方面的设置:

  把网站编辑帐号放到/etc/ftpchroot文件中,把他们限制在自己的HOME目录,防止浏览其他目录。
  编辑/etc/hosts.allow 文件,限制对FTPD的访问。
  可以编辑/etc/ftpwelcome,防止泄露系统信息。

  2.修改/etc/rc.conf文件,配置系统初始参数

  #配置开机器后自动启动或关闭的守护进程
  #可以关闭inetd,使用 SSH代替了telnet服务,使用其他的FTP服务程序代替系统的ftpd。
  inetd_enable="NO"

  #如果决定使用inetd则启动inetd的日志选项,并提高一个服务每分钟启动的上限数目(默认是256,建议提高到1024),防止DoS攻击;

  inetd_enable="YES"
  inetd_flags="-l -R 1024"

  #打开 SSHD
   sshd_enable="YES"

  #禁止syslogd记录其他主机日志(关闭端口514)
  syslogd_enable="YES"
  syslogd_flags="-s -s"

  #关闭不必要的服务。本服务器没有NFS、NIS登需要,可以关闭portmap (关闭端口111)
  portmap_enable="NO"
  nfs_server_enable="NO"
  nfs_client_enable="NO"

  #使sendmail只监听localhost,允许邮件客户程序发送邮件
  sendmail_enable="NO"
  #设置为"NONE",将彻底关闭25端口

  #设置内核安全级别(Securelevels)
  #内核安全级别从-1到3,-1和0级别是非安全级别。
  #系统在多用户模式下,安全级别只能提升不能降低。
  #Securelevel -1,永久不安全模式
  #Securelevel 0,不安全模式
  #Securelevel 1,安全模式
  #Securelevel 2,高安全模式
  kern_securelevel_enable="YES"
  kern_securelevel="2"

  #计算机启动时候发现文件系统失效,将以-y参数运行fsck

  fsck_y_enable="YES"

  #打开磁盘配额
  enable_quotas="YES"
  check_quotas="YES"

  #在系统启动时清空/tmp
  clear_tmp_enable="YES"

  #防止系统自动加入信息到motd
  update_motd="NO"

  #启动防火墙设置
  firewall_enable="YES"
  firewall_logging="YES"
  firewall_script="/etc/firewall.rules"

  #丢弃SYNFIN信息包。缺省时设置为”NO”,当设置为”YES”的时候,系统内核将忽略同时设置了syn和fin位的TCP桢(需要内核的支持:options tcp_drop_synfin)
  tcp_drop_synfin="YES"

  #丢弃ICMP重定向。可以防止DOS攻击或劫持进程(hijack sessions)
  icmp_drop_redirect="YES"
  icmp_log_redirect="YES" #记录ICMP重定向
  #在CISCO路由器上关闭重定向:no ip send-redirects

  log_in_vain="YES" #记录每一个到关闭端口的连接企图。
  accounting_enable="YES" #打开系统审计功能


  3.修改/etc/sysctl.conf文件,调整IP堆栈


  #关闭对广播类型的响应,过滤ICMP响应后,服务器无法ping 通,可以提高部分安全性能
net.inet.icmp.bmcastecho=0
  #对UDP包的校验和进行计算,防止不正确的UDP包的攻击
  net.inet.udp.checksum=1

  #在默认情况下,操作系统在关闭的端口上接受到TCP SYN段的时候,会发送RST信息包,告诉攻击者这个端口关闭了,导致攻击者继续扫描下一个端口,使端口扫描简单化,浪费了本机CPU时间在DOS上。我们可以使用blackhole来控制对没有socket监听的TCP或者UDP端口接受到连接请求时的行为。
  #当设置这个选项后,系统将马上丢弃这个包而不发RST包,连接端将看到"Connection reset by peer."

  net.inet.tcp.blackhole=2
  net.inet.udp.blackhole=1

  4.防火墙规则设置

  尽管按照上面的叙述已经能够形成一定的防护,但是若要实现安全程度更高的主机系统,就要借助于IPFW这样的包过滤软件,通过设置防火墙规则,严格限制对服务器的访问。

  过滤ICMP服务,命令格式:

  ipfw add pass log icmp from $ip to any [要处理的协议]

  icmp是使用类型规定出站的信息。
  0 echo-reply ping
  3 destination unreachable Any TCP/UDP traffic(主机不可到达)
  5 redirect routing if not running routing daemon(如果未运行路由守护程序,复位向路由)
  8 echo-request ping (入站信息)
  11 time-exceeded traceroute (traceroute 超时)

  配置文件的例子:
  ip="你自己的IP"

  #强制清除所有规则
  ipfw -f flush

  ipfw add pass log udp from $ip to any
  ipfw add pass log icmp from $ip to any icmp 8#接受回答
  ipfw add pass log icmp from not $ip to $ip icmp 0#拒绝请求
  ipfw add pass log icmp from not $ip to any icmp 11# traceroute 超时
  ipfw add pass log icmp from not $ip to any icmp 3#目标主机不可到达

  #SYN、FIN组合的包一般是nmap、queso扫描器使用,所以过滤。
  ipfw add deny log tcp from any to any in tcpflags syn,fin

  #检查通信状态
  ipfw add check-state
  ipfw add deny tcp from any to any in established
  ipfw add allow ip from any to any out keep-state

  #允许ident请求
  ipfw add allow tcp from any to any 113 keep-state setup

  5.日志管理

  (1)启动日志
  修改/etc/rc.conf文件。使用 "-s -s"标志启动syslogd,防止打开UDP 514端口;

  (2)修改/etc/syslog.conf文件,配置syslogd

  #可以将本地日志记录到其他主机loghost上:
  *.*@loghost

  #为FTP增加日志条目:
  ftp.* /var/log/ftpd
  #相关命令:touch /var/log/ftpd

  #记录 SSH连接记录
  security.*;auth.info /var/log/security #记录连接到 SSH的日志信息
  auth.* /var/log/authlog

  #使ipfw能够用syslog记录
  !ipfw
  *.* /var/log/ipfw.log

  (3)使用newsyslog压缩日志
  newsyslog程序能够定时压缩日志文件并清除旧的文件是, freebsd默认安装的,它是从crontab启动的:

  #grep newsyslog /etc/crontab
  0 * * * * root /usr/sbin/newsyslog

  可以修改/etc/newsyslog.conf以符合你的需求。通常把文件属性从664变为640,不让一般用户查看系统记录。

  /var/log/authlog root.wheel 640 7 100 * Z
  /var/log/ipfw.log root.wheel 640 3 100 * Z
  #这会在日志文件达到100K时将它压缩并编号,将mode改成640,chown成root.wheel,并删除旧的日志文件。

  #相关操作:
  #cd /var/log
  #chmod g-w,o-r *;chmod a+r wtmp
  #把所有文件的组属性改为wheel的。

  #防止一般用户读日志配置文件
  #chmod 600 /etc/syslog.conf
  #chmod 600 /etc/newsyslog.conf

  四、用户管理


  1.限制登录条件

  (1)把个人用户放到/etc/ftpchroot文件中,把他们限制在自己的HOME目录

  (2)修改/etc/shells文件,增加不能用来登录的shell,如passwd或者nologin,赋予仅需要FTP功能的用户以/usr/bin/passwd的shell 阻止他们使用SHELL命令。

  (3)拒绝直接以root身份登录:

  在/etc/ttys文件中,将"secure"标记改为"insecure"标记,使系统在进入单用户模式时会要求root密码。但是这样以来也为恢复root密码制造了障碍——安全和易用再次形成了矛盾的两个对立面。

  console none unknown off insecure

  (4)使用 tcp wrapper (/etc/hosts.allow)允许/拒绝访问特定的TCP服务。

  tcp_wrappers 可以在访问者要求服务前先检查/etc/hosts.allow 文件中设定的规则,符合放行规则的才会去启动服务程序,可以达到有条件开放系统服务的目的。

  在/etc/host.allow文件中,注释掉"ALL:ALL:allow",去掉其他无关服务访问,增加如下内容:

   sshd: localhost : allow
   sshd: friendlycomputer : allow
   sshd: all : deny

  另外需要注意的是:

  注意规则的先后顺序,因为tcp_wrappers的规则有first match 的特性,最好把放行的规则写在前面,然后在后面加一条全部禁止的规则;

  为避免 DNS 欺骗,规则尽量使用IP表示;

   FreeBSD缺省的/etc/hosts.allow中第一条规则是 ALL : ALL : allow,自己的规则一定要放在他前面才有效。

  (5)使用 allowuser/allowgroup SSH配置选项以允许特定的用户和组使用 SSH连接。

  (6)限制登录的用户、组以及登录地方,修改/etc/login.access。

  (7)利用login.conf对用户的登录环境和资源许可进行设置。

   FreeBSD系统使用/etc/login.conf中描述的数据将用户按照登录环境、强制性的资源限制以及记帐管理登分为不同的登录类别,每个用户的登录类别记录在/etc/master.passwd中该用户的设置中。

  每次修改login.conf后,都要进行更新登录数据库的操作:

  #cap_mkdb /etc/login.conf

  由于登录类别保存在master.passwd文件中,通常在使用adduser添加用户的时候设置用户的登录类别,如果要进行修改,必须使用vipw来修改/etc/master.passwd文件中的5个域。


  2.登录环境


  (1)编辑/etc/motd文件,阻止计算机泄露系统信息

  (2)删除版权信息
  #touch /etc/COPYRIGHT

  (3)防止系统自动加入信息,修改/etc/rc.conf
  update_motd="NO"

  (4)修改登录提示,编辑/etc/gettytab,找到default:小节,他以下面的文字开头:
  :cb:ce:ck:lc

  小心的修改r:之间的文字来适应自己的需要。

  3.crontab的问题

  建议 www、nobody、bind等用户不能使用crontab,建立/etc/cron/allow文件把需要使用的用户放进去,如:
  #echo root>/var/cron/allow
  #chmod 600 /var/cron/allow

  如果不使用at命令,就关闭这个服务,在/etc/crontab文件中注释掉
  # */5 * * * * root /usr/libexec/atrun

  4.保护文件系统

  (1)锁住文件系统

  A.修改/etc/fstab文件,设置系统启动时自动挂接的文件系统,使用nosuid参数挂接/usr 或 /(目的是/sbin)文件系统,尤其是一般用户可以写入的文件系统,应单独划分分区:

  /home or /usr/home
  /tmp or /var/tmp

  /etc/fstab文件内容:
  /dev/sd0s1e /var/tmp ufs rw,nosuid 2 2

  B.搜寻并去除不用的二进制文件的suid位,(尤其是uucp——setgid)
  C.使用chflags设置变量,例如,给日志文件设置sappnd,给系统二进制文件设置schg标志;

  #相关命令:
  #找出你所有的可写入目录,
  #find / -perm -0777 -type d -ls

  找出那些程序是suid 或者sgid的命令:

  #find / -perm -2000 -ls
  #find / -perm -4000 –ls

  (2)文件保护,严格限制系统配置文件权限,只对root用户开放读写权利:

  #chflags schg /bin/*
  #chflags schg /sbin/*

  #chmod 600 /etc/firewall.rules
  #chmod 600 /etc/crontab
  #chmod 600 /etc/newsyslog.conf
  #chmod 600 /etc/rc.sysctl
  #chmod 600 /etc/rc.conf
  #chmod 600 /etc/syslog.conf
  #chmod 600 /etc/sysctl.conf
  #防止一般用户读日志文件
  # chmod 640 /var/log/httpd-access.log

  (3)可以把不是很有用的程序 chmod 000,如uustat,uucico。如果你从来不碰uucp或是PPP和PPPD的话,你绝不会用到他们。如果不用打印机的话,把lpr lprd也chmod 000了吧。

  5.其他相关

  修改计算机相关设置,如BIOS,不允许软盘启动、CDROM启动,即在装载硬盘驱动之前不允许其他媒介启动,设置BIOS密码,保护机器物理安全。

  五、配置 SSH


  修改/etc/ ssh/ ssh_ config文件

  (1)使用protocol 2代替protocol 1, SSH2更加安全,可以防止攻击者通过修改携带的版本banner来劫持(hijacking)启动会话进程并降低到protocol 1。注释掉protocol 2,1 改用下面语句代替:

  protocol 2

  (2)合理设置最大连接数量, 防止DOS攻击

  MaxStartups 5:50:10

  (3)禁止远程root和空密码登录,建议关闭X11forwording

  X11Forwarding no

  (4)强烈建议不使用静态密码,而使用DSA 或RSA KEY,修改如下内容可以关闭使用密码认证:

  PasswordAuthentication no

  (5)可以限制组或光是单个用户访问shell

  AllowGroups wheel
  AllowUsers xundi

  (6)使用TCP wrappers来限制一些访问,修改/etc/hosts.allow文件,注释掉"ALL : ALL : allow",增加如下内容:

   sshd:localhost:allow
   sshd:friendlcomputer:allow
   sshd:all : deny

  #相关命令:
  #chsh -s /sbin/nologin user

  六、总结和补充

  使用最新版本的操作系统;推荐使用STABLE或者最新RELEASE分支。
  修改系统前,首先备份系统。
  修改/etc/inetd.conf和rc.conf关闭可有可无和不必要的服务。
  立即禁用telnet,使用 SSH代替之——Open SSHfreebsd安装时即被包括。
  使用 SSH2协议中内建的sftp服务代替标准的ftp
  建立 SSH公钥防止口令传输。
  使用包过滤软件类如ipfw或者ipfilter限制服务的获取。
  禁止不需要的帐户
  应用组和用户的概念
  设置正确的文件权限
  以chroot环境运行具有潜在危险的程序,例如bind
  使用sudo,非严格root级访问
  限制某些强大命令的访问
  如何检查你的安全性

  /usr/ports/security/nmap 对自己进行端口扫描,以发现异常服务
  /usr/ports/security/whisker 对WEB服务器进行审计,防止潜在破坏
  /usr/ports/security/tripwire-
  /usr/ports/security/snort

  日常操作

  (1)经常查看http://www. freebsd.org/security/index.html的安全公告;
  (2)订阅security bugtraq和 freebsd官方安全邮件列表了解安全动态;
  (3)每天查看系统日志,关于检查系统日志,你可以通过其他工具增加多信息的捕获,如snort可以比较完全的记录信息;
  (4)如果你的硬盘够大,信息处理够快,可以定时使用 netstat -an >> /.../.../netstat.log来记录信息,因为netstat能记录连接信息,所以如有些后门日志不能记录,但netstat却在一定时间里总有连接记录。
  (5)如果你对文件系统有原始的记录,可以定时使用一些系统完整性检查工具进行检验;
  (6)如果你有防火墙,经常查看防火墙信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值