安全工具雖然只使用FreeBSD基本系統(tǒng)提供的功能，就能將計(jì)算機(jī)系統(tǒng)設(shè)置為具有非常高的安全性的系統(tǒng) 。然而網(wǎng)絡(luò)上也存在各種用于增強(qiáng)或檢查系統(tǒng)安全性的軟件工具，有些工具是標(biāo)準(zhǔn)程序的更安全替代品，增強(qiáng)了系統(tǒng)安全性，有些是對(duì)系統(tǒng)或網(wǎng)絡(luò)進(jìn)行監(jiān)視和檢查的工具 。使用這些工具，毫無(wú)疑問(wèn)會(huì)進(jìn)一步增強(qiáng)系統(tǒng)的安全性 。FreeBSD的Packages Collection或Ports Collection通常將這些工具放在security子類(lèi)中 。
系統(tǒng)工具軟件
雖然FreeBSD系統(tǒng)本身提供了對(duì)訪問(wèn)的認(rèn)證、控制和記錄，然而由于在Unix系統(tǒng)中，服務(wù)程序基本上是獨(dú)立的，使用標(biāo)準(zhǔn)的安全控制方式的服務(wù)程序能從FreeBSD的認(rèn)證控制機(jī)制中獲益，但是有些服務(wù)程序并沒(méi)有使用這些安全認(rèn)證方式 。對(duì)于獨(dú)立進(jìn)行認(rèn)證控制的軟件，除了使用其本身的控制能力之外，還有一些獨(dú)立的軟件具備為其他程序服務(wù)的控制訪問(wèn)功能 。
還有一些系統(tǒng)工具，能用于自動(dòng)檢查系統(tǒng)，幫助管理員發(fā)現(xiàn)系統(tǒng)中存在的問(wèn)題，這些軟件也是非常有用的工具 。此外，還有一些工具軟件屬于系統(tǒng)工具，但對(duì)于增進(jìn)系統(tǒng)安全也有很大意義，例如sudo，能在一定程度上增加root口令的安全性 。
TcpWrapper
tcp_wrapper對(duì)于多種服務(wù)器軟件是非常有用的訪問(wèn)控制工具，它能以統(tǒng)一的方式保護(hù)各種不同服務(wù)器 。對(duì)于沒(méi)有受防火墻保護(hù)的獨(dú)立主機(jī)系統(tǒng)，tcpwrapper的保護(hù)更為重要 。因?yàn)榕渲昧藅cp_wrapper之后，任何向inetd發(fā)起的連接首先是連接到tcp_wrapper提供的tcpd上之后，再連接到具體的服務(wù)進(jìn)程上，這樣tcpd就有機(jī)會(huì)查看遠(yuǎn)程系統(tǒng)是否被允許訪問(wèn)，并能將連接的情況通過(guò)syslog記錄下來(lái)，包括請(qǐng)求的種類(lèi)，時(shí)間和連接的來(lái)源地址 。
這個(gè)程序事實(shí)上代替了系統(tǒng)提供的守護(hù)進(jìn)程，來(lái)輕松和高效的監(jiān)控外部網(wǎng)絡(luò)與服務(wù)器的連接 。由于它提供了詳細(xì)的日志記錄，也是用于抓住入侵者，并提供可靠的證據(jù)的一種方法 。tcpwrapper的思想與代理型防火墻的思路是相同的，都是通過(guò)替換正常服務(wù)器的做法來(lái)完成控制任務(wù) 。
當(dāng)使用Packages Collection安裝了tcpwrapper之后，它的守護(hù)進(jìn)程tcpd就被安裝到了/usr/local/libexec目錄下，然后就能使用tcpd來(lái)代替原有的守護(hù)進(jìn)程提供網(wǎng)絡(luò)服務(wù)了 。
FreeeBSD 3.2-RELEASE之后，tcp_wrapper進(jìn)入了FreeBSD的基本系統(tǒng)中，而不再需要額外安裝 。
有幾種不同的使用tcpd的辦法，最基本的辦法是通過(guò)更改inetd.conf來(lái)啟動(dòng)tcpd 。例如要想讓tcpd來(lái)保護(hù)fingerd，那么就需要將inetd.conf中對(duì)應(yīng)fingerd的設(shè)置更改為tcpd：
finger stream tcp nowait/3/10 nobody/usr/local/libexec/tcpdfingerd-s
tcpd能在標(biāo)準(zhǔn)的系統(tǒng)文件目錄中查找正確的守護(hù)進(jìn)程以提供服務(wù)，如果進(jìn)程不在標(biāo)準(zhǔn)的目錄路徑下，就需要在最后一列中指定所要執(zhí)行文件的全路徑，如/usr/libexec/fingerd 。此后，對(duì)finger端口的訪問(wèn)，將被記錄進(jìn)系統(tǒng)的日志文件，具體為syslog.conf中對(duì)auth指定的記錄文件，例如下面的syslog設(shè)置將tcpd的信息發(fā)送到/var/log/auth.log文件中（需要保證auth.log文件已存在） 。
auth.*/var/log/auth.log
tcpd使用/usr/local/etc/目錄下的hosts.allow和hosts.deny文件來(lái)控制對(duì)服務(wù)器的訪問(wèn)，訪問(wèn)控制是基于IP地址和域名的 。以下為一個(gè)hosts.allow控制文件的例子 ?？梢钥闯鲈O(shè)置文件比較簡(jiǎn)單易懂，tcpwrapper也提供了一個(gè)程序tcpdchk，來(lái)檢查用戶更改過(guò)的設(shè)置文件是否正確 。
ALL: domain.com
telnet: 192.168.3.0/255.255.255.0 EXCEPT 192.168.3.10
此外有著相似功能，但用于替換inetd的軟件為xinetd，它能用于代替原有的inetd來(lái)啟動(dòng)各種服務(wù)程序，但提供了更詳細(xì)的日志記錄 。
系統(tǒng)安全檢查工具
Internet上針對(duì)每個(gè)系統(tǒng)均報(bào)告了大量的安全相關(guān)的問(wèn)題，如果將這些已知的安全問(wèn)題有效的組織起來(lái)，使用程序?qū)ο到y(tǒng)自動(dòng)進(jìn)行檢查，就能極大的幫助網(wǎng)絡(luò)管理員查找現(xiàn)有的問(wèn)題，使得系統(tǒng)更為安全 。網(wǎng)絡(luò)上存在多種這類(lèi)的工具，如Satan、cops，就用于這個(gè)目的 。然而由于它們的強(qiáng)大功能，這些工具也能被企圖入侵他人系統(tǒng)的使用者利用，因此為了避免入侵者，系統(tǒng)管理員應(yīng)該盡早使用這些軟件，以起到預(yù)防作用 。

推薦閱讀

• 

  小飛蟲(chóng)怎么生出來(lái)的
• 

  電纜zr和zc的區(qū)別
• 

  奧特曼大電影超銀河傳說(shuō)劇情
• 

  白茶的分類(lèi)
• 

  如何用ps做gif動(dòng)態(tài)圖
• 

  變數(shù)箱換擋卡齒怎么辦
• 

  行程碼黃碼怎么變綠碼需要幾天
• 

  為什么恒壓源輸出端不允許短路
• 

  補(bǔ)鐵的水果
• 

  試用期合同期限是如何規(guī)定的
• 

  小編教你美麗說(shuō)HIGO APP增添收貨地址的操作過(guò)程。
• 

  索尼愛(ài)立信 w908c，索尼愛(ài)立信W908c售價(jià)多少
• 

  寫(xiě)字 古語(yǔ) 寫(xiě)字古文怎么說(shuō)呢
• 

  導(dǎo)演怎么當(dāng)
• 

  掛燙機(jī)哪個(gè)牌子好
• 

  什么情況下的急性壞死性胰腺炎能夠得到理賠？

• 65 FreeBSD連載：SMB/CIFS協(xié)議
• 登入 FreeBSD 系統(tǒng)
• FreeBSD echoping 命令介紹
• 讓蘑菇安全度過(guò)霧霾天
• freebsd的PW命令用法詳解
• FreeBSD ISC BIND 安全公告
• 88 FreeBSD連載：安全連接方式SSL
• 87 FreeBSD連載：基于用戶的訪問(wèn)控制
• 交通安全有哪些
• 31 FreeBSD連載：系統(tǒng)日志