FreeBSD的日志安全
--------------------
I)如果你安裝了sshd(也強(qiáng)烈建議安裝sshd，因為默認(rèn)的telnetd程序存在嚴(yán)重
的安全問題) 。請編輯你的/etc/syslog.conf文件，一般修改
security.* /var/log/security條目內(nèi)容如下：

security.*;auth.info /var/log/security

原因很簡單，這樣syslogd就把連接到sshd的日志信息記錄下來 。

當(dāng)然如果你愿意，也可以建立其他的日志文件，不過如果你建立新的日志文件，
你必須檢查更新/etc/newsyslog.conf是否建立相關(guān)條目，如：

/var/log/auth 600 10 100 * Z

其中/var/log/auth表示日志文件名，600是日志文件指定的屬性，10表示包括
要?dú)w檔的文件數(shù)，100表示文件字節(jié)大小，以K為單位，*表示間隔時間或者指定
時間，其中*表示日志歸檔是以字節(jié)(size)來判斷的 。最后一個Z表示指定歸檔
要處理的格式，Z表示使用gzip(1)來壓縮歸檔日志來節(jié)約空間，具體更多信息
你可以使用man newsyslog來獲得 。

這里建立你修改newsyslog.conf中的一些全局可讀屬性，如maillog和messages
log，一般把它們的屬性設(shè)置為600 。如下所示：

/var/log/messages 600 5 100 * Z
/var/log/maillog 600 7 * @T00 Z

當(dāng)然如果你要把信息記錄到其他主機(jī)上更好，你可以修改/etc/syslog.conf中的
如下條目，把其中的注釋去掉，并修改loGhost為要記錄的機(jī)器名字：

#*.* @loghost

最后你防止任意用戶讀取這些文件，你使用下面命令修改文件屬性：

# chmod 600 /etc/syslog.conf
# chmod 600 /etc/newsyslog.conf

=========================================================================

關(guān)于SSH配置
-------------

就象上面所說的，telnetd守護(hù)程序存在嚴(yán)重的緩沖溢出可以導(dǎo)致遠(yuǎn)程ROOT SHELL
的獲得，這里強(qiáng)烈建議你如果需要遠(yuǎn)程控制的話，就使用SSH工具，并且保證是最
新的版本，至少目前為止還沒有很嚴(yán)重的漏洞出現(xiàn)(當(dāng)然也有幾個漏洞大家可以參考
一些安全資料) 。

sshd控制文件是/etc/ssh/sshd_config,如果你沒有使用SSH protocol 1的機(jī)會，
這里建議你關(guān)閉protocol 1的使用，因為ssh protocol 1不如protocol 2安全，
還可以有效的阻止攻擊者通過修改包攜帶的版本banner來劫持(hijacking)啟動
會話進(jìn)程并降級你到protocol 1，理論上可以迫使使用ssh 1 協(xié)議來通信 。你
必須注釋掉Protocol 2,1而使用下面的一行來代替：

Protocol 2

第二，SSH在運(yùn)行的時候消耗比較多的內(nèi)存，是個"耗糧"大戶，這也是cisco產(chǎn)品
近來發(fā)現(xiàn)有關(guān)SSH存在拒絕服務(wù)攻擊的原因 。每一個連接使用一大塊可觀的內(nèi)存，
FreeBSD默認(rèn)使用"MaxStartups"來管理，默認(rèn)的值是一個比較健康的值，如：

MaxStartups 5:50:10

因為一個系統(tǒng)你除非有很多人管理系統(tǒng)或者提供SHELL服務(wù)，一般情況下這個值
是足夠了，MaxStartups不是意味著總的連接數(shù)，只是指還沒有認(rèn)證的連接數(shù)，
這意味著，在任一(意)時刻，多達(dá)5人可以(能)同時喚起登陸進(jìn)程 。

默認(rèn)情況下,FreeBSD的OpenSSH配置關(guān)閉了遠(yuǎn)程ROOT登陸和空密碼登陸，這里還
建議里關(guān)閉X11Forwarding，你可以把X11Forwarding 這行改為：

X11Forwarding no

如果你的機(jī)器作為服務(wù)器在運(yùn)行，就不需要安裝X服務(wù)程序，因為使用了
X11Forwarding on，就可能被受控制了的遠(yuǎn)程主機(jī)發(fā)送進(jìn)程把自己attach你的
X11會話進(jìn)程，從而可以記錄擊鍵記錄，顯示一些雜亂信息和捕獲你的顯示內(nèi)容 。

強(qiáng)烈建議不使用靜態(tài)密碼，而使用DSA或者RSA KEY，你修改如下內(nèi)容就可以關(guān)閉
使用密碼認(rèn)證：

PassWordAuthentication no

因為使用密碼驗證畢竟不是一種安全的方法，存在著社會工程，猜測，竊取

推薦閱讀

• 

  高壓鍋蒸飯要蒸多久
• 

  五險兩金是哪兩金
• 

  清朝官級排行 清朝官制排名
• 

  大蘿卜燉多長時間可以吃
• 

  地點(diǎn)+開放時間 廣州全市身份證自助辦證點(diǎn)一覽表
• 

  iPhone11卡頓解決辦法
• 

  甲魚的做法大全
• 

  怎樣安排考研時間
• 

  燉牛肉用什么鍋
• 

  酒店床單上弄到血了要賠錢嗎
• 

  開發(fā)者選項在哪打開,m8開發(fā)者版本區(qū)別
• 

  團(tuán)購鮮花怎么做 抖音團(tuán)購鮮花怎么運(yùn)營
• 

  不用放冰箱的冰塊 不放冰箱的冰塊怎么保存
• 

  苦菜能去肝火嗎 春季降肝火有效方法 苦味食物有助降肝火
• 

  并刷入twrp獲取root,twrp卡刷最新root包
• 

  干煎鮭魚做法 乾煎鮭魚怎么讀

• 設(shè)置 淺談FreeBSD 5.2R 常用操作的改變
• FreeBSD 升級系統(tǒng)
• FreeBSD下設(shè)置modem和modem的通用命令
• FREEBSD下使用crunch集成編譯程序
• 2 FreeBSD手冊——配置FreeBSD內(nèi)核
• FreeBSD 下的TOP的使用方法
• 關(guān)于FreeBSD 5優(yōu)化的補(bǔ)充
• FreeBSD下也有“看門人”--淺談tcpwrapper的基本使用方法
• FreeBSD5.3進(jìn)行CVSup升級不成功的問題
• 在FREEBSD 5中使用MRTG畫出Packet圖表