日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

一些FreeBSD相關(guān)的安全問題( 二 )

云知道


的可能性 。

對(duì)于sshd,你可以通過下面的方法來限制組用戶或者光是單獨(dú)用戶來訪問SHELL:

AllowGroups shellusers
或者
AllowGroups wheel
或者
AllowUsers xundi

當(dāng)然你如果要改變?cè)瓉淼挠脩粼L問SHELL屬性,如要把用戶改變成/sbin/nologin
而不讓它訪問shell,你可以使用下面的命令直接改變:

chsh -s /sbin/nologin user

最后你最好使用tcpwrappers來限制一些訪問,你修改/etc/hosts.allow文件,注釋
掉"ALL : ALL : allow", 去掉其他無關(guān)控制訪問,增加如下內(nèi)容:

sshd : localhost : allow
sshd : frIEndlycomputer : allow
sshd : all : deny

FreeBSD默認(rèn)情況下不把ssh登陸失敗的內(nèi)容記錄下來,你需要對(duì)/etc/security
進(jìn)行修改,下面的補(bǔ)丁只檢測(cè)密碼無效的登陸并記錄下來,你可以增加對(duì)dsa/rsa
key登陸失敗或者不合法用戶登陸的檢測(cè):

--- /etc/security Mon Jun 11 15:45:02 2001
/etc/security Mon Jun 11 15:48:29 2001
@@ -44,644,7 @@
sort -t. -r -n1 -2 |
xargs zcat -f
[ -f $LOG/messages ] && cat $LOG/messages
[ -f $LOG/security ] && cat $LOG/security
}

sflag=FALSE ignore=
@@ -188,6189,12 @@
separator
echo "${host} login failures:"
n=$(catmsgs | grep -i "^$yesterday.*login failure" | tee /dev/stderr | wc -l)
[ $n -gt 0 -a $rc -lt 1 ] && rc=1

# Show "${host} SSH login failures:"
separator
echo "${host} login failures:"
n=$(catmsgs | grep -i "^$yesterday.*failed password" | tee /dev/stderr | wc -l)
[ $n -gt 0 -a $rc -lt 1 ] && rc=1

# Show tcp_wrapper warning messages

====================================================================

網(wǎng)絡(luò)部分

---------

默認(rèn)情況下FreeBSD和許多操作系統(tǒng)在關(guān)閉的端口上接受到TCP SYN段的時(shí)候,會(huì)
發(fā)送RST信息包,也就是告訴攻擊者這個(gè)端口關(guān)閉了,導(dǎo)致攻擊者繼續(xù)掃描下一個(gè)
端口,一般情況下我們都不愿意使端口掃描簡(jiǎn)單化,和不想浪費(fèi)過多的CPU時(shí)間
在Dos攻擊上 。因此我們可以使用FreeBSD系統(tǒng)中叫blackhole的特征,blackhole
sysctl(8) MIB用來控制當(dāng)對(duì)一些沒有socket監(jiān)聽的TCP或者UDP端口接收到連接
請(qǐng)求時(shí)所操作的行為,你可以使用man blackhole獲得詳細(xì)的信息,當(dāng)設(shè)置這個(gè)
選項(xiàng)后,對(duì)那些連接沒有socket監(jiān)聽的TCP或者UDP端口的連接,系統(tǒng)將馬上丟棄
這個(gè)包而不發(fā)RST包 。連接端將看到"Connection reset by peer".下面的操作
將激活這個(gè)特征:

sysctl -w net.inet.tcp.blackhole=2
sysctl -w net.inet.udp.blackhole=1

你可以通過下面的操作馬上啟動(dòng)實(shí)現(xiàn)這個(gè)特征:

# /bin/sh /etc/rc.sysctl

當(dāng)然這個(gè)特征不能作為ipfw(8)工具的替代品來防衛(wèi)系統(tǒng),要建立更高安全的
系統(tǒng),你當(dāng)然需要使用Ipfw(8)或者Ipfilter工具實(shí)現(xiàn) 。

修改/etc/rc.conf,把不需要的服務(wù)關(guān)閉,i)portmap服務(wù),如果你沒有NFS, NIS
等需要 。再/etc/rc.conf中加入:

portmap_enable="NO"

你可能經(jīng)常發(fā)現(xiàn)有人討厭的掃描你整個(gè)網(wǎng)絡(luò),目標(biāo)端口為111的信息,這是有人
想查找是否有rpc服務(wù)漏洞的掃描,你可以在你的邊緣路由器中丟棄dstport為
111的信息包 。

ii)除非你運(yùn)行mail服務(wù)器或者mail網(wǎng)關(guān),這里建議你把sendmail置于queueing only
模式,如果你確實(shí)需要SMTP網(wǎng)關(guān),建議你安裝postfix.

sendmail_flags="-q1m"

iii)建議你丟棄icmp重定向,可以防止Dos攻擊或劫持進(jìn)程(hijack sessions),
你也可以記錄icmp重定向,不過這里你要區(qū)分一些信息,因?yàn)橛械臅r(shí)候Cisco
路由器也會(huì)產(chǎn)生重定向而不是攻擊信息,要記錄這些信息,使用如下條目:

icmp_log_redirect="YES"

當(dāng)然你要完全去掉不確定信息記錄,你可以在你的CISCO路由器上關(guān)閉重定向:

推薦閱讀