"no ip send-redirects"

(IV)你可以設置系統(tǒng)丟棄SYNFIN信息包，不過這個你可以更好的通過IPFW來過濾
這種信息包，但是你也可以在/etc/rc.conf中增加如下條目來激活這種選項：

tcp_drop_synfin="YES"

當然你需要在kernel配置中增加如下配置：

options TCP_DROP_SYNFIN

v)關閉對廣播類型的響應

#sysctl -w net.inet.icmp.bmcastecho=0

過濾icmp響應這后，服務器無法ping通，這有助提高部份安全性能 。

vi)對udp包的校驗和計算

#sysctl -w net.inet.udp.checksum=1

可以防止不正確的udp包的攻擊 。

vii)設置rc.sysctl, rc.conf 和 sysctl.conf 權限：

# chmod 600 /etc/rc.sysctl
# chmod 600 /etc/rc.conf
# chmod 600 /etc/sysctl.conf

===================================================================

Crontab和at問題

----------------

crontab是一個比較強大的服務，有不少漏洞在cron發(fā)現(xiàn)過，普通用戶最起碼
也可以浪費資源等操作，這里建議"www", "nobody" 和 "bind" 不能使用crontab.

建立一/etc/cron/allow文件并把需要使用的用戶放進去，如：

# echo root > /var/cron/allow
# chmod 600 /var/cron/allow

并設置權限crontab不能由其他用戶任意訪問：

# chmod 600 /etc/crontab

不過你如果不需要使用"at"命令，就關閉這個服務，因為安全的原則始終是"
你不許它，丟掉它"，在/etc/crontab文件中注釋掉下面一行：

# */5 * * * * root /usr/libexec/atrun

===================================================================

inetd和rate限制問題
---------------------

Inetd默認情況下是啟用的，它控制了不少不安全的服務，如：telnet, ntalk
和finger 。檢查你所有/etc/inetd.conf中的服務，關閉任何你不需要的服務 。
如果沒有一個用戶需要，請在/etc/rc.conf中關閉inetd啟動：

inetd_enable="NO"

如果你要使用FreeBSD的inetd.你可以通過inent請求來控制rate的資源，如：

auth stream tcp nowait/10/10 root internal auth -r -f -n -o UNKNOWN -t 30

第一個10表示我們允許的最大子進程數(shù)量，第二個值是每一個IP每一分鐘連接的
最大數(shù)量，一般10/10的值是健康的，不過你一般不要使用這個ident，我們一般也只在IRC里看到這個服務 。

=======================================================================、

Securelevel 問題
=================

FreeBSD內核有一個安全級別（securelevel）的概念，這是指系統(tǒng)內核運行使用
的安全等級，不同的等級具備不同的保護和檢查機制 。一般工作站運行在securelevel
0級別，因為他們可能需要運行X11，而服務器一般運行在2或者1級別上，關于
內核安全級別的詳細資料中文你可以參看王波的"FreeBSD使用大全連載 " 。

如果你要改變級別系統(tǒng)為2，你可以在/etc/rc.conf中增加如下條目：

kern_securelevel_enable="YES"
kern_securelevel="2"

你可以重新去啟動，或者使用

# sysctl -w kern.securelevel=2

來激活 。

=====================================================================

一些本地安全tip
---------------

i)編輯/etc/ttys，把下面的一行的secure改為insecure：

console none unknown off secure

這樣用戶進入單用戶模式時會要求輸入ROOT密碼，當然這樣也使你忘記ROOT密碼
時恢復存在一定難度了 。

ii)修改一些計算機相關設置，如BIOS，不允許軟盤啟動，CDROM啟動等，即在裝載
硬盤驅動以前不允許其他媒介啟動 。設置BIOS密碼，保護機器物理安全(如果人家
帶著榔頭，炸彈，一盆水來那就沒辦法了) 。

iii)關于虛擬終端和虛擬終端緩沖，虛擬終端緩沖中的內容在你logoff以后并

推薦閱讀

• 

  pdf壓縮工具推薦 免費壓縮pdf的軟件
• 

  橡皮怎么畫 橡皮的畫法
• 

  處暑節(jié)氣詩詞 處暑節(jié)氣詩詞匯總
• 

  原神雷澤用什么武器 原神雷澤武器推薦
• 

  小龍蝦種苗價格及養(yǎng)殖方法
• 

  網速k和b哪個快
• 

  同居多久算事實婚姻
• 

  夢見認識老同學
• 

  切山藥后手癢怎么辦
• 

  高翰的寓意
• 

  甜到炸的圣誕節(jié)暖心文案 圣誕節(jié)表白說什么
• 

  America,34eee
• 

  國外一個住在城堡電影
• 

  自報橡皮擦二年級作文
• 

  重慶師范大學2021年的錄取分數(shù)，重慶師范大學收分
• 

  看守所可以打電話給家人嗎

• 設置 淺談FreeBSD 5.2R 常用操作的改變
• FreeBSD 升級系統(tǒng)
• FreeBSD下設置modem和modem的通用命令
• FREEBSD下使用crunch集成編譯程序
• 2 FreeBSD手冊——配置FreeBSD內核
• FreeBSD 下的TOP的使用方法
• 關于FreeBSD 5優(yōu)化的補充
• FreeBSD下也有“看門人”--淺談tcpwrapper的基本使用方法
• FreeBSD5.3進行CVSup升級不成功的問題
• 在FREEBSD 5中使用MRTG畫出Packet圖表