1、關(guān)于freebsd系統(tǒng)安全配置詳解系統(tǒng)平安是每個管理者都必需注意的課題。 有人說：沒有擔(dān)心全的系統(tǒng)，惟獨(dú)懶散的管理者。每個系統(tǒng)都有可能會浮現(xiàn)漏洞，而有平安性的漏洞產(chǎn)生時，發(fā)行的單位都會立刻發(fā)布通告及修補(bǔ)的方式，而系 統(tǒng)管理者的職責(zé)便是要隨時注重是否需要更新漏洞、隨時注重系統(tǒng)是否有異樣的訊息。 本章將針對 freebsd 系統(tǒng)平安做具體的解釋，讀完本章后，您將可以了解下列主題： 基本系統(tǒng)管理應(yīng)注意的平安項(xiàng)目。 假如平安的管理賬號。 網(wǎng)絡(luò)平安管理。 如何舉行漏洞修補(bǔ)。 1 概論 freebsd 相對而言雖然是比較平安的操作系統(tǒng)，但是有時候問題不是在操作系統(tǒng)本身，而是所安裝的軟件。在 freebsd

2、 中頻繁的情形是安裝非 freebsd 內(nèi)定的軟件，但該軟件被收錄在 ports 中，freebsd 也會提出警告。因此，我們必需到 freebsd 的網(wǎng)站上查看是否有系統(tǒng)平安的消息，網(wǎng)址是 。當(dāng)發(fā)覺問題時，可以依照發(fā)布的文件中所提供的修正方式來舉行修補(bǔ)。 基本上只要計(jì)算機(jī)電源打開，系統(tǒng)就沒有平安的一天，更何況要連上網(wǎng)絡(luò)提供服務(wù)。系統(tǒng)平安的范圍很廣，從硬設(shè)備的保全、人員管理、網(wǎng)絡(luò)規(guī)劃、到系統(tǒng)本身的管 理，我們并不決定解釋如何制定一個平安性政策 ，也無法在這里解釋全部系統(tǒng)平安的相關(guān)議題，我們所提及的只是筆者在 freebsd 用法上的建議。假如想要更多 freebsd security 的信息，

3、可以參考 freebsd handbook，我們在安裝 freebsd 時己經(jīng)將 doc 安裝在 /usr/share/doc 中，你可以用法 lynx 來觀察 freebsd 的文件。例如： lynx /usr/share/doc/en_us.iso8859-1/books/handbook/security.html 小提醒 lynx 并非 freebsd 內(nèi)附的軟件，您必需先到 /usr/ports/www/lynx 中舉行安裝后才可以用法喔。 系統(tǒng)平安并不局限在如何防止他人入侵，對于防止系統(tǒng)內(nèi)部問題的產(chǎn)生一樣重要。主要的概念就是要讓我們的系統(tǒng)能正常的提供服務(wù)，并且對于我們不想讓他人取得

4、 的信息加以庇護(hù)。然而，為了系統(tǒng)平安往往必需限制某些功能的用法，而犧牲了方便性。身為系統(tǒng)管理者往往由于對于系統(tǒng)限制太多而受到來自用法者的埋怨，在取 舍上原來就不是件簡單的事。正由于如此，一個盡責(zé)的管理者在行事上必需具有高度的抗壓性及對平安性的偏執(zhí)。 因?yàn)橄到y(tǒng)平安非常重要，我們在開頭解釋各種軟件安裝、服務(wù)器架設(shè)之前，先解釋系統(tǒng)平安應(yīng)注重的事項(xiàng)，希翼讀者在讀完本章之后，能對系統(tǒng)平安更有概念。 2 系統(tǒng)管理 2.1 執(zhí)行程序的路徑 有沒有注重到當(dāng)我們要執(zhí)行所在名目中的某一個程序時，例如，在執(zhí)行所在名目中的 myscript.sh，我們必需要打 ./myscript.sh。預(yù)設(shè)的 path 中，并沒有

5、將所在名目 . 加入路徑中。假如把 . 加入 path 的設(shè)定中，可能會產(chǎn)生平安性的問題。例如，假如用法者在 /tmp 中加入一個名為 的 shell script，內(nèi)容為 -rf /usr，而我們又將 . 加入路徑中，當(dāng)以 root 在 /tmp 中執(zhí)行 ls 命令時，后果可想而知。因此，我們在執(zhí)行命令時，最好能指定路徑名稱，如 /bin/ls，并檢查在 shell 設(shè)定中是否有將 . 加入路徑中： echo $path /sbin:/bin:/usr/sbin:/usr/bin:/usr/games:/usr/local/sbin為了避開 /bin 及 /sbin 等重要執(zhí)行檔遭到修改，我

6、們可以為這些檔案設(shè)定禁止修改的 schg flag： chflags schg /bin/* chflags scgh /sbin/*固然，設(shè)定了 schg 之后，我們要將 kernel security level 調(diào)高到 1 以上，這樣連 root 都不行以移除 flags。不過設(shè)了 schg 之后，我們可能不能執(zhí)行一些命令，如 make world 等。 2.2 降低安裝軟件的風(fēng)險(xiǎn) 我們可以在網(wǎng)絡(luò)上找到許多免費(fèi)的軟件，這些軟件當(dāng)然可以讓我們在系統(tǒng)的用法上越發(fā)方便，但卻難保它們不會對系統(tǒng)平安造成任何危害。有的軟件可能存在某些漏 洞，即使在我們安裝前尚無任何平安性的問題，日后還是有可能會被人

7、發(fā)覺軟件的缺陷。因此，我們應(yīng)當(dāng)盡可能不要安裝一些雜七雜八的軟件，而安裝之后，一發(fā)覺 有平安性問題也要隨時更新。 基本上，要下載軟件時，最好到該軟件的官方網(wǎng)站下載，以確保平安。 并非全部軟件都是正確無誤的，請不要挺直在重要的服務(wù)器上安裝一套新的軟件，最好先在較不重要的計(jì)算機(jī)上測試，沒問題后再安裝。另外，在安裝軟件 時，應(yīng)注重軟件取得來源是否牢靠。假如軟件提供 md5 或 pgp 的檢查，最好下載后先檢查，再縮。而安裝軟件時，最好取得軟件的原始碼來編譯 (或用法 port 安裝)，我們可以掃瞄程序代碼，以了解其。閱讀 make 的內(nèi)容，了解軟件將安裝確實(shí)認(rèn)位置，先確保程序不會在不該浮現(xiàn)的地方產(chǎn)生。

8、 2.3 kernel security level freebsd 中有所謂的 security level，它掌控了系統(tǒng)核心的行為運(yùn)作。惟獨(dú)超級用法者可以用法命令提高 secruity level，但不能降低它。假如要降低它必需在 rc.conf 中設(shè)定，并重開機(jī)。以下為各 secruity level 的意義： -1：永久擔(dān)心全模式。這是默認(rèn)值，假如設(shè)為 -1，它將永久以 level 0 的模式執(zhí)行。 0：擔(dān)心全模式。用法者或 root 可以用法 chflags 來移除不行更動 ( immutable)及 只能附加 (append-only)的 flags。全部的裝置只能依其權(quán)限來存取。

9、 1：平安模式。不行以移除不行更動 ( immutable)及 只能附加 (append-only)的 flags。不行以手動加載或移除 lkm，用法, /dev/mem, and /dev/kmem 只能為只讀，且不能 newfs 已掛上的檔案系統(tǒng)。 2：高度平安模式。除了和平安模式同樣的限制外，不管硬盤是否掛上，都不行以 newfs。另外，kernel 的轉(zhuǎn)變限制在一秒內(nèi)，假如超過，會記錄 time adjustment clamp to +1 second 。 3：網(wǎng)絡(luò)平安模式。除了和平安模式同樣的限制外，還有 ip 封包過濾的規(guī)章 (參考 ipfw 及 ipfire)，而且不行以調(diào)節(jié)

10、mmynet 的設(shè)定。 我們可以用法 sysctl 來顯示或設(shè)定 security level： sysctl kern.securelevel假如要將 security level 設(shè)為 1： sysctl -w kernel.securelevel=1當(dāng)我們將 security level 設(shè)為 1 以上時，我們會發(fā)覺沒有方法安裝新的 kernel (由于不能移除 schg flag)，也沒有方法用法 big5con 、x window 等軟件。假如我們的 freebsd 只作為服務(wù)器，而不用法 big5con 或 x window 的話，可以將 security level 的值調(diào)高一點(diǎn)

11、。 假如要在開機(jī)時設(shè)定 security level，可以在 /etc/rc.conf 中以下面二行來設(shè)定： kern_securelevel_=yes 是否啟動 security level kern_securelevel=1 level 從 -1 到 3 2.4 檢視系統(tǒng)記錄 在 /var/log 中，記錄了許多系統(tǒng)的信息，我們應(yīng)當(dāng)要不時檢視它們。這些檔案如下表： 檔案 用途 auser 用法 adduser 的記錄。 cron 定時排程的記錄。 maillog 郵件記錄。 messages 系統(tǒng)訊息記錄。 security 平安性記錄，如防火墻。 除了系統(tǒng)的記錄外，假如有提供其它服務(wù)，

12、會有更多的 log 數(shù)據(jù)。 假如我們有其它程序?yàn)榱粝?log 文件，最好在 /etc/newsyslog.conf 中設(shè)定定時備份，以免檔案過大。另外，這些備份的 log 檔在 newsyslog.conf 中設(shè)定權(quán)限 (mode) 時，最好設(shè)為 600，以避開其它用法者可以讀取。 freebsd 預(yù)設(shè)天天定時執(zhí)行一些分析的工作，并將結(jié)果寄給 root，建議你最好天天閱讀它們。我們可以在 /etc/mail/es 的開始中加入下面這一行： root: 將 改成你的 email，設(shè)定完后，請執(zhí)行 來讓設(shè)定生效。如此一來，全部寄給 root 的信件，都會自動轉(zhuǎn)給所設(shè)定的信箱。root 天天會收到

13、daily run output 及 security check output 這二封信，這是依照我們在 /etc/defaults/periodic.conf 中所設(shè)定的定時執(zhí)行工作輸出的結(jié)果。在 daily 執(zhí)行的任務(wù)中，預(yù)設(shè)并沒有設(shè)定定期清除 /tmp，原則上，在開機(jī)時系統(tǒng)會清理 /tmp。假如我們不常重開機(jī)，可以在 periodic.conf 中設(shè)定天天清理 /tmp。 2.5 數(shù)據(jù)的保全 unix 系統(tǒng)的平安防護(hù)中，第一道防線是計(jì)算機(jī)實(shí)體的平安防護(hù)，防止不相干的人接觸計(jì)算機(jī)及周邊設(shè)施。假如很不幸的，外人可臨近系統(tǒng)時，其次道防線是系統(tǒng)密碼保 護(hù)，我們將在下一章解釋賬號的防護(hù)。然而，假

14、如密碼泄露或被破解，還有第三道防線，就是在 unix 系統(tǒng)中的用法者權(quán)限及檔案權(quán)限控制。假如某一個用法者賬號遭到入侵，我們能限制其活動范圍及資源的存取。而第四道防線就是將重要的數(shù)據(jù)加以編碼庇護(hù)，即使 數(shù)據(jù)被用法者竊取，起碼還多一道防護(hù)措施。而最后一首防線就是數(shù)據(jù)備份了，我們平常應(yīng)當(dāng)有完美的備份方案，一旦系統(tǒng)發(fā)生錯誤或是被摧毀，起碼還可以恢復(fù)。 我們先來談?wù)剶?shù)據(jù)編碼加密的辦法，我們可以用法 crypt 這個命令來為我們的檔案加密。例如，有一個檔名為 myfile.txt 的檔案，我們用法的金鑰 (key)是 mykey 這個字符串，加密后的文件名為 myfile.cyp，可以用法下列指 令： c

15、rypt mykey myfile.txt myfile.cyp加密后，就可以將 myfile.txt 刪除。假如日后要解密，只要執(zhí)行下列命令： crypt mykey myfile.cyp myfile.outcrypt 是一個歷史悠久的編碼軟件，事實(shí)上并非非常平安，不過我們可以多加密幾次，讓檔案加密后再加密，只要記得所用法的 key 就好了： crypt mykey1 myfile.txt | crypt mykey2 | crypt mykey3 myfile.cyp假如要解密，只要再反過來即可： crypt mykey3 myfile.cyp | crypt mykey2 | cryp

16、t mykey1 myfile.out除了 crypt 外，我們也可以用法其它比較好的編碼程序，例如 pgp。pgp 并非 freebsd 內(nèi)附的軟件，但我們可以用法 ports 來安裝它： /usr/ports/security/pgp make install安裝完 pgp 之后，我們必需先產(chǎn)生 key pair。請執(zhí)行 pgpk -g： 首先請?jiān)谧约旱募颐恐薪⒁粋€存放 pgp 金鑰的名目。 $ /.pgp $ pgp -kg pretty good privacy(tm) 2.6.3ia - public-key eryption for the masses. (c) 1990-9

17、6 philip zimmermann, phil's pretty good software. 1996-03-04 international version - not for use in the usa. does not use rsaref. current time: 2004/04/27 18:05 gmt pick your rsa key size: 1) 512 bits- low commercial grade, fast but secure 2) 768 bits- high commercial grade, medium speed, good s

18、ecurity 3) 1024 bits- military grade, slow, highest security choose 1, 2, or 3, or enter desired number of bits: 3 (輸入金鑰的長度) generating an rsa key with a 1024-bit modulus. you need a user id for your public key. the desired form for this user id is your name, followed by your e-mail address enclo in angle brackets , if you have an e-mail address. for ample