华南俳烁实业有限公司

我們都知道Internet并不總是一個友好的地方，而且你可能也不想讓另一個地方的人擁有與你一樣的訪問許可權(quán)限。這意味著你可能不希望在沒有某種防火墻的前提下訪問Internet。幸運的是，你的FreeBSD系統(tǒng)支持良種防火墻：ipfw 和 ipfilter。更令人振奮的是，通俗易懂的文檔正在迅速增加。如果你不在防火墻后面，那么請花一個周六下午的時間讀一讀如何在你的系統(tǒng)上配置防火墻的文章，并操練一把。你將為此感到愉快，以下是一部分可用的資源：

man ipfw
FreeBSD Handbook: Section 10.7 — Firewalls
Setting Up a Dual-Homed Host using IPFW and NATD

man ipf
IPFilter and PF resources

好的安全總是“層層設(shè)防”，這意味著如果一個機制失效了，仍然有備用的機制。即使你的系統(tǒng)已經(jīng)受到了防火墻的保護，你仍然需要禁用所有服務(wù)，除了那些絕對需要的。在桌面系統(tǒng)中，不需要很多的服務(wù)。

用下面的命令可以查看哪些服務(wù)正在試圖監(jiān)聽連接你的系統(tǒng)：
sockstat -4
輸出的差別可能很大，這取決于在安裝的最后階段選擇的軟件，以及之后自行安裝的port和package。

端口6000(X Window服務(wù)器)是輸出中非常常見的；如果沒看到它的話，啟動一個X Window會話，然后重新運行 sockstat -4。不幸的是，在過去的幾年中有很多針對X Window的攻擊。幸運的是，使用X并不需要打開6000端口，不必擔(dān)心，即使關(guān)閉了這個端口，仍然可以使用圖形界面！

許多方法可以關(guān)掉這個端口。我發(fā)現(xiàn)的最簡單的方法是成為超級用戶，并編輯 /usr/X11R6/bin/startx。找到 serverargs 那一行，并把它改為類似下面的樣子：
serverargs=”-nolisten tcp”
保存修改之后，以普通用戶身份運行X并執(zhí)行 sockstat -4。如果沒有打字錯誤，那么X會像往常那樣啟動，但 sockstat -4 輸出中不會再出現(xiàn)端口6000。

如果想了解6000端口打開的后果，請閱讀 Crash Course in X Window Security。

好了，現(xiàn)在 sockstat -4 輸出中的服務(wù)少了一個。我們還需要處理一下郵件：端口 25 (smtp) 和 587 (submission)。收發(fā)郵件并不需要 587 端口，為了關(guān)閉它，我們需要修改 /etc/mail/sendmail.cf。查找這一行：
O DaemonPortOptions=Port=587, Name=MSA, M=E
然后在前面加上 # ，并告訴 sendmail 變化：
killall -HUP sendmail
-HUP 不會殺掉 sendmail，但他會告訴sendmail重新處理 /etc/mail/sendmail.cf。重復(fù)sockstat -4 ，它將不再顯示 587。

那么端口25呢？你可能需要，也可能不需要打開這個端口，這取決于使用什么樣的郵件程序來收發(fā)郵件。對于運行 FreeBSD 4.6-RELEASE 或更高版本的系統(tǒng)，在/etc/rc.conf中增加下面的行：
sendmail_enable=”NO”
將告訴 sendmail 只監(jiān)聽 localhost，這允許所有的郵件客戶程序發(fā)送郵件。如果你知道你的郵件客戶程序帶有內(nèi)置的SMTP代理，或者喜歡冒險，那么可以嘗試一下：
sendmail_enable=”NONE”
這將徹底關(guān)閉25端口。檢查一下這是否讓你無法發(fā)送郵件是很重要的，確保已經(jīng)關(guān)掉了所有應(yīng)用程序，隨后，以超級用戶身份執(zhí)行：
shutdown now
收到提示后按回車、exit。重新登錄后給自己發(fā)一封郵件，如果收不到，那么把NONE改回NO。

如果你的”sockstat”顯示端口111打開，那么把下面幾行加到 /etc/rc.conf (或者，如果已經(jīng)有這些行，把 YES 改為 NO):
nfs_server_enable=”NO”
nfs_client_enable=”NO”
portmap_enable=”NO”
Portmap只有在運行NFS時才是必需的，而這往往不是FreeBSD桌面系統(tǒng)的需要。歷史上它有過很多安全問題，因此除非你絕對需要它，否則就別用。

syslog (端口 514) 也可能出現(xiàn)在你的輸出結(jié)果中。我們可能并不希望完全關(guān)掉 syslog ，因為它提供的消息記錄是我們需要的。但我們并不需要為此打開端口。在 /etc/rc.conf 文件中增加下面的選項:
syslogd_enable=”YES”
syslogd_flags=”-ss”
標(biāo)志中的ss (確認用了兩個s，而不是一個) 將禁止來自遠程主機的記錄并關(guān)閉端口，但仍然允許 localhost 進行日志記錄。

隨后，確認 /etc/rc.conf 中inetd_enable不是YES。如果sockstat輸出中有inetd，那么/etc/inetd.conf中肯定有什么項目沒有被注釋掉，如果不需要的話，那么把那一行前面加上#，并 killall inetd。

如果需要使用DHCP自動獲取地址，那么請保持dhclient (udp 6打開，否則將不能刷新地址。

如果在 sockstat 輸出中發(fā)現(xiàn)了其他東西，那么請看看 man rc.conf 里面有沒有關(guān)于如何關(guān)掉這些東西的提示。如果沒有的話，那么很可能是某個啟動腳本啟動了一些服務(wù)程序，請執(zhí)行：
cd /usr/local/etc/rc.d
來看看你的系統(tǒng)中的啟動腳本。絕大多數(shù) packages/ports 會安裝一個擴展名為sample的示范腳本用于啟動服務(wù)，這些腳本并不被執(zhí)行；也有一些直接安裝能夠執(zhí)行的腳本，它們會在計算機啟動的時候加載。禁止某個腳本知性最簡單的方法是把它的擴展名改為sample，隨后殺掉守護程序，這樣sockstat就不會再說什么了。 舉例來說，我最近安裝了 ethereal 結(jié)果發(fā)現(xiàn) snmpd 出現(xiàn)在 sockstat -4 的輸出中，這個程序在安全方面名聲不佳，因此我把自己升級為root并執(zhí)行了下面的命令：
cd /usr/local/etc/rc.d
mv snmpd.sh snmpd.sh.sample killall snmpd
你可能會希望把下面的選項加入 /etc/rc.conf ：
tcp_drop_synfin=”YES”
這個選項可以挫敗諸如OS指紋識別的企圖(譯注：這個選項對最新的nmap無效)。如果你打算開啟這個選項，那么，還需要在內(nèi)核編譯配置文件中加入：
options TCP_DROP_SYNFIN
還有兩個相關(guān)的選項：
icmp_drop_redirect=”YES”
icmp_log_redirect=”YES”
ICMP 重定向可以被利用完成DoS攻擊。這篇 ARP and ICMP redirection games article 介紹了具體的一些情況。

在打開 icmp_log_redirect 選項時請務(wù)必小心，因為它會記錄每一個ICMP重定向 ，如果你遭到了這樣的攻擊，那么日志很可能會塞滿記錄。

建好防火墻之后，請考慮加入下面的選項：
log_in_vain=”YES”
這個選項會記錄每一個到關(guān)閉端口的連接企圖。另一個比較有意思的選項是：
accounting_enable=”YES”
這將打開系統(tǒng)審計功能，如果你不熟悉他們，那么請閱讀 man sa 和 man lastcomm 。

最后，下面的選項可能非常有用：
clear_tmp_enable=”YES”
因為它在系統(tǒng)啟動時將清空 /tmp ，這永遠是一件值得去做的事情。

讓我們來研究一下其他能夠加強安全的設(shè)置。我比較喜歡把默認的口令加密算法改為Blowfish，因為它在提供最佳安全性的前提下，也提供了最快的速度。這里有一份 comparison of algorithms[幾種密碼學(xué)算法的比較]。

當(dāng)然，如果你對這類東西感興趣的話，看看 Cryptogram newsletter ，它是Blowfish作者寫的。

為了啟用 Blowfish 散列，編輯 /etc/login.conf 并把 passwd_format 一行改成下面這樣：
:passwd_format=blf:\
保存設(shè)置，重新創(chuàng)建登錄數(shù)據(jù)庫：
cap_mkdb /etc/login.conf
隨后需要修改每一個用戶的口令，以便讓這些口令都使用 Blowfish 散列值。以超級用戶的身份執(zhí)行下面的命令：
passwd username
需要修改所有用戶的口令，包括root自己。

完成了這些操作之后，重新檢查一下確認自己沒有遺漏什么：
more /etc/master.passwd
所有用戶的口令應(yīng)該以$2.開始

最后，重新配置 adduser 程序，讓它在以后使用Blowfish。修改 /etc/auth.conf，找到 crypt_default 一行，改為：
crypt_default=blf
你可能已經(jīng)注意到，每次登錄的時候FreeBSD都會提示你，你在用的那個系統(tǒng)是FreeBSD，以及它的版權(quán)信息，包括內(nèi)核的編譯時間，等等。這些信息可能有用，但相當(dāng)煩人，特別是當(dāng)別人可以登錄的時候，它可能會暴露一些你不希望暴露的信息。

可以通過編輯 /etc/motd 來阻止計算機說出一些不該說的東西，或者宣揚你的一些想法，包括你喜歡看的 sci-fi 文摘，或者其他一些——總之你想寫什么就寫什么。

隨后，刪除版權(quán)信息：
touch /etc/COPYRIGHT
隨后，還可以修改登錄提示，編輯 /etc/gettytab. 找到 default:\ 小節(jié)，它以下面的文字開頭：
:cb:ce:ck:lc
小心地修改 \r\n\ \r\n\r\nr\n: 之間的文字來適應(yīng)自己的需要。請仔細檢查 \r 和 \n 的數(shù)量，并保存修改。例如，我的登錄提示是這樣的：
I’m a node in cyberspace. Who are you?
login:
可以在其他終端上嘗試登錄，以確認正確性。

最后，即使你已經(jīng)修改了motd并從中刪除了內(nèi)核版本信息，默認情況下FreeBSD仍然會在啟動之后把這些東西加入 /etc/motd 。因此需要修改 /etc/rc.conf 并加入下面的設(shè)置：
update_motd=”NO”
這個設(shè)置需要重新啟動才會生效。

此外，限制登錄也是非常重要的。因為這些變動會改變 login 程序的行為，因此需要非常謹慎。比較好的習(xí)慣是保持一個以root身份登錄的終端，用其他終端嘗試。這樣如果由于某種原因造成問題，你仍然可以改正。

包括你自己在內(nèi)的任何人都不應(yīng)該直接以root身份登錄。修改 /etc/ttys。你將注意到 ttyv0 到 ttyv8的一系列設(shè)置。把后面的 secure 改為 insecure。注意，這個文件肯定是你不希望有任何錯誤的一個文件，因此請仔細地進行測試。如果設(shè)置正確，root登錄將收到 “Login incorrect” 。

我個人傾向于使用所有的9個終端。如果你不打算這樣，請把對應(yīng)的 “on” 改為 “off” ，當(dāng)然，只是一部分 ttys 。切記保持至少1個 “on,” 否則你會無法登錄，這將導(dǎo)致系統(tǒng)無法使用。ttyv8 默認情況下是 “off” ，這意味著你需要手動打開X，如果希望自動啟動，那么把它改為”on.”。

最后一個我想說的限制是阻止從其他地方登錄，這是通過編輯 /etc/login.access 實現(xiàn)的。

你可能希望禁止一切遠程登錄（這意味著你必須物理地坐在機器前面），刪除下面這一行前面的#號：
#-:wheel:ALL EXCEPT LOCAL .win.tue.nl
把 .win.tue.nl 去掉，于是它看起來將像這樣：
-:wheel:ALL EXCEPT LOCAL
如果你需要從遠程登錄，那么把.win.tue.nl 替換為相應(yīng)的IP或域名。如果有多個地址，用空格分開。

如果只有一兩個用戶的話，那么可以拒絕其他人登錄：
-:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4
用具體的用戶名替換掉 user1 user2 。如果需要的話，增加相應(yīng)的tty。

另外，也可以把用戶組方在這里。首先，編輯 /etc/group 并增加下面的行：
mygroup:*:100:genisis,dlavigne6,biko
當(dāng)增加組時，需要保證GID的唯一性。

隨后，修改 /etc/login.access ：
-:ALL EXCEPT mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5
測試它非常重要，一定要留一個終端。測試每一個終端上的登錄，確認其效果。