The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Что сделать в свежеустановленной FreeBSD для увеличения безопасности

23.08.2002 23:26

В статье "Securing FreeBSD" даются весьма неплохие рекомендации по увеличению безопасности FreeBSD.

Ниже приведу кратко самое полезное:

# Настраиваем фаервол.
man ipfw
man ipf

# Проверяем чтобы не было лишних активных сетевых сервисов.
sockstat -4 

# Если запускается XWindow, запрещаем бинд к 6000 порту.
В /usr/X11R6/bin/startx: serverargs="-nolisten tcp" 

# Если используется sendmail, запрещаем бинд к 587 порту (submission).
В /etc/mail/sendmail.cf: #O DaemonPortOptions=Port=587, Name=MSA, M=E 


# Если sendmail не нужен
В /etc/rc.conf:  sendmail_enable="NO" (бинд на localhost) или sendmail_enable="NONE" 

# Правим/etc/rc.conf
nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"
tcp_drop_synfin="YES" # Ядро собираем с "options TCP_DROP_SYNFIN"
icmp_drop_redirect="YES"        
icmp_log_redirect="YES"
log_in_vain="YES" # (Не советую)
accounting_enable="YES"
clear_tmp_enable="YES" # Чистка /tmp при загрузке
syslogd_enable="YES" 
syslogd_flags="-ss" # Запрещаем syslog'у принимать сообщения из сети.

# Комментируем все лишнее из /etc/inetd.conf

# Включаем Blowfish шифрование паролей вместо DES и MD5
В /etc/login.conf:  ":passwd_format=blf:"
cap_mkdb /etc/login.conf 

# Огранищиваем доступ пользователей к системе:
В /etc/login.access:
-:wheel:ALL EXCEPT LOCAL 
-:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4
-:ALL EXCEPT mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5



  1. Главная ссылка к новости (http://www.onlamp.com/pub/a/bs...)
  2. Setting Up a Dual-Homed Host using IPFW and NATD
  3. IPFilter and PF resources
  4. ipfw handbook
  5. OpenNews: Новое руководство по увеличению безопасности FreeBSD сервера.
Лицензия: CC-BY
Источник: onlamp
Тип: Интересно
Ключевые слова: inetd, tcp, access, sendmail, log, ipf, freebsd, port, ip, login, socket, socket, des, x, rpc, tty, password, mail, window, man, redirect, icmp, md5, qos, daemon, ipfw, user, socks
При перепечатке указание ссылки на opennet.ru обязательно
 Добавить комментарий
Имя:
E-Mail:
Текст:



Спонсоры:
MIRhosting
Fornex
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру