|
发信人: zenz.hu(真) 整理人: hackerbay(2002-09-06 16:48:52), 站内信件 |
| ★原文转载自openbsd版zenz.hu的《让你的OpenBSD机器更坚固》★ 让你的OpenBSD机器更坚固 虽说OpenBSD的默认安装就采取了最大安全设置,但这也不过是和其他Unix系统相对比而言,事实上,我们还可以做一些工作,让它更坚固一点。 1、 删除不必要的用户 有一些用户是针对特定的服务的。当你不打算使用这些服务的时候,就可以把这些用户删除掉,以免被人利用。以下是一个用户和服务对应的例子,不需要对应的服务,那么该用户就可以删除了。 userid :: service/program ------------------------------ named :: BIND name service popa3d :: POP3 uucp :: UNIX to UNIX copy www :: Apache 删除uucp用户的时候要注意同时要修改/etc/mtree/special文件,把里面和uucp相关的项目注释掉(看下面inetd.conf的例子)。而且要修改/etc/newsyslog.conf,把下面的一行注释掉 /var/log/aculog uucp.dialer 660 7 * 24 Z 2、 设置好文件的权限 首先要特别注意SUID/SGID的文件,把不需要使用到的,撤销掉SUID/SGID属性。另外,对于SUID/SGID的文件,做一个MD5的列表,放在软盘里面,以后出现问题的时候,用来对比是不是文件被修改/替换了。 find / -perm -4000 | xargs md5 >MD5 另外,在/etc目录里面的一些配置相关的文件,本来应该只能被root读取的,但是却被设置为任何人都可读取了,为安全着想,我们要把它们的文件属性更改过来 - /etc/inetd.conf - /etc/login.conf - /etc/rc - /etc/rc.conf - /etc/rc.local - /etc/rc.securelevel - /etc/rc.shutdown - /etc/netstart - /etc/syslog.conf - /etc/pf.conf - /etc/nat.conf - /etc/dialy - /etc/weekly - /etc/monthly - /etc/security - /etc/changelist 以上这些文件的默认属性都是644,我们要手工把它们的属性改成640,并且修改/etc/mtree/sepcial文件中相关的项目,如把 inetd.conf type=file mode=0644 uname=root gname=wheel 改成 inetd.conf type=file mode=0640 uname=root gname=wheel 3、 SSHD的更改 OpenBSD默认安装,是允许root从远端登陆sshd的,或者有的人认为这没什么大不了的,但就像我们在本地登录也不要用root,而是用普通用户sudo执行一样,防微杜渐吧。修改/etc/sshd_config文件把PermitRootLogin由yes改为no就可以了。 4、 注意/etc/rc.conf里面的服务 有一些服务确实用不到的,就关闭掉吧,如portmap,虽然后面的注解说几乎都要用到,但在我本人的实际应用中,是从来没有用到,就设成NO,关闭掉了。 5、 设置并启动防火墙 嗯,这个,以前写过文章介绍过了,到精华里面找找看吧。 6、 关注更新和补丁 http://www.openbsd.org/errata.html 随时关注这个地方,一旦发现有新的补丁,就立即打补丁。 7、 Log和系统邮件 认真的检查系统发到root的邮件,注意SUID/SGID的变化,用户新增的变化,文件属性变化等,注意分析log文件。 最后:这样做了之后,系统会比较安全了,但是要记住安全是相对的,所以千万不要忘记了备份这个步骤。即便真要不小心被别人Crack/Hack了,恢复起来也比较方便。另外,真要是被Crack/Hack了,不要匆匆莽莽的就立即恢复,拔掉网线,认真的检查一下log,对比一下MD5什么的,尽量找出问题所在,再进行恢复不迟,否则,可能很快又被干掉了。呵呵:) ---- 
来OpenBSD版看看吧! 我的QQ:256229 |
|
[关闭][返回] |