发信人: zenz.hu(真)
整理人: hackerbay(2002-09-06 16:48:52), 站内信件
|
★原文转载自openbsd版zenz.hu的《让你的OpenBSD机器更坚固》★ 让你的OpenBSD机器更坚固
虽说OpenBSD的默认安装就采取了最大安全设置,但这也不过是和其他Unix系统相对比而言,事实上,我们还可以做一些工作,让它更坚固一点。
1、 删除不必要的用户
有一些用户是针对特定的服务的。当你不打算使用这些服务的时候,就可以把这些用户删除掉,以免被人利用。以下是一个用户和服务对应的例子,不需要对应的服务,那么该用户就可以删除了。
userid :: service/program
------------------------------
named :: BIND name service
popa3d :: POP3
uucp :: UNIX to UNIX copy
www :: Apache
删除uucp用户的时候要注意同时要修改/etc/mtree/special文件,把里面和uucp相关的项目注释掉(看下面inetd.conf的例子)。而且要修改/etc/newsyslog.conf,把下面的一行注释掉
/var/log/aculog uucp.dialer 660 7 * 24 Z
2、 设置好文件的权限
首先要特别注意SUID/SGID的文件,把不需要使用到的,撤销掉SUID/SGID属性。另外,对于SUID/SGID的文件,做一个MD5的列表,放在软盘里面,以后出现问题的时候,用来对比是不是文件被修改/替换了。
find / -perm -4000 | xargs md5 >MD5
另外,在/etc目录里面的一些配置相关的文件,本来应该只能被root读取的,但是却被设置为任何人都可读取了,为安全着想,我们要把它们的文件属性更改过来
- /etc/inetd.conf
- /etc/login.conf
- /etc/rc
- /etc/rc.conf
- /etc/rc.local
- /etc/rc.securelevel
- /etc/rc.shutdown
- /etc/netstart
- /etc/syslog.conf
- /etc/pf.conf
- /etc/nat.conf
- /etc/dialy
- /etc/weekly
- /etc/monthly
- /etc/security
- /etc/changelist
以上这些文件的默认属性都是644,我们要手工把它们的属性改成640,并且修改/etc/mtree/sepcial文件中相关的项目,如把
inetd.conf type=file mode=0644 uname=root gname=wheel
改成
inetd.conf type=file mode=0640 uname=root gname=wheel
3、 SSHD的更改
OpenBSD默认安装,是允许root从远端登陆sshd的,或者有的人认为这没什么大不了的,但就像我们在本地登录也不要用root,而是用普通用户sudo执行一样,防微杜渐吧。修改/etc/sshd_config文件把PermitRootLogin由yes改为no就可以了。
4、 注意/etc/rc.conf里面的服务
有一些服务确实用不到的,就关闭掉吧,如portmap,虽然后面的注解说几乎都要用到,但在我本人的实际应用中,是从来没有用到,就设成NO,关闭掉了。
5、 设置并启动防火墙
嗯,这个,以前写过文章介绍过了,到精华里面找找看吧。
6、 关注更新和补丁
http://www.openbsd.org/errata.html
随时关注这个地方,一旦发现有新的补丁,就立即打补丁。
7、 Log和系统邮件
认真的检查系统发到root的邮件,注意SUID/SGID的变化,用户新增的变化,文件属性变化等,注意分析log文件。
最后:这样做了之后,系统会比较安全了,但是要记住安全是相对的,所以千万不要忘记了备份这个步骤。即便真要不小心被别人Crack/Hack了,恢复起来也比较方便。另外,真要是被Crack/Hack了,不要匆匆莽莽的就立即恢复,拔掉网线,认真的检查一下log,对比一下MD5什么的,尽量找出问题所在,再进行恢复不迟,否则,可能很快又被干掉了。呵呵:)
----
来OpenBSD版看看吧!
我的QQ:256229 |
|