精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● FreeBSD>>有待整理的文章-新加的文章都在这里>>[转载]:让你的OpenBSD机器更坚固

主题:[转载]:让你的OpenBSD机器更坚固
发信人: zenz.hu(真)
整理人: hackerbay(2002-09-06 16:48:52), 站内信件
★原文转载自openbsd版zenz.hu的《让你的OpenBSD机器更坚固》★
让你的OpenBSD机器更坚固

虽说OpenBSD的默认安装就采取了最大安全设置,但这也不过是和其他Unix系统相对比而言,事实上,我们还可以做一些工作,让它更坚固一点。

1、 删除不必要的用户
有一些用户是针对特定的服务的。当你不打算使用这些服务的时候,就可以把这些用户删除掉,以免被人利用。以下是一个用户和服务对应的例子,不需要对应的服务,那么该用户就可以删除了。
userid  ::   service/program
------------------------------
named   ::   BIND name service
popa3d  ::   POP3
uucp    ::   UNIX to UNIX copy
www    ::   Apache
删除uucp用户的时候要注意同时要修改/etc/mtree/special文件,把里面和uucp相关的项目注释掉(看下面inetd.conf的例子)。而且要修改/etc/newsyslog.conf,把下面的一行注释掉
/var/log/aculog         uucp.dialer     660  7    *    24    Z

2、 设置好文件的权限
首先要特别注意SUID/SGID的文件,把不需要使用到的,撤销掉SUID/SGID属性。另外,对于SUID/SGID的文件,做一个MD5的列表,放在软盘里面,以后出现问题的时候,用来对比是不是文件被修改/替换了。
find / -perm -4000 | xargs md5 >MD5

另外,在/etc目录里面的一些配置相关的文件,本来应该只能被root读取的,但是却被设置为任何人都可读取了,为安全着想,我们要把它们的文件属性更改过来
   - /etc/inetd.conf
   - /etc/login.conf
   - /etc/rc
   - /etc/rc.conf
   - /etc/rc.local
   - /etc/rc.securelevel
   - /etc/rc.shutdown
   - /etc/netstart
   - /etc/syslog.conf
   - /etc/pf.conf
   - /etc/nat.conf
   - /etc/dialy
   - /etc/weekly
   - /etc/monthly
   - /etc/security
   - /etc/changelist 
以上这些文件的默认属性都是644,我们要手工把它们的属性改成640,并且修改/etc/mtree/sepcial文件中相关的项目,如把
inetd.conf      type=file mode=0644 uname=root gname=wheel
改成
inetd.conf      type=file mode=0640 uname=root gname=wheel

3、 SSHD的更改
OpenBSD默认安装,是允许root从远端登陆sshd的,或者有的人认为这没什么大不了的,但就像我们在本地登录也不要用root,而是用普通用户sudo执行一样,防微杜渐吧。修改/etc/sshd_config文件把PermitRootLogin由yes改为no就可以了。

4、 注意/etc/rc.conf里面的服务
有一些服务确实用不到的,就关闭掉吧,如portmap,虽然后面的注解说几乎都要用到,但在我本人的实际应用中,是从来没有用到,就设成NO,关闭掉了。

5、 设置并启动防火墙
嗯,这个,以前写过文章介绍过了,到精华里面找找看吧。

6、 关注更新和补丁
http://www.openbsd.org/errata.html
随时关注这个地方,一旦发现有新的补丁,就立即打补丁。

7、 Log和系统邮件
认真的检查系统发到root的邮件,注意SUID/SGID的变化,用户新增的变化,文件属性变化等,注意分析log文件。

最后:这样做了之后,系统会比较安全了,但是要记住安全是相对的,所以千万不要忘记了备份这个步骤。即便真要不小心被别人Crack/Hack了,恢复起来也比较方便。另外,真要是被Crack/Hack了,不要匆匆莽莽的就立即恢复,拔掉网线,认真的检查一下log,对比一下MD5什么的,尽量找出问题所在,再进行恢复不迟,否则,可能很快又被干掉了。呵呵:)




----

OpenBSD版看看吧!
我的QQ:256229

[关闭][返回]