FreeBSD管理小技巧
作者 佚名技术
来源 操作系统
浏览
发布时间 2012-06-28
33. 用下面的命令可以查看哪些服务正在试图监听连接你的系统: sockstat -4 34. 你可能需要,也可能不需要打开这个端口,这取决于使用什么样的邮件程序来收发邮件。对于运行 FreeBSD 4.6-RELEASE 或更高版本的系统,在/etc/rc.conf中增加下面的行: sendmail_enable="NO" 将告诉 sendmail 只监听 localhost,这允许所有的邮件客户程序发送邮件。如果你知道你的邮件客户程序带有内置的SMTP代理,或者喜欢冒险,那么可以尝试一下: sendmail_enable="NONE" 这将彻底关闭25端口。检查一下这是否让你无法发送邮件是很重要的,确保已经关掉了所有应用程序,随后,以超级用户身份执行: shutdown now 收到提示后按回车、exit。重新登录后给自己发一封邮件,如果收不到,那么把NONE改回NO。 如果你的"sockstat"显示端口111打开,那么把下面几行加到 /etc/rc.conf (或者,如果已经有这些行,把 YES 改为 NO): nfs_server_enable="NO" nfs_clIEnt_enable="NO" portmap_enable="NO" 35. syslog (端口 514) 也可能出现在你的输出结果中。我们可能并不希望完全关掉 syslog ,因为它提供的消息记录是我们需要的。但我们并不需要为此打开端口。在 /etc/rc.conf 文件中增加下面的选项: syslogd_enable="YES" syslogd_flags="-ss" 标志中的ss (确认用了两个s,而不是一个) 将禁止来自远程主机的记录并关闭端口,但仍然允许 localhost 进行日志记录。 36. 你可能希望禁止一切远程登录(这意味着你必须物理地坐在机器前面),删除下面这一行前面的#号: #-:wheel:ALL EXCEPT LOCAL .win.tue.nl 把 .win.tue.nl 去掉,于是它看起来将像这样: -:wheel:ALL EXCEPT LOCAL 如果你需要从远程登录,那么把.win.tue.nl 替换为相应的IP或域名。如果有多个地址,用空格分开。 如果只有一两个用户的话,那么可以拒绝其他人登录: -:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 用具体的用户名替换掉 user1 user2 。如果需要的话,增加相应的tty。 另外,也可以把用户组方在这里。首先,编辑 /etc/group 并增加下面的行: mygroup:*:100:genisis,dlavigne6,biko 当增加组时,需要保证GID的唯一性。 随后,修改 /etc/login.access : -:ALL EXCEPT mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5 测试它非常重要,一定要留一个终端。测试每一个终端上的登录,确认其效果。 37. 拒绝直接以root身份登录: 在/etc/ttys文件中,将"secure"标记改为"insecure"标记,使系统在进入单用户模式时会要求root密码。但是这样以来也为恢复root密码制造了障碍——安全和易用再次形成了矛盾的两个对立面。 38. #找出你所有的可写入目录, #find / -perm -0777 -type d -ls 39. 配置SSH 修改/etc/ssh/ssh_config文件 (1)使用protocol 2代替protocol 1,SSH2更加安全,可以防止攻击者通过修改携带的版本banner来劫持(hijacking)启动会话进程并降低到protocol 1。注释掉protocol 2,1 改用下面语句代替: protocol 2 (2)合理设置最大连接数量, 防止DOS攻击 MaxStartups 5:50:10 (3)禁止远程root和空密码登录,建议关闭X11forwording X11Forwarding no (4)强烈建议不使用静态密码,而使用DSA 或RSA KEY,修改如下内容可以关闭使用密码认证: PasswordAuthentication no (5)可以限制组或光是单个用户访问shell AllowGroups wheel AllowUsers xundi (6)使用TCP wrappers来限制一些访问,修改/etc/hosts.allow文件,注释掉"AL |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
关于FreeBSD管理小技巧的所有评论