Подобряване на сигурността на FreeBSD сървъра

Ако трябва да подобрите сигурността на вашия FreeBSD сървър, трябва да направите следното.

. Нека защитим SSHD демона.

1. Разрешете достъп до колата само на тези, на които се предполага.

Това става чрез добавяне на следния ред към файла /etc/ssh/sshd_config:

AllowUsers Джон Боб

И не забравяйте да рестартирате услугата.

Можете също така да разрешите достъп до групата колела (аз лично не смятам, че това е правилно. ), като въведете реда в конфигурационния файл /etc/ssh/sshd_config

И също така забранете влизането като root.

Стартирайте услугата SSH на различен порт. По подразбиране работи на порт 22.

За да направите това, редактирайте /etc/ssh/sshd_config, като промените съответния ред на:

В същото време проверете дали този порт не се използва от друга услуга.

И не забравяйте да рестартирате услугата.

и влезте в новия порт.

Блокирайте множество SSH връзки

-максимален брой опити за свързване (6)

— Максимална продължителност на сесията (10 минути).

Актуализирайте SSHD редовно, инсталирайте пачове.

Забранете въвеждането на неактивна парола и използвайте публични ключове.

Винаги използвайте SSH протокол 2, той е по подразбиране.

8. Ако издавате пароли на потребители, те трябва да са с дължина поне 8 знака и да се състоят от букви, цифри и т.н., и т.н.

Сменяйте паролите си редовно и деактивирайте ненужните акаунти.

Деактивирайте всички ненужни услуги.

Сканирайте вашия сървър с nmap

nmap -P0 server_ip

), за да видите всички отворени портове и работещи услуги.

Спрете ненужните услуги и забранете зареждането им във файл/etc/rc.conf.

Премахнете или деактивирайте ненужните скриптове в директорията /usr/local/etc/rc.d (

chmod -x /usr/local/etc/rc.d/script_name.sh

За някои услуги ги коментирайте в /etc/inetd.conf

Защитете вашата конзола.

Редактирайте /etc/ttys и заменете редовете

конзола няма неизвестен изключен защитен

конзола none unknown off insecure

Деактивирайте рестартирането на машината чрез Ctrl+Alt+Del.

За да направите това, въведете ред в конфигурационния файл на ядрото:

и възстановете ядрото.

d.Редовно сканирайте портовете и деактивирайте ненужните услуги.

Синхронизиране на времето на сървъра.

Не използвайте Logrotate. Ако го направите, съкращавайте регистрационните файлове само седмично и месечно.

д. DOS/DDOS защита.

Следното помага за частична защита срещу DOS/DDOS атаки.

редактирайте следните sysctl променливи

# за защита срещу SYN атаки

Нападателят може да се опита да промени таблицата за маршрутизиране.

За да избегнете тази промяна:

g.Създайте контролна сума на вашите файлове

За да направите това, използвайте tripwire (

Не използвайте ftp, използвайте само sftp за копиране на файлове.

Проверявайте редовно регистрационните файлове.

msl = максимален живот на сегмента = Максимално време за изчакване на ACK в ръкостискане SYN-ACK или FIN-ACK в милисекунди.

-Тази променлива задава какво се случва, когато вашата машина получи TCP пакет на затворен порт. (1 - SYN пакетът ще бъде премахнат, 2 - всички пакети ще бъдат премахнати.)

- Тази променлива контролира максималния брой ICMP "Unreachable" и TCP RST, върнати всяка секунда.

За мрежови карти dc, em, fxp, nge, rl, sis активирайте опцията DEVICE_POLLING в ядрото

за намаляване на процесорното времепри обработката на входящия трафик. Прекомпилирайте и преинсталирайте ядрото и променете следната sysctl променлива.

И. Инсталирайте и конфигурирайте защитната стена

й. Използвайте JAIL, където е възможно за уеб сървър, пощенски сървър, DNS сървър.

л. Използвайте DMZ за вашия уеб сървър.

м. Проверете разрешенията за файлове

Проверете файловете setuid и setgid на вашия сървър:

# find / -type f ( -- perm 2000 -o perm -4000 ) -print

О. Задайте нивото на защита на ядрото.

Има 5 нива на сигурност за FreeBSD - от -1 до 3. Нивото се променя с помощта на променливата kern.securelevel sysctl

н. Премахнете неизползваните опции на ядрото.

Опциите, показани по-долу, обикновено не се използват на производствени сървъри.

Конфигурирайте вашия сървър да скрие подписа на операционната система за помощни програми като nmap. За да направите това, трябва да прекомпилирате ядрото с опцията