FreeBSD
翻譯:Delphij
前幾天我整理了過去的一些筆記,以及近幾年收集的一些安全建議。我認為這可能對您有幫助,所以本周我就暫停文檔系列的文章,寫一點關於使你的FreeBSD系統更安全的內容。
很明顯,在這個領域我不可能用一篇文章全面地介紹所有的事情。另外,也不可能給出一個防止四海皆准的,保證任何系統都安全的方案。
在我整理筆記的過程中,我注意到很多都是關於如何讓FreeBSD服務器(如,Web服務器,郵件服務器,等等)更安全的方法。如果你用FreeBSD做為個人系統,並希望完全的桌面功能的話,這就不太夠用了。你肯定不願意因為某些強化安全的設置,造成某些功能無法使用,並在此後的一周內孤立無援地與計算機進行搏斗,直到找到問題的所在。
因此,你將注意到,和許多其它安全教程不同,這份文檔並不建議你修改FreeBSD系統中文件的權限。這是有意的。除非你正在強化一台生產服務器的安全性,並且十分明白自己在做什麼,否則絕不要修改文件的權限。(如果你一定要做做實驗的話,請在自己的home文件夾中作)。不然的話,一些東西可能就會停止工作,例如,電子郵件,X Window系統,聲音。怪事會在不經意的時刻發生,讓你頭疼良久之後才意識到可能是一周前的某個權限設置造成的問題。
我們都知道Internet並不總是一個友好的地方,而且你可能也不想讓另一個地方的人擁有與你一樣的訪問許可權限。這意味著你可能不希望在沒有某種防火牆的前提下訪問Internet。幸運的是,你的FreeBSD系統支持良種防火牆:ipfw 和 ipfilter。更令人振奮的是,通俗易懂的文檔正在迅速增加。如果你不在防火牆後面,那麼請花一個周六下午的時間讀一讀如何在你的系統上配置防火牆的文章,並操練一把。你將為此感到愉快,以下是一部分可用的資源:
man ipfw
FreeBSD Handbook: Section 10.7 -- Firewalls
Setting Up a Dual-Homed Host using IPFW and NATD
man ipf
IPFilter and PF resources
好的安全總是“層層設防”,這意味著如果一個機制失效了,仍然有備用的機制。即使你的系統已經受到了防火牆的保護,你仍然需要禁用所有服務,除了那些絕對需要的。在桌面系統中,不需要很多的服務。
用下面的命令可以查看哪些服務正在試圖監聽連接你的系統:
sockstat -4
輸出的差別可能很大,這取決於在安裝的最後階段選擇的軟件,以及之後自行安裝的port和package。
端口6000(X Window服務器)是輸出中非常常見的;如果沒看到它的話,啟動一個X Window會話,然後重新運行 sockstat -4。不幸的是,在過去的幾年中有很多針對X Window的攻擊。幸運的是,使用X並不需要打開6000端口,不必擔心,即使關閉了這個端口,仍然可以使用圖形界面!
許多方法可以關掉這個端口。我發現的最簡單的方法是成為超級用戶,並編輯 /usr/X11R6/bin/startx。找到 serverargs 那一行,並把它改為類似下面的樣子:
serverargs="-nolisten tcp"
保存修改之後,以普通用戶身份運行X並執行 sockstat -4。如果沒有打字錯誤,那麼X會像往常那樣啟動,但 sockstat -4 輸出中不會再出現端口6000。
如果想了解6000端口打開的後果,請閱讀 Crash Course in X Window Security。
好了,現在 sockstat -4 輸出中的服務少了一個。我們還需要處理一下郵件:端口 25 (smtp) 和 587 (submission)。收發郵件並不需要 587 端口,為了關閉它,我們需要修改 /etc/mail/sendmail.cf。查找這一行:
O DaemonPortOptions=Port=587, Name=MSA, M=E
然後在前面加上 # ,並告訴 sendmail 變化:
killall -HUP sendmail
-HUP 不會殺掉 sendmail,但他會告訴sendmail重新處理 /etc/mail/sendmail.cf。重復sockstat -4 ,它將不再顯示 587。
那麼端口25呢?你可能需要,也可能不需要打開這個端口,這取決於使用什麼樣的郵件程序來收發郵件。對於運行 FreeBSD 4.6-RELEASE 或更高版本的系統,在/etc/rc.conf中增加下面的行:
sendmail_enable="NO"
將告訴 sendmail 只監聽 localhost,這允許所有的郵件客戶程序發送郵件。如果你知道你的郵件客戶程序帶有內置的SMTP代理,或者喜歡冒險,那麼可以嘗試一下:
sendmail_enable="NONE"
這將徹底關閉25端口。檢查一下這是否讓你無法發送郵件是很重要的,確保已經關掉了所有應用程序,隨後,以超級用戶身份執行:
shutdown now
收到提示後按回車、exit。重新登錄後給自己發一封郵件,如果收不到,那麼把NONE改回NO。
如果你的"sockstat"顯示端口111打開,那麼把下面幾行加到 /etc/rc.conf (或者,如果已經有這些行,把 YES 改為 NO):
nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"
Portmap只有在運行NFS時才是必需的,而這往往不是FreeBSD桌面系統的需要。歷史上它有過很多安全問題,因此除非你絕對需要它,否則就別用。
syslog (端口 514) 也可能出現在你的輸出結果中。我們可能並不希望完全關掉 syslog ,因為它提供的消息記錄是我們需要的。但我們並不需要為此打開端口。在 /etc/rc.conf 文件中增加下面的選項:
syslogd_enable="YES"
syslogd_flags="-ss"
標志中的ss (確認用了兩個s,而不是一個) 將禁止來自遠程主機的記錄並關閉端口,但仍然允許 localhost 進行日志記錄。
隨後,確認 /etc/rc.conf 中inetd_enable不是YES。如果sockstat輸出中有inetd,那麼/etc/inetd.conf中肯定有什麼項目沒有被注釋掉,如果不需要的話,那麼把那一行前面加上#,並 killall inetd。
如果需要使用DHCP自動獲取地址,那麼請保持dhclient (udp 68)打開,否則將不能刷新地址。
如果在 sockstat 輸出中發現了其他東西,那麼請看看 man rc.conf 裡面有沒有關於如何關掉這些東西的提示。如果沒有的話,那麼很可能是某個啟動腳本啟動了一些服務程序,請執行:
cd /usr/local/etc/rc.d
來看看你的系統中的啟動腳本。絕大多數 packages/ports 會安裝一個擴展名為sample的示范腳本用於啟動服務,這些腳本並不被執行;也有一些直接安裝能夠執行的腳本,它們會在計算機啟動的時候加載。禁止某個腳本知性最簡單的方法是把它的擴展名改為sample,隨後殺掉守護程序,這樣sockstat就不會再說什麼了。 舉例來說,我最近安裝了 ethereal 結果發現 snmpd 出現在 sockstat -4 的輸出中,這個程序在安全方面名聲不佳,因此我把自己升級為root並執行了下面的命令:
cd /usr/local/etc/rc.d
mv snmpd.sh snmpd.sh.sample killall snmpd
你可能會希望把下面的選項加入 /etc/rc.conf :
tcp_drop_synfin="YES"
這個選項可以挫敗諸如OS指紋識別的企圖(譯注:這個選項對最新的nmap無效)。如果你打算開啟這個選項,那麼,還需要在內核編譯配置文件中加入:
options TCP_DROP_SYNFIN
還有兩個相關的選項:
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
ICMP 重定向可以被利用完成DoS攻擊。這篇 ARP and ICMP redirection games article 介紹了具體的一些情況。
在打開 icmp_log_redirect 選項時請務必小心,因為它會記錄每一個ICMP重定向 ,如果你遭到了這樣的攻擊,那麼日志很可能會塞滿記錄。
建好防火牆之後,請考慮加入下面的選項:
log_in_vain="YES"
這個選項會記錄每一個到關閉端口的連接企圖。另一個比較有意思的選項是:
accounting_enable="YES"
這將打開系統審計功能,如果你不熟悉他們,那麼請閱讀 man sa 和 man lastcomm 。
最後,下面的選項可能非常有用:
clear_tmp_enable="YES"
因為它在系統啟動時將清空 /tmp ,這永遠是一件值得去做的事情。
讓我們來研究一下其他能夠加強安全的設置。我比較喜歡把默認的口令加密算法改為Blowfish,因為它在提供最佳安全性的前提下,也提供了最快的速度。這裡有一份 comparison of algorithms[幾種密碼學算法的比較]。
當然,如果你對這類東西感興趣的話,看看 Cryptogram newsletter ,它是Blowfish作者寫的。
為了啟用 Blowfish 散列,編輯 /etc/login.conf 並把 passwd_format 一行改成下面這樣:
:passwd_format=blf:\
保存設置,重新創建登錄數據庫:
cap_mkdb /etc/login.conf
隨後需要修改每一個用戶的口令,以便讓這些口令都使用 Blowfish 散列值。以超級用戶的身份執行下面的命令:
passwd username
需要修改所有用戶的口令,包括root自己。
完成了這些操作之後,重新檢查一下確認自己沒有遺漏什麼:
more /etc/master.passwd
所有用戶的口令應該以$2.開始
最後,重新配置 adduser 程序,讓它在以後使用Blowfish。修改 /etc/auth.conf,找到 crypt_default 一行,改為:
crypt_default=blf
你可能已經注意到,每次登錄的時候FreeBSD都會提示你,你在用的那個系統是FreeBSD,以及它的版權信息,包括內核的編譯時間,等等。這些信息可能有用,但相當煩人,特別是當別人可以登錄的時候,它可能會暴露一些你不希望暴露的信息。
可以通過編輯 /etc/motd 來阻止計算機說出一些不該說的東西,或者宣揚你的一些想法,包括你喜歡看的 sci-fi 文摘,或者其他一些——總之你想寫什麼就寫什麼。
隨後,刪除版權信息:
touch /etc/COPYRIGHT
隨後,還可以修改登錄提示,編輯 /etc/gettytab. 找到 default:\ 小節,它以下面的文字開頭:
:cb:ce:ck:lc
小心地修改 \r\n\ \r\n\r\nr\n: 之間的文字來適應自己的需要。請仔細檢查 \r 和 \n 的數量,並保存修改。例如,我的登錄提示是這樣的:
I'm a node in cyberspace. Who are you?
login:
可以在其他終端上嘗試登錄,以確認正確性。
最後,即使你已經修改了motd並從中刪除了內核版本信息,默認情況下FreeBSD仍然會在啟動之後把這些東西加入 /etc/motd 。因此需要修改 /etc/rc.conf 並加入下面的設置:
update_motd="NO"
這個設置需要重新啟動才會生效。
此外,限制登錄也是非常重要的。因為這些變動會改變 login 程序的行為,因此需要非常謹慎。比較好的習慣是保持一個以root身份登錄的終端,用其他終端嘗試。這樣如果由於某種原因造成問題,你仍然可以改正。
包括你自己在內的任何人都不應該直接以root身份登錄。修改 /etc/ttys。你將注意到 ttyv0 到 ttyv8的一系列設置。把後面的 secure 改為 insecure。注意,這個文件肯定是你不希望有任何錯誤的一個文件,因此請仔細地進行測試。如果設置正確,root登錄將收到 "Login incorrect" 。
我個人傾向於使用所有的9個終端。如果你不打算這樣,請把對應的 "on" 改為 "off" ,當然,只是一部分 ttys 。切記保持至少1個 "on," 否則你會無法登錄,這將導致系統無法使用。ttyv8 默認情況下是 "off" ,這意味著你需要手動打開X,如果希望自動啟動,那麼把它改為"on."。
最後一個我想說的限制是阻止從其他地方登錄,這是通過編輯 /etc/login.access 實現的。
你可能希望禁止一切遠程登錄(這意味著你必須物理地坐在機器前面),刪除下面這一行前面的#號:
#-:wheel:ALL EXCEPT LOCAL .win.tue.nl
把 .win.tue.nl 去掉,於是它看起來將像這樣:
-:wheel:ALL EXCEPT LOCAL
如果你需要從遠程登錄,那麼把.win.tue.nl 替換為相應的IP或域名。如果有多個地址,用空格分開。
如果只有一兩個用戶的話,那麼可以拒絕其他人登錄:
-:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4
用具體的用戶名替換掉 user1 user2 。如果需要的話,增加相應的tty。
另外,也可以把用戶組方在這裡。首先,編輯 /etc/group 並增加下面的行:
mygroup:*:100:genisis,dlavigne6,biko
當增加組時,需要保證GID的唯一性。
隨後,修改 /etc/login.access :
-:ALL EXCEPT mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5
測試它非常重要,一定要留一個終端。測試每一個終端上的登錄,確認其效果。
