FreeBSD設定基本系統(轉)

FreeBSD設定基本系統(轉)[@more@]

　　FreeBSD系統是一種安全性非常好的通用作業系統，在Internet上很少發生FreeBSD系統被攻擊的報告，事實上最近一端時間內CERT的安全報告中幾乎沒有發生在FreeBSD系統上的安全報告。一方面是因為 FreeBSD安全性很好，另一方面也是由於FreeBSD使用者對於系統安全比較瞭解的緣故。

　　與其他Unix系統相比，FreeBSD系統的傳統味道更足一些，設計者以追求完美的態度去完成每一種設計，穩定性和安全性就是其中的重要因素。因此，初始安裝好的FreeBSD系統已經具備比較高的安全性，一般使用者不需要特別設定，便具備了相當高的安全性。而且經過一些簡單的設定之後，安全性可以更高。一些商業作業系統軟體聲稱經過了某個安全認證，其實這些認證也只是保證最基本的安全性。當前的各種Unix版本（不包括較老的版本）經過一些設定工作，同樣也能達到透過測試目的，只是包括FreeBSD在內的自由軟體系統，沒有資金、也沒有必要去參加這類測試。

　　對系統安全要求更高，而又不打算自己調整系統設定的使用者，可以選擇另一種BSD Unix──OpenBSD ，它使用最大安全性的策略，其預設設定中應用了大量的系統安全措施，也因為如此，它稍微難用一些。

• 設定基本系統

　　增強FreeBSD的安全性可以從兩個方面出發，一個為使用FreeBSD提供的安全措施，這些安全措施可能在預設情況下可能並沒有開啟，但能夠提供額外的安全性。另一種為安裝其他輔助的安全軟體，這些額外的軟體可以在特定方面增加系統安全，或幫助檢查系統安全的工具。

• 使用者登入控制

　　為了提高系統的安全性，一個重要的方面就是區分不同的使用者，對於要使用不同服務的使用者區別對待。有些使用者只使用遠端登入服務的就不必具備控制檯訪問的許可權，有些使用者只在某些子網上使用系統的就不必允許在任何位置進行登入，有些帳戶只是用於系統維護目的，沒有任何使用者需要使用相應帳戶登入，就不必允許登入請求。

　　當區分不同使用者的情況，最大限度的提供了登入限制之後，就能對入侵者利用竊取的帳戶從其他位置進行攻擊設定了障礙，提供更大的安全性。

• 控制檯安全控制

　　系統的控制檯是一個非常重要的安全弱點所在的位置，因為一個使用者能接觸控制檯，那麼就表示他得到管理人員的特殊信任。系統預設賦予了控制檯終端以較大的安全信任。此外，接觸控制檯還能從物理上訪問系統硬體，包括重新啟動系統、將硬碟竊取分析其中的資料等等。然而，物理安全等措施不是在這裡要討論的內容。

　　為了避免偶然的非法訪問控制檯造成的安全問題，所需要設定的第一件任務就是取消控制檯的信任設定，這個設定位於/etc/ttys中。

console none　　 unknown off secure

　　初始設定為secure表示root使用者可以在控制檯登入，另外，它還表示系統重新啟動之後，如果管理員要求進入單使用者狀態，將不詢問root的口令進行驗證，這是一個重要的安全漏洞。將secure更改為insecure可以使得進入單使用者狀態時首先驗證root口令，它帶來的後果是，一旦系統損壞了passwd檔案（主要是master.passwd 檔案），root口令無法認證，就沒有辦法進入單使用者狀態進行修復工作，此時使用安裝盤啟動fixit 系統進行才能進行修正。

　　使用另外一個執行在軟盤上的小FreeBSD系統也能完成修復系統的任務，後面將介紹定製單軟盤FreeBSD 系統的方法，這種小系統被稱為PICOBSD，可以用於設定閘道器或防火牆，以及可以用作專有系統的嵌入式作業系統。

　　此外，為了防止使用者無意中重新啟動系統，還需要取消Ctrl-Alt-Del熱鍵的重新啟動能力，這需要重新定製核心時使用以下選項。

options　　　　SC_DISABLE_REBOOT

　　注意，這是針對使用標準控制檯syscon的系統才有效果。

　　當遮蔽了系統的熱啟動能力，那麼重新啟動或關閉系統便需要使用系統命令來完成，此時能啟動系統的使用者便需要 root許可權。而root口令知道的人越多，系統越不安全。此時可以使用軟體包sudo來幫助解決這個問題，sudo 能限制某些特定使用者使用root許可權完成指定的操作，它使用使用者本身的口令，而非root口令驗證使用者。

　　即使遮蔽了熱啟動能力，並且重新啟動進入單使用者狀態也需要詢問口令，系統仍然存在安全性問題。非法使用者可以首先切斷電源，然後使用安裝盤或其他不使用現有檔案系統的FreeBSD系統盤啟動系統，獲得相關資料，或更改pas swd檔案，以便在重新啟動之後獲得root許可權。保護這些攻擊，需要其他手段，例如設定計算機的啟動口令，拆除系統上的軟盤驅動器、光碟驅動器等。然而，對於能進行物理攻擊的入侵者，他的行為就如同一個正常系統管理員修復系統的行為一樣，沒有絕對的辦法能杜絕這樣大膽妄為的舉動。

　　如果管理員不能信任計算機系統的物理安全，為了防止資訊外瀉，唯一的方法是進行加密，可以透過Unix命令crypt 對具備敏感資訊的檔案加密。然而更簡便的方法是使用一種加密檔案系統，這類加密檔案系統對於正常操作就如同標準檔案系統一樣，對任何應用程式的檔案操作完全透明，然而資料是以加密方式儲存到物理裝置中。而且在網路中傳送的也都是加密後的金鑰，不必擔心洩露金鑰。FreeBSD下可以使用的加密檔案系統為TCFS，但它這不是FreeBSD的標準配置，需要從http:// tcfs.dia.unisa.it/中單獨獲得。