FreeBSD6.1入门级Web服务器配置手记(6)

#允许收发电子邮件（limit src-addr意为限制同一地址连接数量）#
#######################################################
$cmd 00900 allow tcp from any to any 25 out via $pif setup keep-state
#$cmd 01000 allow tcp from any to me 25 in via $pif setup limit src-addr 1
#
$cmd 01100 allow tcp from any to any 110 out via $pif setup keep-state
#$cmd 01100 allow tcp from any to me 110 in via $pif setup limit src-addr 1
#
#########################
#允许CVSP和PORT安装/更新#
#########################
$cmd 01200 allow tcp from any to any via $pif setup keep-state uid root
#
##########
#允许ping#
##########
$cmd 01300 allow icmp from any to any out via $pif keep-state
#$cmd 01300 allow icmp from any to any in via $pif keep-state
#
####################################################
#允许FTP连接（limit src-addr意为限制同一地址连接数量）#
####################################################
$cmd 01400 allow tcp from any to any 21 out via $pif setup keep-state
$cmd 01500 allow tcp from any to any 21 in via $pif setup limit src-addr 2
#
########################################################
#允许SSH远程连接（limit src-addr意为限制同一地址连接数量）#
########################################################
$cmd 01600 allow tcp from any to any 22 out via $pif setup keep-state
$cmd 01700 allow tcp from any to any 22 in via $pif setup limit src-addr 2
#
######################
#禁止此规则以外的所有连接#
######################
$cmd 60000 deny log all from any to any

设置远程登录安全


QUOTE:
# ee /etc/ssh/sshd_config




[Copy to clipboard] [ - ]CODE:
port 22 //可以改成不常用端口，并在防火墙设置中作相应修改
protocol 1
hostkey /etc/ssh/ssh_host_key
PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeyFiles .ssh/authorized_keys
PasswordAuthentication no




QUOTE:
# ssh-keygen -b 1024 -t rsa1

一路回车默认


QUOTE:
# cp /root/.ssh/identity.pub /usr/www # 复制到一个可以用ftp下载的地方

用ftp下载identity.pub，保存到本地；
在本地启动putty.exe（免费软件）；
在session设置中填好IP和端口；
在connection-SSH-Auth中，Browse下载的identity.pub;
勾选Attempt TIS or CryptoCard auth(SSH-1);
点击open连接；
按照提示输入用户名、密码

其他安全设置

关闭一些不安全的服务


QUOTE:
# ee /etc/rc.conf




[Copy to clipboard] [ - ]CODE:
sendmail_enable="NONE"
nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"
syslogd_enable="YES"
syslogd_flags="-ss"
icmp_drop_redirect="YES"
log_in_vain="YES"
inetd_enable=”NO” # 如果pure-ftpd以Inetd方式运行，需设置为YES

禁止一般用户查看系统日志


QUOTE:
# chmod g-w,o-r /var/log/*
# chmod 600 /etc/syslog.conf
# chmod 600 /etc/newsyslog.conf

对bin和sbin进行安全保护


QUOTE:
# chflags schg /bin/*
# chflags schg /sbin/*

禁止一般用户使用crontab


QUOTE:
# ee /var/cron/allow




[Copy to clipboard] [ - ]CODE:
root




QUOTE:
# chmod 600 /var/cron/allow

安装旧版软件

默认情况下，通过ports编译安装的都是软件的最新版本，在某些情况下需要自定义安装特定的旧版本（传说中的稳定版），这个时候需要特殊处理

首先要知道准备安装的port属于哪个类别，比如常见的Mysql4.0.26属于databases，php4.4.0属于lang等等……我们这里以php4为例

然后，到http://www.freebsd.org/cgi/cvsweb.cgi/ports/查看相应软件的发布日期，php4.4.1最后的发布日期为2005年12月9日

根据相应版本的发布日期（通常以公布日期稍延后一点，但一定要在下一个版本日期之前）修改cvsup文件


QUOTE:
# ee /usr/share/examples/cvsup/ports-supfile




[Copy to clipboard] [ - ]CODE:
*default date=2005.12.10.00.00.00 #格式：年/月/日/时/分/秒
#ports-all #不用将所有port都回滚
ports-lang # 只回滚相应的软件类别

然后将ports回滚到那个时候：


QUOTE:
# cvsup –L 2 –h cvsup3.tw.freebsd.org /usr/share/examples/cvsup/ports-supfile

最后就可以安装了


QUOTE:
# cd /usr/lang/php4
# make install clean ; rehash

FreeBSD目录架构

/ 文件系统的根目录。
/bin/ 在单个用户和多用户环境下的基本工具目录。
/boot/ 在操作系统在启动加载期间所用的程序和配置。
/boot/defaults/ 默认每步引导启动的配置内容，请查阅loader.conf(5)。
/dev/ 设备节点，请查阅 intro(4)。