粤ICP备11076303号  广州青年志愿者协会医疗服务总队 www.gzyld.org.cn
加入医疗队
加入志愿者

位置:GZ医疗队公益纪实公益站长网络技术

FreeBSD6.1入门级Web服务器配置手记(6)


来源:落伍者      作者:HarbinBeer      点击:次      时间:2007-06-18

#允许收发电子邮件(limit src-addr意为限制同一地址连接数量)#
#######################################################
$cmd 00900 allow tcp from any to any 25 out via $pif setup keep-state
#$cmd 01000 allow tcp from any to me 25 in via $pif setup limit src-addr 1
#
$cmd 01100 allow tcp from any to any 110 out via $pif setup keep-state
#$cmd 01100 allow tcp from any to me 110 in via $pif setup limit src-addr 1
#
#########################
#允许CVSP和PORT安装/更新#
#########################
$cmd 01200 allow tcp from any to any via $pif setup keep-state uid root
#
##########
#允许ping#
##########
$cmd 01300 allow icmp from any to any out via $pif keep-state
#$cmd 01300 allow icmp from any to any in via $pif keep-state
#
####################################################
#允许FTP连接(limit src-addr意为限制同一地址连接数量)#
####################################################
$cmd 01400 allow tcp from any to any 21 out via $pif setup keep-state
$cmd 01500 allow tcp from any to any 21 in via $pif setup limit src-addr 2
#
########################################################
#允许SSH远程连接(limit src-addr意为限制同一地址连接数量)#
########################################################
$cmd 01600 allow tcp from any to any 22 out via $pif setup keep-state
$cmd 01700 allow tcp from any to any 22 in via $pif setup limit src-addr 2
#
######################
#禁止此规则以外的所有连接#
######################
$cmd 60000 deny log all from any to any

设置远程登录安全


QUOTE:
# ee /etc/ssh/sshd_config




[Copy to clipboard] [ - ]CODE:
port 22 //可以改成不常用端口,并在防火墙设置中作相应修改
protocol 1
hostkey /etc/ssh/ssh_host_key
PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeyFiles .ssh/authorized_keys
PasswordAuthentication no




QUOTE:
# ssh-keygen -b 1024 -t rsa1

一路回车默认


QUOTE:
# cp /root/.ssh/identity.pub /usr/www # 复制到一个可以用ftp下载的地方

用ftp下载identity.pub,保存到本地;
在本地启动putty.exe(免费软件);
在session设置中填好IP和端口;
在connection-SSH-Auth中,Browse下载的identity.pub;
勾选Attempt TIS or CryptoCard auth(SSH-1);
点击open连接;
按照提示输入用户名、密码

其他安全设置

关闭一些不安全的服务


QUOTE:
# ee /etc/rc.conf




[Copy to clipboard] [ - ]CODE:
sendmail_enable="NONE"
nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"
syslogd_enable="YES"
syslogd_flags="-ss"
icmp_drop_redirect="YES"
log_in_vain="YES"
inetd_enable=”NO” # 如果pure-ftpd以Inetd方式运行,需设置为YES

禁止一般用户查看系统日志


QUOTE:
# chmod g-w,o-r /var/log/*
# chmod 600 /etc/syslog.conf
# chmod 600 /etc/newsyslog.conf

对bin和sbin进行安全保护


QUOTE:
# chflags schg /bin/*
# chflags schg /sbin/*

禁止一般用户使用crontab


QUOTE:
# ee /var/cron/allow




[Copy to clipboard] [ - ]CODE:
root




QUOTE:
# chmod 600 /var/cron/allow

安装旧版软件

默认情况下,通过ports编译安装的都是软件的最新版本,在某些情况下需要自定义安装特定的旧版本(传说中的稳定版),这个时候需要特殊处理

首先要知道准备安装的port属于哪个类别,比如常见的Mysql4.0.26属于databases,php4.4.0属于lang等等……我们这里以php4为例

然后,到http://www.freebsd.org/cgi/cvsweb.cgi/ports/查看相应软件的发布日期,php4.4.1最后的发布日期为2005年12月9日

根据相应版本的发布日期(通常以公布日期稍延后一点,但一定要在下一个版本日期之前)修改cvsup文件


QUOTE:
# ee /usr/share/examples/cvsup/ports-supfile




[Copy to clipboard] [ - ]CODE:
*default date=2005.12.10.00.00.00 #格式:年/月/日/时/分/秒
#ports-all #不用将所有port都回滚
ports-lang # 只回滚相应的软件类别

然后将ports回滚到那个时候:


QUOTE:
# cvsup –L 2 –h cvsup3.tw.freebsd.org /usr/share/examples/cvsup/ports-supfile

最后就可以安装了


QUOTE:
# cd /usr/lang/php4
# make install clean ; rehash

FreeBSD目录架构

/ 文件系统的根目录。
/bin/ 在单个用户和多用户环境下的基本工具目录。
/boot/ 在操作系统在启动加载期间所用的程序和配置。
/boot/defaults/ 默认每步引导启动的配置内容,请查阅loader.conf(5)。
/dev/ 设备节点,请查阅 intro(4)。

新活动 回顶部
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
最新评论 进入详细评论页>>