Что сделать в FreeBSD для увеличения безопасности



По материалам "Securing FreeBSD":

http://www.opennet.ru/opennews/art.shtml?num=1440
http://www.onlamp.com/pub/a/bsd/2002/08/08/FreeBSD_Basics.html

Настраиваем фаервол.

man ipfw
man ipf

Проверяем чтобы не было лишних активных сетевых сервисов.

sockstat -4

Если запускается XWindow, запрещаем бинд к 6000 порту. В /usr/X11R6/bin/startx:

serverargs="-nolisten tcp"

Если используется sendmail, запрещаем бинд к 587 порту (submission). В /etc/mail/sendmail.cf:

#O DaemonPortOptions=Port=587, Name=MSA, M=E

Если sendmail не нужен. В /etc/rc.conf:

sendmail_enable="NO" (бинд на localhost) или sendmail_enable="NONE"

Правим /etc/rc.conf.

nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"
tcp_drop_synfin="YES" # Ядро собираем с "options TCP_DROP_SYNFIN"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
log_in_vain="YES" # (Не советую)
accounting_enable="YES"
clear_tmp_enable="YES" # Чистка /tmp при загрузке
syslogd_enable="YES"br< syslogd_flags="-ss" # Запрещаем syslog'у принимать сообщения из сети.

Комментируем все лишнее из /etc/inetd.conf.


Включаем Blowfish шифрование паролей вместо DES и MD5. В /etc/login.conf:

":passwd_format=blf:"

cap_mkdb /etc/login.conf

Огранищиваем доступ пользователей к системе: В /etc/login.access:

-:wheel:ALL EXCEPT LOCAL
-:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4
-:ALL EXCEPT mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5

Обновлено: 12.03.2015