您好,欢迎来到悍铭数据中心!

新闻中心

FreeBSD下构建安全的Web服务器

 (说明:本文已首发在安全焦点,可以参考一下链接http://www.xfocus.net/articles/200506/808.html) 
* 作者:heiyeluren 
* 创建:2005-04-10 20:38 
* 修改:2005-05-14 23:25 
* 邮箱:heiyeluren_at_163.com 
* 主页:http://www.unixsky.net 
* 博客:http://blog.csdn.net/heiyeshuwu 
::目录:: 
序言 
一、系统和服务程序的安装 
1. 系统安装 
2. 服务程序安装 
二、系统安全设置 
1. 用户控制 
2. 文件访问控制 
3. 系统服务和端口控制 
4. 日志管理和控制 
5. 文件指纹检测 
6. 系统指纹泄露和防范 
7. 系统内核安全 
8. 系统安全优化 
[@more@]
三、服务程序的安全设置 
1. Apache安全设置 
2. PHP安全设置 
3. Mysql安全设置 
4. vsFTPd安全设置 
5. SSH的安全设置 
四、防火墙的安装和设置 
1. 安装ipfw 
2. 配置ipfw 
五、Unix/Linux上的后门技术和防范 
1. 帐号后门 
2. shell后门 
3. cron服务后门 
4. rhosts后门 
5. Login后门 
6. Bind后门 
7. 服务后门 
8. rootkit后门 
9. 内核后门 
10. 其他后门 
六、结束语
附录 
序言 
在我们跑Web服务器的时候,大家可能都会一致认为使用Linux+Mysql+Apache+PHP整个开源的系统是比较好的选择,但是我个人认为这是不合理的,首先要根据你的应用来觉得你使用什么服务。假如你需要跑Oracle等大型应用的话,而且Oracle在Linux下是支持的比较好的,那么使用Linux是个好的选择,因为在FreeBSD下安装Oracle是个非常麻烦的事情。那么如果是跑普通的网站应用的话,我觉得使用FreeBSD+Mysql+Apache+PHP是个好的选择,因为对于一个网站来讲,稳定安全是第一位的,否则你的网站什么时候被人修改了都不知道怎么回事,或者被黑客入侵,把数据修改或者删除,那就糟糕了,毕竟现在什么红客、黑客的一堆,不能不防。当然,不是说Linux不安全,但是在Linux下集成了很多不安全的程序,导致了它的不安全,但如果设置的好,Linux一样可以很安全。在中国网络应急响应中心(http://www.cert.org.cn)这几个月的数据来看,每个月被入侵成功最高的是Linux系统,占百分之六十多,然后过来是Windows系统,占百分之三十多,而FreeBSD的入侵比例是百分之几。 
任何系统都可以很安全,也可以很不安全,关键是管理员怎么做的,世界上没有最安全的系统,只有更安全的系统。下面的文章就是 
在FreeBSD平台上构建一个比较安全的Web服务器,希望对网管和网络安全爱好者能有一些启发,权当抛砖引玉,希望能够有更好阐述的文章。 
一、系统和服务程序的安装 
1. 系统安装 
为了保证系统的安全,我们系统准备采用最新的FreeBSD版本,首先是安全,系统兼容性也比较好,这个主要是个人习惯和需求,为了简单起见,这里我们选用了最新的FreeBSd5.3版本进行安装。整个安装过程我就不讲了,如果不清楚的朋友可以参考FreeBSD中文手册(http://www.freebsd.org.cn),整个过程不是很复杂,虽然没有Windows/Linux的系统安全简单,但是比起有些Unix的安装来讲是人性许多的。安装中必须把基本包和内核源代码都装上,为了以后编译内核方便,如果另外,如果喜欢使用ports安装软件的话,还要把ports装上,但是尽量一些没有必要的程序不要装。如果要安装Webmin等,还要把perl等包装上。系统文件拷贝完以后,会要求配置一些设置,比如把IP地址、名字服务器等设好,不要打开IPv6,不需要DHCP等服务,不要系统默认的FTP服务,配置 /etc/inetd.conf 时把SSH服务打开,方便我们进行远程管理,如果不想使用inetd这个超级服务来管理的话,可以关闭它,在/etc/rc.conf中添加inetd_enable="NO",然后设置sshd_enable="YES"一样可以打开SSH服务,后面我们会详细谈到SSH的设置。

香港云主机