不刷新,所有你在机器来操作的活动可以被复查 。你可以重新配置内核参数如:
SC_NO_HISTORY #取消历史记录
SC_DISABLE_DDBKEY # 取消debug键
SC_DISABLE_REBOOT # 取消clt-alt-del 键
iv)对/bin,/sbin进行安全保护 。
#chflags schg /bin/*
#chflags schg /sbin/*
======================================================================
信息过滤问题
--------------
FreeBSD的包过滤工具具有强大的规则设置来过滤你想阻塞的信息,你可以使用
ipfw来实现,不过你需要在内核中有一定的选项设置,如:
需要在编译内核时打开下面选项重新定制内核 。
options IPFIREWALL
options IPFIREWALL_VERBOSE
options “IPFIREWALL_VERBOSE_LIMIT=100”
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
其中第一项设置IPFIREWALL是用于打开基本的包过滤支持的,只有使用它才能
在内核中支持包过滤 。IPFIREWALL_VERBOSE 和IPFIREWALL_VERBOSE_LIMIT设
置记录过滤日志,及日志记录的限制 。IPFIREWALL_DEFAULT_TO_ACCEPT是设置
IPFIREWALL的缺省行为,在数据包不符合所有的过滤规则的情况下进行转发,
显然这是一种宽松的限制,此时系统主要用于屏蔽特定地址和特定服务,而提
供其他的缺省网络能力 。如果没有定义这个选项,系统就只能允许符合已定义
规则的数据包通过,而屏蔽其他任何数据包,这样在没有定义过滤规则的情况
下,系统不能和其他计算机相互通信 。最后一个选项IPDIVERT是用于定义
IPFIREWALL与natd的接口(摘自王波-FreeBSD使用大全连载) 。
你可以建立/etc/firewall.rules建立自己的规则,并把文件设置为600属性,
下面的规则仅供参考:
ipfw -q -f flush
ipfw -q add 00100 allow ip from any to any via lo0
ipfw -q add 00220 deny log ip from me to any in
#syn fin组合的包一般来说是nmap和queso扫描器使用,所以过滤
ipfw -q add 00225 deny log tcp from any to any in tcpflags syn,fin
# 检查通信状态
ipfw -q add 00230 check-state
ipfw -q add 00235 deny tcp from any to any in established
ipfw -q add 00240 allow ip from any to any out keep-state
# 控制icmp包,只能通过icmp类型来限制
ipfw -q add 00300 allow icmp from any to any icmptype 3
ipfw -q add 00301 allow icmp from any to any icmptype 4
ipfw -q add 00302 allow icmp from any to any icmptype 11
# 允许DHCP通过
ipfw -q add 00401 allow udp from 192.168.2.1 67 to any 68
ipfw -q add 00402 allow udp from 192.168.1.1 67 to any 68
# allow ident requests
ipfw -q add 00500 allow tcp from any to any 113 keep-state setup
# log anything that falls through
ipfw -q add 09000 deny log ip from any to any
其实关于规则有很多文章可以参考,这里就不在叙述 。
你可以使用下面命令马上激活规则:
# sh /etc/firewall.rules
如果你要在你日志里查看有关丢弃包的记录,你需要如下设置:
# sysctl -w net.inet.ip.fw.verbose=1
如果你要所有这些设置在机器启动时候激活,编辑/etc/rc.conf增加如下条目:
firewall_enable="YES"
firewall_logging="YES"
firewall_script="/etc/firewall.rules"
最好你如果要记录这些信息进行调试,不要忘了在/etc/syslog.conf中增加如下
条目:
!ipfw
*.* /var/log/ipfw.log
记得在/etc/newsyslog.conf中设置如下选项:
/var/log/ipfw.log 600 3 100 * Z
=========================================================================
用户资源限制问题
---------------
从 4.3 BSD Net/2开始,BSD Unix引入了登录类别这种分类机制来管理用户使用的资源、记账和环境设置 。FreeBSD系统使用/etc/login.conf中描述的数据来将用户按照登录环境、强制性的资源限制以及记账管理等分为不同的登录类别,每个用户的登录类别记录在/etc/master.passwd中的该用户的设置中 。以下是一个缺省安装的/etc/login.conf的部份内容 。
推荐阅读
- 设置 浅谈FreeBSD 5.2R 常用操作的改变
- FreeBSD 升级系统
- FreeBSD下设置modem和modem的通用命令
- FREEBSD下使用crunch集成编译程序
- 2 FreeBSD手册——配置FreeBSD内核
- FreeBSD 下的TOP的使用方法
- 关于FreeBSD 5优化的补充
- FreeBSD下也有“看门人”--浅谈tcpwrapper的基本使用方法
- FreeBSD5.3进行CVSup升级不成功的问题
- 在FREEBSD 5中使用MRTG画出Packet图表