bash-2.03# cap_mkdb /etc/login.conf
由于登录类别保存在master.passwd文件中,通常在使用adduser添加用户的时候设置用户的登录类别 。如果要进行更改,必须使用vipw来修改/etc/master.passwd文件的第5个域 。下面为master.passwd 中的一行,该行指定这个用户的登录类别为user:
缺省为:
bash-2.03# cat master.passwd
# $FreeBSD: src/etc/master.passwd,v 1.25 1999/09/13 17:09:07 peter Exp $
inburst:TioxhDpCtDaRE:1004:0::0:0:stardust:/home/stardust:/usr/local/bin/bash
改为:
inburst:TioxhDpCtDaRE:1004:0:users:0:0:stardust:/home/stardust:/usr/local/bin/bash
设定系统中用户的可用空间也是系统免受本地拒绝服务攻击重要的一方面,在未设定 quota 的系统上的用户可以随意的灌爆硬盘 。要把 quota这项功能打开,可以修改 /etc/rc.conf 中的这项设定:
check_quotas="NO" # Check quotas (or NO).
改成
check_quotas="YES" # Check quotas (or NO).
请先看看以下的 man page,这些文件说明如何使用 quota 的各项设定,并且有一些设定的范例: quotaon, edquota, repquota, quota,要确定在 /etc/fstab 中有加入 "userquota" , 详见 man 5 fstab 。--感谢QUACK
=========================================================================
一些管理员日常操作
------------------
i)经常查看http://www.freebsd.org/security/index.HTML的安全公告
ii)订阅security bugtraq和FreeBSD官方安全邮件列表了解安全动态 。
iii)每天检查系统日志,关于检查系统日志,你可以通过其他工具增加多信息的捕获,
如snort可以比较完全的记录信息 。
iv)如果你硬盘够大,信息处理够快,定时使用netstat -an >> /.../.../netstat.log来
记录信息,当然你也可以建立更详细的脚本,因为netstat能记录连接信息,所以如有些
后门日志不能记录,但netstat却在一定时间里总有连接记录 。
v)如果你对你的文件系统有原始的记录,你可以定时使用一些系统完整性检查工具进行
检验 。
vi)如果你有防火墙,那更好,经常查看防火墙信息 。
===============================================================================
FreeBSD近来比较严重的一些安全漏洞
-------------------------------------
远程漏洞
--------
i)目前出现的最严重的漏洞,telnetd守护程序存在远程溢出漏洞,可以让攻击者远程
获得Root shell,目前已经有telnetd exploit code推出,包括Windows 。详细资料
请查看:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:49.telnetd.v1.1.asc
ii)FreeBSD的ftp也存在远程溢出,可以让攻击者最终获得Root shell.详细资料请看:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:33.ftpd-glob.v1.1.asc
iii)FreeBSD如果使用BIND服务(操作系统附带),如果BIND服务版本小于8.2.3-RELEASE,
在处理TSIG问题上存在单字节溢出问题,可以获得远程的ROOT SHELL 。详细资料请查看:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:18.bind.asc
另外关于应用程序的还有wu-ftp,qmail中的vcheckpasswd也存在远程缓冲溢出,还有其他
其他的 。不在详举 。
本地漏洞
--------
i)FreeBSD的内核对信号处理不正确,可以导致本地用户获得ROOT SHELL 。详细信息请看:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:42.signal.asc
ii)FreeBSD的procfs文件系统存在漏洞,可以导致本地用户获得超级管理
员权限 。具体信息可以查看:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00:77.procfs.v1.1.asc
iii)因为好多FreeBSD安装了Mysql数据库,而低于3.23.22版本的mysql都有
一个漏洞可以写信息到敏感文件,如写信息到/etc/passwd或者/etc/shadow中,
推荐阅读
- 设置 浅谈FreeBSD 5.2R 常用操作的改变
- FreeBSD 升级系统
- FreeBSD下设置modem和modem的通用命令
- FREEBSD下使用crunch集成编译程序
- 2 FreeBSD手册——配置FreeBSD内核
- FreeBSD 下的TOP的使用方法
- 关于FreeBSD 5优化的补充
- FreeBSD下也有“看门人”--浅谈tcpwrapper的基本使用方法
- FreeBSD5.3进行CVSup升级不成功的问题
- 在FREEBSD 5中使用MRTG画出Packet图表