|
还有两个相关的选项:
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
ICMP 重定向可以被利用完成DoS攻击。这篇 ARP and ICMP redirection games article 介绍了具体的一些情况。
在打开 icmp_log_redirect 选项时请务必小心,因为它会记录每一个ICMP重定向 ,如果你遭到了这样的攻击,那么日志很可能会塞满记录。
建好防火墙之后,请考虑加入下面的选项:
log_in_vain="YES"
这个选项会记录每一个到关闭端口的连接企图。另一个比较有意思的选项是:
accounting_enable="YES"
这将打开系统审计功能,如果你不熟悉他们,那么请阅读 man sa 和 man lastcomm 。
最后,下面的选项可能非常有用:
clear_tmp_enable="YES"
因为它在系统启动时将清空 /tmp ,这永远是一件值得去做的事情。
让我们来研究一下其他能够加强安全的设置。我比较喜欢把默认的口令加密算法改为Blowfish,因为它在提供最佳安全性的前提下,也提供了最快的速度。这里有一份 comparison of algorithms[几种密码学算法的比较]。
当然,如果你对这类东西感兴趣的话,看看 Cryptogram newsletter ,它是Blowfish作者写的。
为了启用 Blowfish 散列,编辑 /etc/login.conf 并把 passwd_format 一行改成下面这样:
:passwd_format=blf:\
保存设置,重新创建登录数据库:
cap_mkdb /etc/login.conf
随后需要修改每一个用户的口令,以便让这些口令都使用 Blowfish 散列值。以超级用户的身份执行下面的命令:
passwd username
需要修改所有用户的口令,包括root自己。
完成了这些操作之后,重新检查一下确认自己没有遗漏什么:
more /etc/master.passwd
所有用户的口令应该以$2.开始
最后,重新配置 adduser 程序,让它在以后使用Blowfish。修改 /etc/auth.conf,找到 crypt_default 一行,改为:
crypt_default=blf
你可能已经注意到,每次登录的时候FreeBSD都会提示你,你在用的那个系统是FreeBSD,以及它的版权信息,包括内核的编译时间,等等。这些信息可能有用,但相当烦人,特别是当别人可以登录的时候,它可能会暴露一些你不希望暴露的信息。
|
