| FreeBSD handbook中文版 10 安全 |
 |
作者: 来源: 日期:2007-6-19 11:28:55 点击次数: |
|
在任何接口被配置之前,确认你的防火墙被启用是很重要的。
下一个问题是你的防火墙实际上做了些什么!这主要依赖于你允许什么从外部访问你的
网络,和允许多少访问外部网络。一些通常的规则是:
. 阻止所有TCP 端口小于1024 的访问。这是安全服务最敏感的地方,象finger, SMTP
(mail) 和telnet。
. 阻止所有进入的UDP 传输。通过UDP 传输的有很多有用的服务,有什么有用的传输
服务,就会有什么安全问题。(如Suns RPC 和NFS 协议)。这也是它的缺点,既然UDP
是一个无连接协议,阻止进入的UDP 传输也会阻止对输出UDP 传输的回应。这可能会对
使用外部archie 服务的人们带来麻烦。如果你要允许访问archie,你将必须允许来自端
口191 和1525 的数据包能够通过防火墙进入内部UDP 端口。ntp 是另一个你可以允许
访问通过的服务,它使用端口123。
第39 页FreeBSD 使用手册
. 阻止端口6000 与外部的传输服务。端口6000 被用来访问X11 服务器,可能会带来
一个潜在的安全问题。X11 实际上可以使用以6000 开始的端口范围,上面的限制取决于
你可以在机器上运行多少个X 显示程序。上面的限制通过RFC 1700 定义的是6063。
. 检查内部服务器使用什么服务器(如SQL servers 等)。阻止这些服务可能是一个好
主意,因为它们分布于上面指定的1-1024 的范围之内。
另外可以到下面这个网站去查看一下防火墙配置的列表
http://www.cert.org/tech_tips/packet_filtering.html
就象上面提到的,这些只是guidelines (建议/ 指导原则)。你必须根据你的具体情况决
定使用什么过滤规则。如果有人侵入了你的网络,我们不承担任何责任,即使你按照了上面
提到的方法做了。
10.8 OpenSSL
自从FreeBSD 4.0 以来,OpenSSL 工具包已经成为基本系统的一部分了。OpenSSL 提供
了一个普通的密码库,就象安全套接层v2/v3 (SSLv2/SSLv3),和传输层安全v1(TLSv1)网
络安全协议。
然而,包含在openssl 中的某些加密算法(特别是IDEA)被USA 加以限制了,它不能不
受限制地使用。在FreeBSD 中,IDEA 被包含在openssl 的源代码中,但它默认情况下没有
被构建。如果你想使用,你需要照着许可条款来操作,在/etc/make.conf 中启用MAKE_IDEA,
然后重新建构整个系统。
今天,RSA 算法被自由使用在美国和其他国家。在过去它是受保护的。
10.8.1 源代码安装
OpenSSL 是src-crypto 和src-secure cvsup collections 的一部分。可以看看获得
FreeBSD 那节了解更多有关获得和升级FreeBSD 源代码的信息。
10.9 IPsec
IPsec 机制提供了IP 层与socket 层之间安全的通讯方式。这节将介绍如何使用它们。
有关执行细节,请参考开发人员手册。
第40 页FreeBSD 使用手册
当前的IPsec 执行模式既支持传输模式也支持隧道模式。但隧道模式有一些限制。在
http://www.kame.net/newsletter/上有比较详细的例子:
为了使用这个功能,请保持清醒,你必须将下面这些选项编译进内核:
options IPSEC #IP security
options IPSEC_ESP #IP security (crypto; define w/IPSEC)
10.9.1 基于IPv4 的传输模式例子
让我们设置一个安全的连接以便在主机A (10.2.3.4)和主机B (10.6.7.8)之间配置一
个安全的通道。这儿列出了几个复杂的例子。从主机A 到主机B ,只有老的AH 可以被使用。
从主机B 到主机A,新的AH 和新的ESP 将被结合起来。
现在,我们必须选择一个算法以用来适应"AH"/"new AH"/"ESP"/"new ESP"。请参考
setkey 的联机手册了解算法的命名。我们的选择是对AH 用MD5,对新AH 用new-HMAC-SHA1,
对新ESP 用带有8 位的new-DES-expIV。
关键字的长度依赖于每个算法。例如,关键字的长度对于MD5 需要用16 位,对于
new-HMAC-SHA1 需要用20 位,对于new-DES-expIV 需要用8 位。现在我们分别选择
上一篇:FreeBSD handbook中文版 9 配制FreeBSD 的内核
下一篇:FreeBSD handbook中文版11 打印(1)基本设置 |
|
|
 |
| 北京总部: 4006-505-808 |
| 上 海 部: 021-58358765 |
| 深 圳 部: 0755-83692929 |
| 浙 江 部: 13666673722 |
| 广 州 部: 020-83821091 |
| 重 庆 部: 023-86870422 |
| 昆 明 部: 15987117834 |
| 哈尔滨部: 13946167430 |
| 其它地区: 4006-505-808 | | |
|
|
 |
|
