FreeBSD安全配置小结

刚刚装好FreeBSD，接下来将对其进行简单的安全配置。

1. 彻底关闭sendmail

添加 sendmail_enable="NONE" 到 /etc/rc.conf

2. 让syslogd仅记录本机

添加 syslogd_flags="-ss" 到 /etc/rc.conf

3. 修改/etc/ttys

将 console 该行末尾 secure 改为 insecure，以防止有人通过进入单用户模式而直接控制系统。

通常都是通过SSH远程登陆来管理系统的，还可禁用8个虚拟控制台(也就是在控制台通过alt+F1/F2/F3等来切换的): 

注释除ttyv0以外的ttyv1-ttyv8即可。

4. 修改/etc/sysctl.conf

去掉security.bsd.see_other_uids=0前面的#即可。

5. 修改/etc/motd

修改默认内容为自定义内容，并添加 update_motd="NO" 到 /etc/rc.conf

6. 禁用ctrl+alt+del重新启动

在内核配置文件中添加以下内容，然后重新编译并安装新内核:

options SC_DISABLE_REBOOT

7. 安装ipfw防火墙

在内核配置文件中添加以下内容，然后重新编译并安装新内核:

options IPFIREWALL

options IPFIREWALL_DEFAULT_TO_ACCEPT

options IPFIREWALL_VERBOSE

options IPFIREWALL_VERBOSE_LIMIT=10

添加以下内容到 /etc/rc.conf:

firewall_enable="YES"

firewall_logging="YES"

firewall_script="/etc/rc.firewall"

firewall_type="client"

修改 /etc/rc.firewall 定制访问规则

8. 启用sshguard防止暴力破解SSH密码

安装sshguard:

cd /usr/ports/security/sshguard-ipfw/

make install clean

编辑/etc/syslog.conf:

去掉 auth.info;authpriv.info     |exec /usr/local/sbin/sshguard 前面的#

重新启动 syslogd:

/etc/rc.d/syslogd restart