The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Увеличение безопасности FreeBSD

   Корень / Администратору / Система / FreeBSD специфика / Увеличение безопасности FreeBSD

----* Быстрое создание jail-машины во FreeBSD (доп. ссылка 1)   Автор: mr-tacitus  [комментарии]
  Нам понадобится первый установочный диск FreeBSD 6.2 и немного свободного времени. Предполагается что наша jail-машина будет размещена в директории /var/jail.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование login.access в FreeBSD 5.x и 6.x   Автор: 135all  [обсудить]
  В FreBSD есть прекрасная возможность разрешать логинится конкретным пользователям только с определённых терминалов или адресов. Делается это посредством модуля pam_acct_mgmt.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрованный swap в FreeBSD 6.0   Автор: neozoid  [комментарии]
  Добавить в /boot/loader.conf:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как запретить создание символических линков в /tmp   [комментарии]
 
FreeBSD: В графе "Option" /etc/fstab для раздела /tmp нужно указать:
   rw,noexec,nosuid,nodev,nosymfollow

Для Linux: Openwall patch (http://openwall.com/) + CONFIG_SECURE_LINK + chmod +t /tmp
 
----* Как в FreeBSD включить Blowfish шифрование паролей вместо DES и MD5   [комментарии]
 
В /etc/login.conf:  
	:passwd_format=blf:\
cap_mkdb /etc/login.conf
 
----* Как в FreeBSD запретить свободный вход как root с консоли через boot -s   [обсудить]
 
В /etc/ttys поменяйте secure на insecure в строке:
     console none   unknown off secure
 
----* Предотвращение DoS атак в FreeBSD (доп. ссылка 1)   Автор: bsdportal.ru  [комментарии]
 
* "sysctl -w net.inet.tcp.msl=7500" - время ожидания ACK в ответ на SYN-ACK или
FIN-ACK в миллисекундах;
* "sysctl -w net.inet.tcp.blackhole=2" -  все пакеты на закрытый порт
отбрасываются без отсылки RST;
* "sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для  закрытых портов;
* "sysctl -w net.inet.icmp.icmplim=50" - защита от генерирование потока ответных пакетов, 
      максимальное количество  ICMP Unreachable и TCP RST пакетов в секунду;
* "sysctl -w kern.ipc.somaxconn=32768" - увеличение числа одновременно открытых сокетов;
* Сборка ядра с опцией DEVICE_POLLING (далее: sysctl kern.polling.enable=1;
sysctl kern.polling.user_frac=50);
 

 Версия для печати





Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру