FreeBSD handbook中文版 10 安全(24) 第39 页FreeBSD 使用手册 . 阻止端口6000 与外部的传输服务。端口6000 被用来访问X11 服务器,可能会带来 一个潜在的安全问题。X11 实际上可以使用以6000 开始的端口范围,上面的限制取决于 你可以在机器上运行多少个X 显示程序。上面的限制通过RFC 1700 定义的是6063。 . 检查内部服务器使用什么服务器(如SQL servers 等)。阻止这些服务可能是一个好 主意,因为它们分布于上面指定的1-1024 的范围之内。 另外可以到下面这个网站去查看一下防火墙配置的列表 http://www.cert.org/tech_tips/packet_filtering.html 就象上面提到的,这些只是guidelines (建议/ 指导原则)。你必须根据你的具体情况决 定使用什么过滤规则。如果有人侵入了你的网络,我们不承担任何责任,即使你按照了上面 提到的方法做了。 10.8 OpenSSL 自从FreeBSD 4.0 以来,OpenSSL 工具包已经成为基本系统的一部分了。OpenSSL 提供 了一个普通的密码库,就象安全套接层v2/v3 (SSLv2/SSLv3),和传输层安全v1(TLSv1)网 络安全协议。 然而,包含在openssl 中的某些加密算法(特别是IDEA)被USA 加以限制了,它不能不 受限制地使用。在FreeBSD 中,IDEA 被包含在openssl 的源代码中,但它默认情况下没有 被构建。如果你想使用,你需要照着许可条款来操作,在/etc/make.conf 中启用MAKE_IDEA, 然后重新建构整个系统。 今天,RSA 算法被自由使用在美国和其他国家。在过去它是受保护的。 10.8.1 源代码安装 OpenSSL 是src-crypto 和src-secure cvsup collections 的一部分。可以看看获得 FreeBSD 那节了解更多有关获得和升级FreeBSD 源代码的信息。 10.9 IPsec IPsec 机制提供了IP 层与socket 层之间安全的通讯方式。这节将介绍如何使用它们。 有关执行细节,请参考开发人员手册。 第40 页FreeBSD 使用手册 当前的IPsec 执行模式既支持传输模式也支持隧道模式。但隧道模式有一些限制。在 http://www.kame.net/newsletter/上有比较详细的例子: 为了使用这个功能,请保持清醒,你必须将下面这些选项编译进内核: options IPSEC #IP security options IPSEC_ESP #IP security (crypto; define w/IPSEC) 10.9.1 基于IPv4 的传输模式例子 让我们设置一个安全的连接以便在主机A (10.2.3.4)和主机B (10.6.7.8)之间配置一 个安全的通道。这儿列出了几个复杂的例子。从主机A 到主机B ,只有老的AH 可以被使用。 从主机B 到主机A,新的AH 和新的ESP 将被结合起来。 现在,我们必须选择一个算法以用来适应"AH"/"new AH"/"ESP"/"new ESP"。请参考 setkey 的联机手册了解算法的命名。我们的选择是对AH 用MD5,对新AH 用new-HMAC-SHA1, 对新ESP 用带有8 位的new-DES-expIV。 关键字的长度依赖于每个算法。例如,关键字的长度对于MD5 需要用16 位,对于
