|
利用FreeBSD组建安全的网关(4)
好了,natd也设置完了~重新启动一下系统让防火墙和natd生效,现在就是该装的服务没装了,虽然防火墙已经让这些服务通行。
我们现在在Gateway上安装DNS服务,我现在选择的是bind 9.2.0,安装过程不是我们的重点,所以这里就不详细介绍了,我这里只对bind的安全设置做一个说明,假设bind的工作目录是/etc/namedb现在我们对bind设置一下,因为bind的大多数版本都存在问题,这个版本虽然目前没有,但还是提防为好,我在这里建议使用chroot技术来增强bind的安全,假设我们把chroot目录设在/chroot,我们做以下事情:
pw useradd bind -g 53 -u 53 -d /nologin -s /nologin
mkdir /chroot
mkdir /chroot/etc
mkdir /chroot/var
mkdir /chroot/var/run
cp -rp /etc/namedb /chroot/etc/namedb //建立bind的工作环境和目录。
然后再运行
$PATH/sbin/named -t /chroot -u bind
这样做了后运行ps -ax grep named会发现bind是以bind这个权限很底的身份运行,我们到/chroot/var/run目录下看,会发现有named.pid这个文件,表示bind已经很成功的被chroot在/chroot这个目录里了,就算被“黑客”利用bind入侵了,由于权限很底,而且被限制在/chroot这个目录里,并且里面没有任何的shell,不给“黑客”任何的破坏条件。所以说bind这时已经相当安全了。
到此整个Gateway服务器就已经完全设置完毕。
现在就是内部服务器了,而内部服务器受到Gateway以及防火墙的保护,所以在安装上没有多大的问题,只要注意一下邮件服务软件以及HTTP服务软件是否有漏洞就行了,比如不要使用老版本的sendmail,因为sendmail的每个版本都存在一定的安全问题,我这里建议使用Qmail,关于Qmail的安装可以下载我提供的Qmail安装包http://www.Linuxaid.com.cn/training/tips/showtip.jsp?i=245 ,而在HTTP上就要注意不要使用带漏洞的新闻发布系统,论坛等。
好了,整个服务器都已经安装完了,以上本人已经在两台FreeBSD 4.5的机器上测试通过。使用FreeBSD4.5的朋友们,如果按以上方法去设置自己的服务器的话,基本能保证正常工作。
|
