Настройки безопасности FreeBSD. Часть 2

В этой части будут описаны:

  • 1. Атаки извне
    • 1.1. Apache – http.conf + mod_security
    • 1.2. PHP – php.ini + отключение опасных функций
  • 2. Атаки изнутри
    • 2.1. Ограничения ресурсов – /etc/login.conf + /etc/sysctl.conf
    • 2.2. Логи (logcheck)


Читать далее »

Настройки безопасности FreeBSD. Часть 1

Модификация настроек ОС для повышения внешней и внутренней безопасности.

Меняем алгоритм шифрования

Заменим алгоритм шифрования паролей с md5 на еще более надежный Blowfish.
Делаем исправления в файле /etc/login.conf в секции default:

// заменяем алгоритм шифрования на Blowfish
:passwd_format=blf:\

// устанавливаем период устаревания паролей
:passwordtime=52d:\

// предупреждаем о том, что пароли должны содержать разные символы
:mixpasswordcase=true:\

// задаем минимальную длину пароля
:minpasswordlen=9:\

Теперь обновляем базу (login.conf.db):

cap_mkdb /etc/login.conf

Проверим, получилось ли у нас. Cмотрим содержимое /etc/master.passwd. Если зашифрованный пароль теперь начинается с “$2”, все ОК. Осталось сделать так, чтобы пароли новых пользователей шифровались алгоритмом Blowfish.
Редактируем файл /etc/auth.conf:

crypt_default=blf

Читать далее »

Очистка FreeBSD от ненужных файлов

Список файлов, удалив которые можно освободить немного места на VDS под FreeBSD:

  • Почта пользователя root (различные письма с отчётами cron и т.д.)
    cp /dev/null /var/mail/root
  • Удаление сротированных логов различных сервисов и архивация логов апача
    rm -R /var/log/*.gz
    rm -R /var/log/*.bz2
    gzip -f /home/httpd-logs/*.log
  • Папки /tmp и /var/tmp, также можно добавить в /etc/rc.conf для их автоочистки при запуске системы:
    clear_tmp_enable="YES"