Элементарная безопасность : FreeBSD безопасность syslogd, lpd, xorg, mysql

Эта информация может быть полезна всем пользователям FreeBSD и других UNIX-подобных систем. Проще всего обезопасить свою систему, просто запретив демонам «слушать» внешний мир. Если в вашей системе много демонов, то вы можете воспользоваться более сложным, но и более гибким решением — настроить FireWall.

syslogd
По умолчанию syslogd запускается с ключом -s, это обеспечивает некоторый уровень защиты. Но чтобы демон не пытался слушать внешние порты, его следует запускать с ключом -ss. Для этого пишем в /etc/rc.conf:

syslogd_flags="-ss"

lpd
Демон печати по умолчанию запускается в очень беспечном режиме, позволяя практически кому угодно использовать вашу машину для печати. Чтобы оставить право печати только себе, запустите lpd с ключом -s:

killall lpd
lpd -s

Чтобы сервер запускался сам с этим ключом, при старте системы, добавьте в /etc/rc.conf строки:

lpd_enable="YES"
lpd_flags="-s"

Xorg
Чтобы X-сервер не ожидал внешних соединений, его следует запускать с ключом -nolisten tcp. То есть, в простейшем случае, если вы запускаете X с помощью xinit, команда будет выглядеть так:

xinit — -nolisten tcp

Если вам нужно время от времени подключаться к X-серверу снаружи, то самым удобным решением является запуск Xnest — отдельного X-сервера с собственными параметрами безопасности.

mysqld
Чтобы mysqld работал только локально, добавьте в секцию mysqld файла /etc/my.cnf строчку skip-networking:

[mysqld]
skip-networking

Кстати, в PHP функция mysql_connect ведёт себя по разному, если вы указываете адрес localhost или 127.0.0.1. В первом случае она открывает локальный сокет. Во втором — полноценное сетевое соединение. Т.е. если вы отключите сетевой интерфейс, как показано выше, то второй вариант работать не будет.


Комментарии запрещены.





Статистика

Рейтинг@Mail.ru