BSD的安全设置

人们总是不希望没有防火墙访问 Internet，FreeBSD支持ipfw 和 ipfilter。可以用sockstat -4 查看哪些服务正在试图监听你的系统。

对于X-window,最好关掉6000端口。最简单的方法是成为超级用户后编辑/usr/X11R6/bin/startx。找到 serverargs 那一行，并把它改为serverargs = “-nolisten tcp” 。保存修改后以普通用户身份运行startx。

对于514， 不能完全关掉 ，因为syslog 提供的消息很有用。但也不需要为此打开端口。在 /etc/rc.conf 文件中增加选项:syslogd_enable=“YES” syslogd_flags=“-ss” ，这样可以禁止来自远程主机的记录并关闭端口，但仍然允许 localhost 进行日志记录。

防火墙设置后，可以加入 log_in_vain = “YES” 。 这个选项记录每一个关闭端口的连接企图。另一个是： accounting_enable = “YES”， 打开审计功能。然后 clear_tmp_enable = “YES”， 使系统启动时清空 /tmp。

编辑 /etc/motd ，修改显示信息； 编辑 /etc/gettytab：找到 default: 小节，修改文字开头如：:cb:ce:ck:lc，修改登录提示。然后打开改 /etc/rc.conf，并加update_motd = “NO” ， 重新生效。

为了使自己在内的任何人都不能以root身份登录，可以修改 /etc/ttys。吧 ttyv0 到 ttyv8后面的 secure 改为 insecure。如果要限制远程登陆，可以编辑 /etc/login.access ，删除前面的#号：#-:wheel:ALL EXCEPT LOCAL .win.tue.nl。如果需要从远程登录，可以把.win.tue.nl 替换为相应的IP或域名；对于多个地址空格分开。