FreeBSD下构建安全的Web服务器

2. 服务程序安装
系统装完以后，就开始安装我们的应用软件，我们的方针还是最新的软件是最安全的，比如能够防止一些老版本中的溢出等等。我们基本就是要让我们的系统有数据库，同时能够处理Web服务，同时能够远程对网站进行文件管理的FTP服务。我们基本选择的程序都是比较通常的程序。另外，为了有个可视化的管理工具，我们同时也可以安装一个基于浏览器的管理工具Webmin，方便没有ssh客户端等等的时候进行管理。
首先我们选用的Web服务是Apache httpd 2.0.53，这是目前的最新版本，当然你也可以考虑1.3的版本，主要是看个人习惯。我们网站是PHP程序编写，所以要安装PHP，版本是4.3.11，也是最新的版本，如果你的网站程序需要PHP5的支持，那么可以下载php5.0.4。数据库还是最快速的Mysql，选择的版本是最新的 4.0.23，如果你需要外键、事务、子查询、存储过程等的支持，那么你可以考虑4.1和5.0的版本。最后我们的FTP选择最安全的vsFTPd，因为它是最安全快速的，我在局域网中测试它的最高创数速率能够达到10MB/S,proFTPd只有8MB/S，vsFTPd针对小型FTP服务器支持非常好，毕竟我用户不多，几个更新网站而已，当然，如果你喜欢简单方便，也可以考虑使用FreeBSD自带的FTPd，功能和易用性也是不错的。如果你用户比较多，并且功能要求比较高，建议使用proFTPd、pure-FTPd、wu-FTPd等，但有些FTPd不是非常安全，选择时候一定要慎重考虑。
服务器程序列表：
Apache 2.0.53 下载地址：http://httpd.apache.org
PHP 4.3.11 下载地址：http://www.php.net
Mysql 4.0.23 下载地址：http://dev.mysql.com
vsFTPd 2.0.2 下载地址：http://vsftpd.beasts.org
反正最少的服务+最少的端口+安全的设置 = 最大的安全，尽量能够不需要使用的服务就不要安装，比如telnetd、rlogind等，那么相反会对服务器安全构成威胁。
安装以上程序你可以采用手工编译安装，也可以采用FreeBSD的ports 来进行安装，这看个人爱好，我个人比较喜欢使用手工安装，如果不明白具体安装的朋友可以参考我的Blog上关于安装Apache+PHP+Mysql的方法。

二、系统安全设置

1. 用户控制
尽量少的用户，我们的FTP帐户是和系统帐户绑定在一起的，所以我们添加用户的时候先建立一个目录，然后把新建的用户主目录指向到该目录下。假设我需要一个用户能够管理我的网站，而我网站的目录是在 /usr/www 目录下，那么我们新建立的用户 www_user 的主目录就指向 /usr/www 目录，同时它的shell是没有的：/usr/sbin/nologin ，主要是为了防止它通过ssh登陆到系统。同时FTP的密码也要设置的非常复杂，防止黑客通过暴力破解获得FTP权限。另外还要说道我们的root用户的密码，我想最少应该不要少于10位的数字＋字母＋字符的密码（我的密码是18位），否则是非常不安全的，如果密码简单，那么黑客通过短时间的暴力破解SSH中的root帐户，不用几天，系统就可能被攻破了，同时也建议最少一个月更改一次root用户的密码。（强烈建议一般帐户不要有登陆系统的权限，就是把shell设为/usr/sbin/nologin）
一般如果要使用root权限建议建立一个属于wheel组的小用户，然后登陆后通过su命令提升为root用户进行管理，如果黑客通过破解了我们普通用户的权限后登陆系统，也不能直接通过root权限进行管理，这是一种安全防范的简单方法。

2. 文件访问控制
有时候被黑客入侵后拿到了小权限用户，比如传了一个WebShell到系统中，那么对方很可能会把 /etc/passwd 等内容直接读取出来，同时查看/etc/master.passwd中对加密后的root用户的密码hash进行破解，最后拿到密码进行登陆系统。那么我们就要控制部分文件只有root能够访问，其他用户无权访问。比如uname，gcc等，如果黑客拿到小权限用