FreeBSD下构建安全的Web服务器

># 本地数据最大数量
net.inet.raw.maxdgram=65536
# 本地数据流接收空间
net.inet.raw.recvspace=65536
#ipfw防火墙动态规则数量，默认为4096，增大该值可以防止某些病毒发送大量TCP连接，导致不能建立正常连接
net.inet.ip.fw.dyn_max=65535
#设置ipf防火墙TCP连接空闲保留时间，默认8640000（120小时）
net.inet.ipf.fr_tcpidletimeout=864000

三、 服务程序的安全设置
到这里就是本文的重点所在了，我们将花费比较多的文字进行描述，当然，所以描述不一定是非常正确的，也希望能够对你有一些帮助。我们系统默认是运行了包括Apache、Mysql、vsFTPd，SSH等服务，我们以下进行一一讲解。

1. Apache的安全设置
Apache的核心设置就是在 httpd.conf 里面，我们安装的Apache的目录是在 /usr/local/apache2/ 下，那么我们的配置文件就是在 /usr/local/apache2/conf/httpd.conf ，如果你是使用ports等安装的，配置文件应该是在/etc或/usr/local/etc目录下。使用ee或者vi打开配置文件：
# ee /usr/local/apache2/conf/httpd.conf
下面我们就要进行比较多的安全设置了，基本的服务、端口、主目录等等设置就不说了，只讲与安全有关的设置。
(1)指定运行Apache服务的用户和组
这是比较重要的，因为权限是继承的，如果运行Apache服务的用户权限太高，那么很可能使得入侵者通过WebShell等就会对系统构成严重威胁。一般我们运行Apache的是nobody用户和nobody组。在httpd.conf的250-275行之间找到User和Group选项，比如我们默认设置如下(去掉了注释信息)：
<IfModule !mpm_winnt.c>
<IfModule !mpm_netware.c>
User nobody
Group #-1
</IfModule>
</IfModule>
(2) Apache的日志文件
Apache的日志文件是非常重要的，可以发现apache的运行状况和访问情况，对于判断入侵等有重要帮助。它的默认选项是：
# 错误日志存放目录，默认是存放在apache安装目录的logs下
ErrorLog logs/error_log
# 日志记录的级别，级别有debug, info, notice, warn, error, crit等，默认是“warn”级别
LogLevel warn
# 访问日志记录的格式，每一种格式都有不同的内容，根据你的需要进行定制，以获取最多访问信息
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
# 使用上面格式的那一种，默认是使用common
CustomLog logs/access_log common
文件格式预定义的格式内容：
%a 远程用户IP
%A 本地httpd服务器的ip
%f 传送的文件名
%h 远程主机
%m 请求方式
%l identd给出的远程名
%p 连接的httpd端口号
%P 请求的httpd进程
%t 时间
%T 服务请求时间
你可以定制自己的日志格式，然后通过CustomLog logs/access_log common来进行调用。
注意，日志文件是由运行Apache的用户进行打开的，要注意该文件的安全，防止被黑客改写或者删除。
(3) Apache服务信息显示控制
在配置文件中有个选项是控制是否显示apache版本信息、主机名称、端口、支持的cgi等信息的：
ServerSignatu

《FreeBSD下构建安全的Web服务器(第4页)》