FreeBSD下构建安全的Web服务器(3)

连接管理，目前最流行的服务器端就是OpenSSH程序，目前最新版本是OpenSSH4.0版，详细可以参考www.openssh.com网站。
OpenSSH在FreeBSD下已经集成安装了，FreeBSD5.3下的OpenSSH版本是3.8.1，建议ports升级到4.0。

主要的安全配置文件是/etc/ssh/sshd_config文件，我们编辑该文件。
(1) 使用protocol 2代替protocol 1，SSH2更加安全，可以防止攻击者通过修改携带的版本banner来劫持（hijacking）启动会话进程并降低到protocol 1。注释掉protocol 2,1 改用下面语句代替：
protocol 2 
(2) 合理设置最大连接数量， 防止DOS攻击 
　　MaxStartups 5:50:10 
(3)关闭X11forwording ，防止会话劫持
　　X11Forwarding no 
(4)建议不使用静态密码，而使用DSA 或RSA KEY，修改如下内容可以关闭使用密码认证： 
　　PasswordAuthentication no 
(5)可以限制某个组或光是单个用户访问shell 
　　AllowGroups wheel 
或者
　　AllowUsers heiyeluren 
(6) 限制root用户登陆，主要是为了防止暴力破解
    PermitRootLogin no
(7) 不允许口令为空的用户登陆
    
    PermitEmptyPasswords no
(8)使用TCP wrappers来限制一些访问，修改/etc/hosts.allow文件，注释掉"ALL : ALL : allow"，增加如下内容： 
　　sshd:localhost:allow 
　　sshd:friendlcomputer:allow 
　　sshd:all : deny 
　　#相关命令： 
　　#chsh -s /sbin/nologin user 

四、防火墙的安装和设置
FreeBSD自带有一个基于包过滤的防火墙--ipfw，虽然功能没有专业防火墙那么强大，但是应付一个Web站点的安全还是足够的，所以我们决定选用该防火墙来保护我们的Web服务器。

1. 安装ipfw
IPFW 的主要部分是在内核中运行的， 因此会需要在FreeBSD内核配置文件中添加部分选项。（注意，如果你没有安装FreeBSD核心源代码，是无法进入以下目录的，所以运行之前一定要先安装内核源代码）我们先进入内核配置文件：
# cd /sys/i386/conf 
# cp GENERIC ./kernel_fw
打开内核配置文件：
# ee ./kernel_fw
添加四个选项，不需要后面