FreeBSD下Web服务器安全设置(3)

(6) 控制数据库访问权限
对于使用php脚本来进行交互，最好建立一个用户只针对某个库有 update、select、delete、insert、drop table、create table等权限，这样就很好避免了数据库用户名和密码被黑客查看后最小损失。
比如下面我们创建一个数据库为db1，同时建立一个用户test1能够访问该数据库。
mysql> create database db1;
mysql> grant select,insert,update,delete,create,drop privileges on db1.* to test1@localhost identified by ’admindb’;
以上SQL是创建一个数据库db1，同时增加了一个test1用户，口令是admindb，但是它只能从本地连接mysql，对db1库有select,insert,update,delete,create,drop操作权限。
(7) 限制一般用户浏览其他用户数据库
如果有多个数据库，每个数据库有一个用户，那么必须限制用户浏览其他数据库内容，可以在启动MySQL服务器时加--skip-show-database 启动参数就能够达到目的。
(8) 忘记mysql密码的解决办法
如果不慎忘记了MySQL的root密码，我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证 (./safe_mysqld --skip-grant-tables &)，这样我们就可以直接登陆MySQL服务器，然后再修改root用户的口令，重启MySQL就可以用探索者费大量系统资源：
ls_recurse_enable=NO 
(8) 上传文件的默认权限，设置为022：
local_umask=022
如果要覆盖删除等，还要打开：
write_enable=YES
(9) ftp的banner信息，为了防止黑客获取更多服务器的信息，设置该项：
ftpd_banner=banner string
把后面的banner string设为你需要的banner提示信息，为了安全，建议不要暴露关于vsFTPd的任何信息。
另外，如果你的信息比较多的话，可以设置为提示信息是读取一个文件中的信息：
banner_file=/directory/vsftpd_banner_file 
(10) 打开日志功能：
xferlog_enable=YES
同时设置日志的目录：
xferlog_file=/var/log/vsftpd.log
启用详细的日志记录格式：
xferlog_enable=YES 
(11) 如果打开虚用户功能等，那么建议关闭本地用户登陆：
local_enable=NO 
vsFTPd还有很多安全设置，毕竟人家的名字就是：Very Secure FTP Daemon，反正它的溢出漏洞什么的是很少的，如果要更安全，建议按照自己的需要设置vsftpd，设置的好，它绝对是最安全的。
5. SSH安全设置
SSH是一个基于SSL的安全连接远程管理的服务程序,主要出现就是为了解决telnet、rlogin、rsh等程序在程序交互过程中存在明文传输易被监听的问题而产生的，目前基本上是推荐使用ssh来代替telnet、rlogin、rsh等远程管理服务。
ssh能够直接在windows平台下通过Secure SSH Client等客户端工具进行连接管理，目前最流行的服务器端就是OpenSSH程序，目前最新版本是OpenSSH4.0版，详细可以参考网站。
OpenSSH在FreeBSD下已经集成安装了，FreeBSD5.3下的OpenSSH版本是3.8.1，建议ports升级到4.0。
主要的安全配置文件是/etc/ssh/sshd_config文件，我们编辑该文件。
(1) 使用protocol 2代替protocol 1，SSH2更加安全，可以防止攻击者通过修改携带的版本banner来劫持（hijacking）启动会话进程并降低到protocol 1。注释掉protocol 2,1 改用下面语句代替：
protocol 2 
(2) 合理设置最大连接数量， 防止DOS攻击 
　　MaxStartups 5:50:10 
(3)关闭X11forwording ，防止会话劫持
　　X11Forwarding no