FreeBSD系统的高级安全特性与远程连接安全
一、FreeBSD高级安全特性
1.1 不可执行栈
常见的攻击技术是诱使程序将信息写入内存,然后执行该内存。但在现代FreeBSD版本中,栈默认是不可执行的。攻击者可能会让程序写入某块内存,但由于不可执行栈的存在,内核不会执行它。只有在运行编写糟糕、依赖于对同一块内存进行读写和执行的程序时,才需要禁用此功能。可以通过设置sysctlskern.elf32.nxstack(针对32位程序)或kern.elf64.nxstack(针对64位程序)为0来禁用。
1.2 栈保护页
与不可执行栈相关的是栈保护页,它在程序的内存分配部分之间添加了随机大小的额外内存,这使得攻击者更难猜测内存地址。FreeBSD默认分配栈保护页,若要关闭,可将sysctlsecurity.bsd.stack_guard_page设置为0。
1.3 其他安全设置
FreeBSD的大多数其他内核级安全设置可在security.bsdsysctl 树中找到,并且每隔几个月会添加更多选项。运行sysctl -d security.bsd可显示主机的可用选项。部分有用的选项如下:
| 设置选项 | 功能 |
| ---- | ---- |
|security.bsd.suser_enabled| 禁用根账户的特权 |
|security.bsd.u
)