58、FreeBSD系统的高级安全特性与远程连接安全

FreeBSD系统的高级安全特性与远程连接安全

一、FreeBSD高级安全特性

1.1 不可执行栈

常见的攻击技术是诱使程序将信息写入内存，然后执行该内存。但在现代FreeBSD版本中，栈默认是不可执行的。攻击者可能会让程序写入某块内存，但由于不可执行栈的存在，内核不会执行它。只有在运行编写糟糕、依赖于对同一块内存进行读写和执行的程序时，才需要禁用此功能。可以通过设置sysctlskern.elf32.nxstack（针对32位程序）或kern.elf64.nxstack（针对64位程序）为0来禁用。

1.2 栈保护页

与不可执行栈相关的是栈保护页，它在程序的内存分配部分之间添加了随机大小的额外内存，这使得攻击者更难猜测内存地址。FreeBSD默认分配栈保护页，若要关闭，可将sysctlsecurity.bsd.stack_guard_page设置为0。

1.3 其他安全设置

FreeBSD的大多数其他内核级安全设置可在security.bsdsysctl 树中找到，并且每隔几个月会添加更多选项。运行sysctl -d security.bsd可显示主机的可用选项。部分有用的选项如下：
| 设置选项 | 功能 |
| ---- | ---- |
|security.bsd.suser_enabled| 禁用根账户的特权 |
|security.bsd.u