以下为引用的内容：
# 程序崩溃时不记录
kern.coredump=0
# lo本地数据流接收和发送空间
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
# 数据包数据段大小，ADSL为1452。
net.inet.tcp.mssdflt=1460
# 为网络数据连接时提供缓冲
net.inet.tcp.inflight_enable=1
# 数据包数据段最小值，ADSL为1452
net.inet.tcp.minmss=1460
# 本地数据最大数量
net.inet.raw.maxdgram=65536
# 本地数据流接收空间
net.inet.raw.recvspace=65536
#ipfw防火墙动态规则数量，默认为4096，增大该值可以防止某些病毒发送大量TCP连接，导致不能建立正常连接
net.inet.ip.fw.dyn_max=65535 www.ttzyw.com
#设置ipf防火墙TCP连接空闲保留时间，默认8640000（120小时）
net.inet.ipf.fr_tcpidletimeout=864000 www.ttzyw.com

三、 服务程序的安全设置 天添资源网,为中文网站提供动力

到这里就是本文的重点所在了，我们将花费比较多的文字进行描述，当然，所以描述不一定是非常正确的，也希望能够对你有一些帮助。我们系统默认是运行了包括Apache、Mysql、vsFTPd，SSH等服务，我们以下进行一一讲解。 www.ttzyw.com

1. Apache的安全设置 天添资源网,为中文网站提供动力

Apache的核心设置就是在 httpd.conf 里面，我们安装的Apache的目录是在 /usr/local/apache2/ 下，那么我们的配置文件就是在/usr/local/apache2/conf/httpd.conf ，如果你是使用ports等安装的，配置文件应该是在/etc或/usr/local/etc目录下。使用ee或者vi打开配置文件：

www.ttzyw.com

# ee /usr/local/apache2/conf/httpd.conf www.ttzyw.com

下面我们就要进行比较多的安全设置了，基本的服务、端口、主目录等等设置就不说了，只讲与安全有关的设置。 www.ttzyw.comwww.ttzyw.com@com

(1)指定运行Apache服务的用户和组

天添资源网

这是比较重要的，因为权限是继承的，如果运行Apache服务的用户权限太高，那么很可能使得入侵者通过WebShell等就会对系统构成严重威胁。一般我们运行Apache的是nobody用户和nobody组。在httpd.conf的250-275行之间找到User和Group选项，比如我们默认设置如下(去掉了注释信息)：

天添资源网

以下为引用的内容：
<IfModule !mpm_winnt.c>
<IfModule !mpm_netware.c>
User nobody
Group #-1
</IfModule>
</IfModule> www.ttzyw.com@com

(2) Apache的日志文件 天添资源网

Apache的日志文件是非常重要的，可以发现apache的运行状况和访问情况，对于判断入侵等有重要帮助。它的默认选项是： www.ttzyw.com

# 错误日志存放目录，默认是存放在apache安装目录的logs下 中国天添资源网

ErrorLog logs/error_log 中国天添资源网

# 日志记录的级别，级别有debug, info, notice, warn, error, crit等，默认是“warn”级别

www.ttzyw.com

LogLevel warn www.ttzyw.com

# 访问日志记录的格式，每一种格式都有不同的内容，根据你的需要进行定制，以获取最多访问信息

天添资源网

以下为引用的内容：
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

天添资源网

# 使用上面格式的那一种，默认是使用common

天添资源网

CustomLog logs/access_log common

www.ttzyw.com~com

文件格式预定义的格式内容： www.ttzyw.com

以下为引用的内容：
%a 远程用户IP
%A 本地httpd服务器的ip
%f 传送的文件名
%h 远程主机
%m 请求方式
%l identd给出的远程名
%p 连接的httpd端口号
%P 请求的httpd进程
%t 时间
%T 服务请求时间 www.ttzyw.com~com

你可以定制自己的日志格式，然后通过CustomLog logs/access_log common来进行调用。 天添资源网

注意，日志文件是由运行Apache的用户进行打开的，要注意该文件的安全，防止被黑客改写或者删除。 天添资源网

(3) Apache服务信息显示控制 www.ttzyw.com~com

在配置文件中有个选项是控制是否显示apache版本信息、主机名称、端口、支持的cgi等信息的： 中国天添资源网

ServerSignature On

www.ttzyw.com

默认为On，那么将显示所有信息： 天添资源网

我故意访问一个不存在的文件：http://www.target.com/404.html www.ttzyw.com

那么就会在给的错误提示中显示如下信息：

Www~www.ttzyw.com~com

Apache/2.0.53 (Unix) PHP/4.3.11 Server at target.com Port 80

www.ttzyw.com^com

所有Apache和PHP的信息暴露无遗，这是很不安全的。当然同时还有Off和EMail选项，Off将不显示任何信息，EMail将显示管理员的邮箱地址，建议设为Off或者EMail，这样能够避免泄漏Apache服务器的信息给黑客。 www.ttzyw.comwww.ttzyw.com@com

(4) 目录浏览 天添资源网

在httpd.conf中可以设置apache能够对一些没有索引文件的网页目录进行目录浏览： 天添资源网

以下为引用的内容：
<Directory />
    Options Indexes FollowSymLinks
    AllowOverride None
</Directory> 天添资源网,为中文网站提供动力

这是不合适也不安全的，建议不需要目录浏览： 天添资源网

以下为引用的内容：
<Directory />
    Options FollowSymLinks
    AllowOverride None
</Directory> 天添资源网

(5) 用户主页 www.ttzyw.com@com

设置httpd.conf中的: www.ttzyw.com~com

UserDir public_html www.ttzyw.com

能够使得每个使用系统的用户在自己的主目录下建立 public_html 目录后就能够把自己的网页放进该目录，然后通过: 天添资源网

http://www.target.com/~用户名/网页 就能够显示自己的网页，这是不安全的，而且对于我们服务器来讲，这没有必要，所以我们直接关闭该功能： www.ttzyw.com~com

UserDir disabled 天添资源网

或者把该内容改名，改成 一个黑客比较不容易猜到的文件名，比如： 天添资源网

UserDir webserver_public_htmlpath Www~www.ttzyw.com~com

也可以只允许部分用户具有该功能： www.ttzyw.com

UserDir enabled user1 user2 user3

www.ttzyw.com@com

(6) CGI执行目录 www.ttzyw.com^com

如果你的apache要执行一些perl等cgi程序，那么就要设置一下选项： 天添资源网

ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

天添资源网

但是这也给了黑客利用一些不安全的cgi程序来进行破坏，所以如果你不需要cgi的话，建议关闭该选项： www.ttzyw.com