Linux 安全防护
Pam 可插拔验证模块,允许系统管理员设置多种验证措施而无需重新编译要进行验证的程序
修改/etc/pad.d/system-auth 文件,设定密码策略
修改文件权限 chmod <模式><文件或目录名>
通过使用文件系统的ACL高级权限控制文件的安全性
应用软件安全策略:sudo 权限管控,rpm安全验证,及时更新系统补丁
网络安全防护
IPtables 3类访问方式的过滤:
input :用于过滤来自外部系统、目的地为本地的信息包
output:用于过滤从系统内部发出的对外访问的信息包
forward:用于过滤要求进行转发的信息包,只有当/proc/sys/net/ipv4/ip_forward为“1”时才有 效,也就是只对路由功能生效。
配置iptables :
1.查看现有的iptables 信息 iptables -L -n
2.清除默认和自定义的所有iptables信息 iptalbles -F iptables -X
3.默认最好是阻止所有input 和forward链,允许output链
4.允许loopback!(不然会导致DNS无法正常关闭等问题)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
5.查看本机关于Nat的设置情况 iptables -t nat -L
6.syn 的使用
清空控制规则:iptables -t filter -F /iptables -t nat -F /iptables -t mangle -F /-F(清空列表中的所有规则)
检查当前的iptables规则:iptables -t filter -nL
保存iptables规则方法:
a./etc/init.d/iptables save 然后通过chkconfig 命令将iptables 设为开机自动启动
b.创建my_iptables.sh 脚本,然后把脚步的运行操作放在rc.local中实现开机自动执行
避免ping扫描:iptables -I input -p icmp -j drop
预防DDOS:/etc/sysctl.conf中加入:
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_synack_retries=3
net.ipv4.tcp_syn_retries=3
hosts.allow和hosts.deny 两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部Ip对本机服务的访问。
配置文件格式:server_name:host_list[:command]
其中冒号前面是TCP daemon的服务进程名称,通常系统 进程在/etc/inetd.conf中指定,比如in.ftpd, in.telnetd,in.sshd
两个文件的配置冲突时,以hosts.deny为准。优先级为先检查hosts.deny,再检查hosts.allow
eg: httpd:all EXCET 192.168.0.0/255.255.255.0
当配置完两个文件后,要重启服务器更改才生效。 service xinetd restart
本文出自 “咚咚的博客” 博客,谢绝转载!
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。