日期:2014-05-16  浏览次数:20871 次

Linux 系统安全 -------- 原创 , 连载 1

就像是博客名字 ?只是记录 ?.

?

第一部分 : 系统入口防御措施

?

1. 登陆入口 ssh

修改 /etc/ssh/sshd_config

port = 22 为其他端口

/etc/init.d/sshd restart

?

?

2. 登陆认证方式改为 ?PAM 认证

?

?

3. 安装 ssh 爆破检测程序 ?denyhosts

http://denyhosts.sourceforge.net/

?

?

4. 使用 系统自带防火墙限制登陆 IP 域.

以下规则仅仅是 示例 需要根据情况修改

# Generated by iptables-save v1.3.5 on Thu Apr 28 14:32:02 2011
*filter
:INPUT DROP [453:216069]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2785620:650317018]

-A INPUT -i eth0 -m state --state INVALID -j DROP 
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 

-A INPUT -s xxx.xx.xxx.xx/255.255.0.0 -p tcp -m multiport --dports 20,21,33,3128 -j ACCEPT 
-A INPUT -s xxx.xx.xxx.xx/255.255.0.0 -p tcp -m multiport --dports 20,21,33,3128 -j ACCEPT 

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP 
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 30/min --limit-burst 30 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 12/sec -j ACCEPT 

-A INPUT -s 127.0.0.1 -p tcp -m multiport --dports 20,21,25,33,3306 -j ACCEPT 
-A INPUT -p tcp -m multiport --dports 80 -j ACCEPT 
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT
?