- 此栏目下没有推荐文章
文章标题
Fedora core 2服务器平台安全设置揭秘
前言
很早就想写一篇关于Linux安全设置方面的文章了。写文章有一个好处就是可以把自己的思路理清楚,而且以后要是忘了的话看看文章就能回想起来。这篇文章只是我在日常的工作和学习中总结的一点心得体会,如果有写的不对的地方,还望大家指正。
一、设定启动服务
安装完系统后,我们执行#netstat –an,可以看到由于系统默认情况下启动了许多与网络相关的服务,因此相对应的开放了许多端口进行LISTENING(监听)。我们知道,开放的端口越多,系统从外部被入侵的可能也就越大,所以我们要尽量关闭一些不需要的启动服务,从而尽可能的关闭端口,提供系统的安全性。
这里我直接给出保持系统正常运行的启动服务,而其他的服务都可以关闭掉。执行#ntsysv,只启动如下的服务。
二、Netfilter/iptables防火墙设置
#touch /etc/rc.d/firewall
#chmod u+x /etc/rc.d/firewall
#vi /etc/rc.d/rc.local
写入一行:/etc/rc.d/firewall
注意:/etc/rc.d/firewall的内容如下:1、单网卡主机设定说明:此设定适用于架设了一台专门提供web服务或者FTP服务的主机。
#首先清除所有的防火墙规则
#!/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
#防止syn flood攻击
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
iptables -F
iptables -X
iptables –Z
#然后禁止所有的包
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#允许本地环回设备上的通讯
iptables –A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
#让已经建立或者是与我们主机有关的回应封包通过
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许SSH远程管理主机
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
#对IP碎片数量进行限制,以防止IP碎片攻击
iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
#如果你的主机提供web服务,那么就需要开放80端口
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
#设置icmp协议,允许主机执行ping操作,以便对网络进行测试,但不允许其他主机ping该主机。
iptables –A OUTPUT-p icmp --icmp-type echo-request –j ACCEPT
iptables –A INPUT –p icmp --icmp-type echo-reply –j ACCEPT
