`
huanlong78
  • 浏览: 33080 次
  • 性别: Icon_minigender_1
  • 来自: 郑州
社区版块
存档分类
最新评论

Linux 系统安全 -------- 原创 , 连载 1

LinuxSSHJ#防火墙.net 
阅读更多

就像是博客名字  只是记录  .

 

第一部分 : 系统入口防御措施

 

1. 登陆入口 ssh

修改 /etc/ssh/sshd_config

port = 22 为其他端口

/etc/init.d/sshd restart

 

 

2. 登陆认证方式改为  PAM 认证

 

 

3. 安装 ssh 爆破检测程序  denyhosts

http://denyhosts.sourceforge.net/

 

 

4. 使用 系统自带防火墙限制登陆 IP 域.

以下规则仅仅是 示例 需要根据情况修改

# Generated by iptables-save v1.3.5 on Thu Apr 28 14:32:02 2011
*filter
:INPUT DROP [453:216069]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2785620:650317018]

-A INPUT -i eth0 -m state --state INVALID -j DROP 
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 

-A INPUT -s xxx.xx.xxx.xx/255.255.0.0 -p tcp -m multiport --dports 20,21,33,3128 -j ACCEPT 
-A INPUT -s xxx.xx.xxx.xx/255.255.0.0 -p tcp -m multiport --dports 20,21,33,3128 -j ACCEPT 

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP 
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 30/min --limit-burst 30 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 12/sec -j ACCEPT 

-A INPUT -s 127.0.0.1 -p tcp -m multiport --dports 20,21,25,33,3306 -j ACCEPT 
-A INPUT -p tcp -m multiport --dports 80 -j ACCEPT 
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT
 
分享到:
| Cab 自安装包 详细讲解
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics