Linux/unix安全优化的讨论与案例分享（获奖名单已公布）

king_819

回复 100# 20040925


    看看我的这篇文章：http://kerry.blog.51cto.com/172631/105233



vi /etc/sysctl.conf


编辑文件，加入以下内容：
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30



然后执行 /sbin/sysctl -p 让参数生效。



net.ipv4.tcp_syncookies = 1 表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭；


net.ipv4.tcp_tw_reuse = 1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭；


net.ipv4.tcp_tw_recycle = 1 表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。


net.ipv4.tcp_fin_timeout 修改系統默认的 TIMEOUT 时间

20040925

回复 102# king_819


谢谢，看了你的文章了，我确实是写在/etc/sysctl.conf中，执行 /sbin/sysctl -p 让参数生效。
但我没有下面这两个
net.ipv4.tcp_syncookies = 1     
net.ipv4.tcp_fin_timeout = 30
这两个参数会影响到net.ipv4.tcp_tw_reuse 和net.ipv4.tcp_tw_recycle 吗?我觉得这些是单独的功能，为什么要一起开启才生效呢？

king_819

回复 103# 20040925


    缩短默认TIME_WAIT的等待时间

nicy0808

分享一个安全优化的文档

Linux系统安全与优化中文版.rar (1.83 MB, 下载次数: 104)

2012-03-19 20:06 上传

点击文件名下载附件
Linux系统安全与优化

ABC-FBI

這個好，安全很重要，學習學習了

king_819

回复 105# nicy0808


    写的很详细，不错的分享！

playmud

回复 101# king_819


    附加的安全值大多数以牺牲性能为代价的，而安全具有木桶效应，所以很多安全事件的发生都是从非主流业务和应用突破的。

wuxiangyuanze

简单就是安全。

西农魔峰

与君同行

missuniverse110

king_819 发表于 2012-03-08 14:37
最近的泄密事件愈演愈烈，大有“你方唱罢我登场”的势头，出现安全事件，不光使得用户信息信息泄密， ...

非常感谢楼主的分享！！！

一点建议：
1.从整体网络出发 --- (建议从整体网络架构出发构建纵深防御体系(CISSP 中的10个域讲的很全面)，目前L2攻击技术层去不穷使得单纯的主机系统安全越来越不可靠 - 比如，ARP劫持，DNS spoofing，Vlan Hoping等等)

2.系统方面 --- (建议增加上层应用方面的安全措施 - 纵观目前“广为流传”的安全事件绝大多数都为web app或SQL注入方面的漏洞导致，系统底层溢出的非常少见)

3.社会工程学(social engineering) --- 社工是计算机技术之于人的艺术 --- 一次成功的社工可以轻轻松松的获取对方系统的root权限 --- 尤其是近两年社工得到了长足的发展，已逐渐成为黑客攻击的主要手段 --- 所以请千万别忽视社工！！！

4.物理安全 --- 这个重要性不消多说

以上纯属个人观点，大牛勿喷:wink:

最后贴个防止Nmap扫描的脚本(非原创，希望打大家有所帮助)，期待高手出更多实例
Nmap_blocker.sh

1. #!/bin/bash
   
2. echo ""
   
3. echo "======================================"
   
4. echo "= Block Nmap Scanning using iptables ="
   
5. echo "=      C0ded by Liyan Oz             ="
   
6. echo "=    http://0nto.wordpress.com       ="
   
7. echo "======================================"
   
8. echo ""
   
9. echo ""
   
10. #=====================
    
11. # Enable IP Forward
    
12. #---------------------
    
13. 
    
14. echo 1 > /proc/sys/net/ipv4/ip_forward
    
15. 
    
16. #=====================
    
17. # Flush semua rules
    
18. #---------------------
    
19. /sbin/iptables -F
    
20. /sbin/iptables -t nat -F
    
21. 
    
22. #=====================
    
23. # Block
    
24. #---------------------
    
25. 
    
26. /sbin/iptables -t filter -A INPUT -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
    
27. /sbin/iptables -t filter -A INPUT -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
    
28. /sbin/iptables -t filter -A INPUT -p ICMP -m state --state RELATED,ESTABLISHED -j ACCEPT
    
29. /sbin/iptables -t filter -A INPUT -m state --state INVALID -j DROP
    
30. 
    
31. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,FIN FIN -j LOG --log-prefix "FIN: "
    
32. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,FIN FIN -j DROP
    
33. 
    
34. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,PSH PSH -j LOG --log-prefix "PSH: "
    
35. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,PSH PSH -j DROP
    
36. 
    
37. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,URG URG -j LOG --log-prefix "URG: "
    
38. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,URG URG -j DROP
    
39. 
    
40. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "XMAS scan: "
    
41. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL ALL -j DROP
    
42. 
    
43. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "NULL scan: "
    
44. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL NONE -j DROP
    
45. 
    
46. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "pscan: "
    
47. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    
48. 
    
49. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "pscan 2: "
    
50. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    
51. 
    
52. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags FIN,RST FIN,RST -j LOG --log-prefix "pscan 2: "
    
53. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
    
54. 
    
55. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,FIN -j LOG --log-prefix "SYNFIN-SCAN: "
    
56. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,FIN -j DROP
    
57. 
    
58. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,FIN -j LOG --log-prefix "NMAP-XMAS-SCAN: "
    
59. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,FIN -j DROP
    
60. 
    
61. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL FIN -j LOG --log-prefix "FIN-SCAN: "
    
62. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL FIN -j DROP
    
63. 
    
64. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,SYN,FIN -j LOG --log-prefix "NMAP-ID: "
    
65. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,SYN,FIN -j DROP
    
66. 
    
67. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "SYN-RST: "

复制代码