免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: king_819
打印 上一主题 下一主题

Linux/unix安全优化的讨论与案例分享(获奖名单已公布) [复制链接]

论坛徽章:
0
101 [报告]
发表于 2012-03-19 11:16 |只看该作者
回复 100# 20040925


    看看我的这篇文章:http://kerry.blog.51cto.com/172631/105233



vi /etc/sysctl.conf


编辑文件,加入以下内容:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30



然后执行 /sbin/sysctl -p 让参数生效。



net.ipv4.tcp_syncookies = 1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;


net.ipv4.tcp_tw_reuse = 1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;


net.ipv4.tcp_tw_recycle = 1 表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。


net.ipv4.tcp_fin_timeout 修改系統默认的 TIMEOUT 时间

论坛徽章:
0
102 [报告]
发表于 2012-03-19 15:35 |只看该作者
回复 102# king_819


谢谢,看了你的文章了,我确实是写在/etc/sysctl.conf中,执行 /sbin/sysctl -p 让参数生效。
但我没有下面这两个
net.ipv4.tcp_syncookies = 1     
net.ipv4.tcp_fin_timeout = 30
这两个参数会影响到net.ipv4.tcp_tw_reuse 和net.ipv4.tcp_tw_recycle 吗?我觉得这些是单独的功能,为什么要一起开启才生效呢?

论坛徽章:
0
103 [报告]
发表于 2012-03-19 16:01 |只看该作者
回复 103# 20040925


    缩短默认TIME_WAIT的等待时间

论坛徽章:
0
104 [报告]
发表于 2012-03-19 20:07 |只看该作者
分享一个安全优化的文档

Linux系统安全与优化中文版.rar (1.83 MB, 下载次数: 104)

论坛徽章:
0
105 [报告]
发表于 2012-03-20 11:40 |只看该作者
這個好,安全很重要,學習學習了

论坛徽章:
0
106 [报告]
发表于 2012-03-20 17:09 |只看该作者
回复 105# nicy0808


    写的很详细,不错的分享!

论坛徽章:
0
107 [报告]
发表于 2012-03-22 22:42 |只看该作者
回复 101# king_819


    附加的安全值大多数以牺牲性能为代价的,而安全具有木桶效应,所以很多安全事件的发生都是从非主流业务和应用突破的。

论坛徽章:
0
108 [报告]
发表于 2012-03-24 21:07 |只看该作者
简单就是安全。

论坛徽章:
0
109 [报告]
发表于 2012-03-25 21:56 |只看该作者
与君同行

论坛徽章:
0
110 [报告]
发表于 2012-03-26 11:26 |只看该作者
king_819 发表于 2012-03-08 14:37
最近的泄密事件愈演愈烈,大有“你方唱罢我登场”的势头,出现安全事件,不光使得用户信息信息泄密, ...


非常感谢楼主的分享!!!

一点建议:
1.从整体网络出发 --- (建议从整体网络架构出发构建纵深防御体系(CISSP 中的10个域讲的很全面),目前L2攻击技术层去不穷使得单纯的主机系统安全越来越不可靠 - 比如,ARP劫持,DNS spoofing,Vlan Hoping等等)

2.系统方面 --- (建议增加上层应用方面的安全措施 - 纵观目前“广为流传”的安全事件绝大多数都为web app或SQL注入方面的漏洞导致,系统底层溢出的非常少见)

3.社会工程学(social engineering) --- 社工是计算机技术之于人的艺术 --- 一次成功的社工可以轻轻松松的获取对方系统的root权限 --- 尤其是近两年社工得到了长足的发展,已逐渐成为黑客攻击的主要手段 --- 所以请千万别忽视社工!!!

4.物理安全 --- 这个重要性不消多说

以上纯属个人观点,大牛勿喷:wink:

最后贴个防止Nmap扫描的脚本(非原创,希望打大家有所帮助),期待高手出更多实例
Nmap_blocker.sh
  1. #!/bin/bash
  2. echo ""
  3. echo "======================================"
  4. echo "= Block Nmap Scanning using iptables ="
  5. echo "=      C0ded by Liyan Oz             ="
  6. echo "=    http://0nto.wordpress.com       ="
  7. echo "======================================"
  8. echo ""
  9. echo ""
  10. #=====================
  11. # Enable IP Forward
  12. #---------------------

  13. echo 1 > /proc/sys/net/ipv4/ip_forward

  14. #=====================
  15. # Flush semua rules
  16. #---------------------
  17. /sbin/iptables -F
  18. /sbin/iptables -t nat -F

  19. #=====================
  20. # Block
  21. #---------------------

  22. /sbin/iptables -t filter -A INPUT -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
  23. /sbin/iptables -t filter -A INPUT -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
  24. /sbin/iptables -t filter -A INPUT -p ICMP -m state --state RELATED,ESTABLISHED -j ACCEPT
  25. /sbin/iptables -t filter -A INPUT -m state --state INVALID -j DROP

  26. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,FIN FIN -j LOG --log-prefix "FIN: "
  27. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,FIN FIN -j DROP

  28. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,PSH PSH -j LOG --log-prefix "PSH: "
  29. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,PSH PSH -j DROP

  30. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,URG URG -j LOG --log-prefix "URG: "
  31. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,URG URG -j DROP

  32. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "XMAS scan: "
  33. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL ALL -j DROP

  34. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "NULL scan: "
  35. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL NONE -j DROP

  36. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "pscan: "
  37. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

  38. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "pscan 2: "
  39. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

  40. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags FIN,RST FIN,RST -j LOG --log-prefix "pscan 2: "
  41. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags FIN,RST FIN,RST -j DROP

  42. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,FIN -j LOG --log-prefix "SYNFIN-SCAN: "
  43. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,FIN -j DROP

  44. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,FIN -j LOG --log-prefix "NMAP-XMAS-SCAN: "
  45. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,FIN -j DROP

  46. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL FIN -j LOG --log-prefix "FIN-SCAN: "
  47. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL FIN -j DROP

  48. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,SYN,FIN -j LOG --log-prefix "NMAP-ID: "
  49. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,SYN,FIN -j DROP

  50. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "SYN-RST: "
复制代码
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP