免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: king_819
打印 上一主题 下一主题

Linux/unix安全优化的讨论与案例分享(获奖名单已公布) [复制链接]

论坛徽章:
0
21 [报告]
发表于 2012-03-08 16:16 |只看该作者
回复 17# dooros

弱口令是大忌,这个必须引起重视,至于系统层的漏洞溢出、提权事件也时有发生,所以要引起我们的注意,防患于未然


   

论坛徽章:
0
22 [报告]
发表于 2012-03-08 16:21 |只看该作者
本帖最后由 king_819 于 2012-03-08 16:25 编辑

回复 18# dooros


   安全是相对的,还得看实际的需求,安全级别要达到什么程度,在我们实际生产环境中,对freebsd系统内核 进行优化后,性能、安全性上有很大的提升

论坛徽章:
0
23 [报告]
发表于 2012-03-08 16:23 |只看该作者
回复 19# gilet


    sudo对于权限的分配要合理,不然会给后期的维护带来很多麻烦

论坛徽章:
18
巳蛇
日期:2014-12-03 08:27:5115-16赛季CBA联赛之吉林
日期:2016-04-18 15:24:24qiaoba
日期:2016-06-17 17:41:1615-16赛季CBA联赛之八一
日期:2016-06-20 15:13:1415-16赛季CBA联赛之广夏
日期:2016-06-29 10:38:28极客徽章
日期:2016-12-07 14:03:4015-16赛季CBA联赛之吉林
日期:2017-03-06 13:47:55
24 [报告]
发表于 2012-03-08 16:24 |只看该作者
回复 23# king_819


    我不用sudo,也不建议我的同事用,这是个怪东西

论坛徽章:
4
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:192015年迎新春徽章
日期:2015-03-04 09:57:09
25 [报告]
发表于 2012-03-08 16:27 |只看该作者
sudo这东西,我在服务器上也没用。

论坛徽章:
0
26 [报告]
发表于 2012-03-08 16:43 |只看该作者
本帖最后由 king_819 于 2012-03-08 16:45 编辑

iptables防护脚本,编译内核的时候要加上iptables的相关模块,如connlimit、recent
  1. #echo "Starting kerryhu-iptables rules..."
  2. #!/bin/bash
  3. #this is a common firewall created by 2010-3-27

  4. #define some variable
  5. IPT=/sbin/iptables
  6. CONNECTION_TRACKING="1"
  7. INTERNET="eth0"
  8. CLASS_A="10.0.0.0/8"
  9. CLASS_B="172.16.0.0/12"
  10. CLASS_C="192.168.0.0/16"
  11. CLASS_D_MULTICAST="224.0.0.0/4"
  12. CLASS_E_RESERVED_NET="240.0.0.0/5"
  13. BROADCAST_SRC="0.0.0.0"
  14. BROADCAST_DEST="255.255.255.255"
  15. LOOPBACK_INTERFACE="lo"

  16. #Remove any existing rules
  17. $IPT -F
  18. $IPT -X

  19. #setting default firewall policy
  20. $IPT --policy OUTPUT ACCEPT
  21. $IPT --policy FORWARD DROP
  22. $IPT -P INPUT DROP


  23. #stop firewall
  24. if [ "$1" = "stop" ]
  25. then
  26. echo "Filewall completely stopped!no firewall running!"
  27. exit 0
  28. fi

  29. #setting for loopback interface
  30. $IPT -A INPUT -i lo -j ACCEPT
  31. $IPT -A OUTPUT -o lo -j ACCEPT

  32. # Stealth Scans and TCP State Flags
  33. # All of the bits are cleared
  34. $IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
  35. # SYN and FIN are both set
  36. $IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
  37. # SYN and RST are both set
  38. $IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
  39. # FIN and RST are both set
  40. $IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
  41. # FIN is the only bit set, without the expected accompanying ACK
  42. $IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
  43. # PSH is the only bit set, without the expected accompanying ACK
  44. $IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
  45. # URG is the only bit set, without the expected accompanying ACK
  46. $IPT -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

  47. # Using Connection State to By-pass Rule Checking
  48. if [ "$CONNECTION_TRACKING" = "1" ]; then
  49.     $IPT -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
  50.     $IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  51.     $IPT -A INPUT -m state --state INVALID -j DROP
  52.     $IPT -A OUTPUT -m state --state INVALID -j DROP
  53. fi

  54. ##################################################################
  55. # Source Address Spoofing and Other Bad Addresses

  56. # Refuse spoofed packets pretending to be from
  57. # the external interface.s IP address

  58. # Refuse packets claiming to be from a Class A private network
  59. $IPT -A INPUT  -i $INTERNET -s $CLASS_A -j DROP

  60. # Refuse packets claiming to be from a Class B private network
  61. $IPT -A INPUT  -i $INTERNET -s $CLASS_B -j DROP

  62. # Refuse packets claiming to be from a Class C private network
  63. $IPT -A INPUT  -i $INTERNET -s $CLASS_C -j DROP

  64. $IPT -A INPUT -i $INTERNET -s 0.0.0.0/8 -j DROP
  65. $IPT -A INPUT -i $INTERNET -s 169.254.0.0/16 -j DROP
  66. $IPT -A INPUT -i $INTERNET -s 192.0.2.0/24 -j DROP
  67. ###################################################################
  68. #setting access rules

  69. #也可以对出站的诅求做一些严格的控制
  70. #时钟同步
  71. #$IPT -A OUTPUT -d 192.43.244.18 -j ACCEPT
  72. #允许ping出
  73. #$IPT -A OUTPUT -p icmp -j ACCEPT
  74. #$IPT -A OUTPUT -o $INTERNET -p udp  --dport 53 -j ACCEPT
  75. #$IPT -A OUTPUT -o $INTERNET -p tcp  --dport 80 -j ACCEPT
  76. #$IPT -A INPUT -i $INTERNET -p tcp -m mac --mac-source 00:02:3F:EB:E2:01  --dport 22 -j ACCEPT
  77. $IPT -A INPUT -i $INTERNET -p tcp -s 192.168.9.201 --dport 65535 -j ACCEPT
  78. $IPT -A INPUT -i $INTERNET -p tcp  --dport 443 -j ACCEPT
  79. $IPT -A INPUT -i $INTERNET -p tcp  --dport 80 -j ACCEPT
  80. #限制连往本机的web服务,单个IP的并发连接不超过30个,超过的被拒绝
  81. #$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT
  82. #限制连往本机的web服务,单个IP在60秒内只允许最多新建30个连接,超过的被拒绝
  83. #$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT
  84. #$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
  85. #限制连往本机的web服务,1个C段的IP的并发连接不超过100个,超过的被拒绝
  86. #$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m iplimit --iplimit-above 100 --iplimit-mask 24 -j REJECT   
  87. #$IPT -A INPUT -i $INTERNET -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
  88. #$IPT -A INPUT -i $INTERNET -p udp  --dport 123 -j ACCEPT
复制代码

论坛徽章:
2
2015年迎新春徽章
日期:2015-03-12 10:39:39IT运维版块每日发帖之星
日期:2015-10-10 06:20:00
27 [报告]
发表于 2012-03-08 18:19 |只看该作者
原来我一直用debian和freeBSD

做好后还要挨个检查各tcp和udp端口,效率较低,不合当前的客户公司安全规程

当然,我又换了一个系统,需要什么端口就开,不费什么心,也不怕黑客来黑网络

论坛徽章:
0
28 [报告]
发表于 2012-03-08 18:30 |只看该作者
蓝色虫 发表于 2012-03-08 18:19
原来我一直用debian和freeBSD

做好后还要挨个检查各tcp和udp端口,效率较低,不合当前的客户公司安全规程 ...



挨个检查各tcp和udp端口???

论坛徽章:
0
29 [报告]
发表于 2012-03-08 20:12 |只看该作者
本帖最后由 king_819 于 2012-03-08 20:15 编辑

晕哦,网络太慢,刷新了几下就发了多条,不是故意刷屏的哈   :wink:

论坛徽章:
0
30 [报告]
发表于 2012-03-08 22:06 |只看该作者
楼主的方法对防止来自网络层的攻击来说,是一个比较好的思路。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP