Linux/unix安全优化的讨论与案例分享（获奖名单已公布）

Shell_HAT

笔记

1. #访问部分网站不使用squid
   
2. iptables -t nat -A PREROUTING -i eth1 -s 172.16.11.250 -j ACCEPT
   
3. iptables -t nat -A PREROUTING -i eth1 -d 123.123.123.123 -j ACCEPT
   
4. iptables -t nat -A PREROUTING -i eth1 -s 172.16.11.0/24 -j REDIRECT --to 3128
   
5. 
   
6. #防止被探测ssh密码
   
7. iptables -A INPUT -p tcp --dport 22 \
   
8. -m state --state NEW -m recent --set \
   
9. --name SSH --rsource -m recent --name SSH \
   
10. --update --seconds 10 --hitcount 4 \
    
11. --rsource -j DROP
    
12. 
    
13. #实现IP/MAC绑定
    
14. iptables -N MAC_CHECK
    
15. iptables -A FORWARD -i eth1 -o eth0 -j MAC_CHECK
    
16. iptables -A MAC_CHECK -s 172.16.11.101 -m mac --mac-source XX:XX:XX:XX:XX:XX -j RETURN
    
17. iptables -A MAC_CHECK -s 172.16.11.102 -m mac --mac-source YY:YY:YY:YY:YY:YY -j RETURN
    
18. iptables -A MAC_CHECK -s 172.16.11.103 -m mac --mac-source ZZ:ZZ:ZZ:ZZ:ZZ:ZZ -j RETURN
    
19. iptables -A MAC_CHECK -j DROP
    
20. 
    
21. #防止小路由（及破解）
    
22. iptables -N TTL_CHECK
    
23. iptables -A FORWARD -i eth1 -o eth0 -j TTL_CHECK
    
24. iptables -A TTL_CHECK -m ttl --ttl-eq 128 -j RETURN
    
25. iptables -A TTL_CHECK -m ttl --ttl-eq 64 -j RETURN
    
26. iptables -A TTL_CHECK -m ttl --ttl-eq 255 -j RETURN
    
27. iptables -A TTL_CHECK -j DROP
    
28. 
    
29. #防止被tracert
    
30. iptables -A INPUT -m ttl --ttl-eq 1 -j DROP
    
31. iptables -A INPUT -m ttl --ttl-lt 4 -j DROP
    
32. iptables -A FORWARD -m ttl --ttl-lt 6 -j DROP
    
33. 
    
34. #实现服务器负载分担
    
35. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -m statistic --mode nth --every 3 -j DNAT --to 172.16.11.101
    
36. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -m statistic --mode nth --every 2 -j DNAT --to 172.16.11.102
    
37. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 172.16.11.103
    
38. 
    
39. #得知内网用户流量
    
40. iptables -A FORWARD -j ACCOUNT --addr 172.16.11.0/24 --tname LOCALNET
    
41. 
    
42. iptaccount -a
    
43. iptaccount -l LOCALNET
    
44. iptaccount -l LOCALNET -f
    
45. 
    
46. #对DNS域名进行过滤
    
47. iptables -A FORWARD -m string --algo bm --hex-string "|03|www|09|chinaunix|03|com" -j DROP
    

复制代码

king_819

回复 59# kns1024wh


cactiz、EMOS都是不错的产品，但真实的生产环境中，还是更倾向于自己搭建，排错、扩展会更加好掌控

   

king_819

Shell_HAT 发表于 2012-03-11 18:29
笔记

iptables确实强大，很不错的分享

key1077

1.忌弱口令。
2.忌批量机器密码一直。
3.稳定内核，防提权。
4.应用层防护，程序漏洞。

要注意数据安全，一般都是来自应用层，需要的权限不是很高。再说破主机能值多少钱，数据是无价的。

fire_cpp

king_819 发表于 2012-03-08 20:09
回复 27# 蓝色虫

用sudo和su有什么重大区别吗？
用freebsd跑过web和数据库吗？

fire_cpp

合格的管理员下点功夫， 主机安全一般都不会有太大问题。
更害怕来自应用的漏洞，如web等，防不胜防啊。
稍大点的机构里，人的因素也很重要，那就要靠制度了。

xingjiudong

好贴，好活动，支持

dooros

蓝色虫 发表于 2012-03-08 18:19
原来我一直用debian和freeBSD

做好后还要挨个检查各tcp和udp端口，效率较低，不合当前的客户公司安全规程 ...

换的什么系统？ 我认为这个跟系统关系不大，关键还是配置。

spark8103

freebsd默认情况下，可以查看所有用户的资料，不知道你们有做这方面的安全设置！

dooros

fire_cpp 发表于 2012-03-11 20:24
用sudo和su有什么重大区别吗？
用freebsd跑过web和数据库吗？

用sudo和su我认为主要还是管理员习惯的问题。
任何理性的管理员都不会轻易用root进行各种操作