Linux服务器通用安全加固指南
2021/9/13 7:05:21
本文主要是介绍Linux服务器通用安全加固指南,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
一、基本系统安全
1、保护引导过程
在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin,以确保当切换到单用户模式时 运行级的配置要求输入 root 密码:
cp /etc/inittab /etc/inittab.bakt vim /etc/inittab
防止用户使用 Ctrl-Alt-Del 进行重新引导:
在RHEL6.X和CentOS 6.X下, 该热键的行为由’/etc/init/control-alt-delete.conf’控制。
注释掉原来的改成:exec /usr/bin/logger -p authpriv.notice -t init “Ctrl-Alt-Del was pressed and ignored”,这个配置会在每次按下Ctrl-Alt-Del 时输出日志。
小提示:在终端登录的情况下,看不到效果,只有在机器面前,按下键盘上的Ctrl+Alt+del键,才会在/var/log/message里面看到输出日志
#exec /sbin/shutdown -r now "Control-Alt-Delete pressed" exec /usr/bin/logger -p authpriv.notice -t init "ctrl-Alt-Del was pressed and ignored"
2、关闭不使用的服务
查看开启的服务:#chkconfig --list |grep '3:on'
关闭邮件服务,使用公司邮件服务器:
#service postfix stop #chkconfig postfix --level 2345 off
关闭nfs服务及客户端:
service netfs stop chkconfig netfs --level 2345 off service nfslock stop chkconfig nfslock --level 2345 off
当然还有其他的,根据你服务器的实际情况来关闭不必要的服务。
3、增强特殊文件权限
给下面的文件加上不可更改属性,从而防止非授权用户获得权限。
chattr +i/etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow chattr +i/etc/services #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务 chattr +i /etc/pam.d/su chattr +i/etc/ssh/sshd config
注意:执行以上 chattr 权限修改之后,就无法添加删除用户了。在后面的实验过程中,如果修改不了上面设置过的文件,记得取消只读权限chattr -i。
如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。(记得重新设置只读)
4、强制实行配额和限制:
Linux PAM(插入式认证模块,Pluggable Authentication Modules)可以强制实行一些实用的限制,在 /etc/security/limits.conf 文件中对此进行配置。
谨记,这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构: username|@groupname type resource limit。
为了与 username 区别,groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制(soft-limit)可以 被超出,通常只是警戒线,而硬限制(hard-limit)不能被超出。resource 可以 是下面的关键字之一:
core - 限制内核文件的大小(KB)
data - 最大数据大小(KB)
fsize - 最大文件大小(KB)
memlock - 最大锁定内存地址空间(KB)
nofile - 打开文件的最大数目
rss - 最大持久设置大小(KB)
stack - 最大栈大小(KB)
cpu - 以分钟为单位的最多 CPU 时间
nproc - 进程的最大数目
as - 地址空间限制
maxlogins - 此用户允许登录的最大数目
下面的代码示例中,所有用户每个会话都限制在 10 MB,并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话(对匿名 ftp 帐号尤其实用);managers 组的成员的进程数目限制 为 40 个。developers 有 64 MB 的 memlock 限制,wwwusers 的成员不能创建大于 50 MB 的文件。
* hard rss 10000 * hard maxlogins 4 * hard core 0 bin - ftp hard maxlogins 10 @managers hard nproc 40 @developers hard memlock 64000 @wwwusers hard fsize 50000
要激活这些限制,您需要在 /etc/pam.d/login 底部添加下面一行: session required /lib/security/pam_limits.so。
要为文件系统启用配额,您必须在 /etc/fstab 中为相应的那行添加一个选项。 使用 usrquota 和 grpquota 来启用 用户配额和组配额,像下面这样:
/dev/hda1 / ext3 defaults 11 /dev/hda2 /home ext3 defaults,usrquota 11 /dev/hda3 /tmp ext3 defaults,usrquota,grpquota1 11 /dev/hda4 /shared ext3 defaults,grpquota 11 /dev/hdc1 /mnt/cdrom iso9660 nosuid,user 12
然后,使用 mount -a -o remount 重新挂载相应的文件系统,来激活刚才添加 的选项;然后使用 quotacheck -cugvm 创建一个二进制配额文件,其中包含了机器 可读格式的配额配置。这是配额子系统要操作的文件。然后使用 edquota -u username 为具体的用户配额。
二、用户安全
1、禁用不使用的用户
注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user
锁定。
cp /etc/passwd{..bak}修改之前先备份 vi /etc/passwd编辑用户,在前面加上#注释掉此行
示例:
注释的用户名:
# cat /etc/passwd|grep ^# #adm:x:3:4:adm:/var/adm:/sbin/nologin #lp:x:4:7:Ip:/var/spool/lpd:/sbinynologin #shutdown:x:6:0O:shutdown:/sbin:/sbin/shutdown #halt:x:7:O:halt/sbin:/sbin/halt #uucp:x:10:14:uucp:/var/spool/uucp:/sbinVnologin #operatorx:11:O:operator:/root:/sbin/nologin #games:x:12:100:games:/usr/games:/sbin/nologin #gopher:x:13:30:gopher:/var/gopher:/sbin/nologin #ftp:x:14:5O:FTP User:/var/ftp:/sbin/nologin #nfsnobodyxc:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin#postfix:x:89:89:/var/spool/postfix:/sbin/nologin
注释掉的组:
# cat /etc/grouplgrep ^# #adm:x:4:adm,daemon#lp;x:7:daemon #uucp:x:14: #games:x:20: #gopher:x:30:t #video:x:39: #dip:x:40: #ftp:x:50: #audio:x:63: #floppy:x:19:
2、ssh登录安全
(1)修改ssh的默认端口22,改成如20002这样的较大端口会大幅提高安全系数,降低ssh破解登录的可能性。(注意:本实验环境不允许修改ssh端口,否则会造成服务断开)
找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件,在“# Port 22”这一行下面添加一行,内容为 port 端口号。
vim /etc/ssh/sshd_config
然后重启ssh服务即可。
(2)只允许wheel用户组的用户su切换(这里只是举例,不一定要用这个用户组名字)
# usermod -G wheel sysmgr # vi/etc/pam.d/su # Uncomment the following line to require a user to be in the "wheel" group.auth required pam_wheel.so use_uid
其他用户切换root,即使输对密码也会提示 su: incorrect password
(3)登录超时(本实验环境不允许这样操作!!!)
用户在线5分钟无操作则超时断开连接,在/etc/profile中添加:
export TMOUT=300 readonly TMOUT
(4) 禁止root直接远程登录(本实验环境不允许这样操作!!!)
# vi /etc/ssh/sshd_config PermitRootLogin no
5)限制登录失败次数并锁定
在/etc/pam.d/login后添加:
auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=188
登录失败5次锁定180秒,根据需要设置是否包括root。
3、减少history命令记录
执行过的历史命令记录越多,从一定程度上讲会给维护带来简便,但同样会伴随安全问题。
vi /etc/profile
找到 HISTSIZE=1000 改为 HISTSIZE=50。
执行 source /etc/profile生效
或每次退出时清理history命令:history –c。
三、网络安全
1、禁用ipv6
IPv6是为了解决IPv4地址耗尽的问题,但我们的服务器一般用不到它,反而禁用IPv6不仅仅会加快网络,还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁用ipv6。
禁止加载IPv6模块:
让系统不加载ipv6相关模块,这需要修改modprobe相关设定文件,为了管理方便,我们新建设定文件/etc/modprobe.d/ipv6off.conf,内容如下:
alias net-pf-10 off options ipv6 disable=1
禁用基于IPv6网络,使之不会被触发启动:
# vi letc/ sysconfig/network NETwORKING_IPV6=no
禁用网卡IPv6设置,使之仅在IPv4模式下运行:
vi /etc/ sysconfig/network-scripts/ifcfg-etho IPV6INIT=no IPV6_AUTOCONF=no
关闭ip6tables:
chkconfig ip6tables off
重启系统,验证是否生效:
1smod l grep ipv6ifconfig grep -i inet6
如果没有任何输出就说明IPv6模块已被禁用,否则被启用。
2、防止一般网络攻击
网络攻击不是几行设置就能避免的,以下都只是些简单的将可能性降到最低,增大攻击的难度但并不能完全阻止。
(1)禁ping
阻止ping如果没人能ping通您的系统,安全性自然增加了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
注意 1 后面是有空格的
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
或使用iptable禁ping,当然前提是你启用了iptables防火墙。
iptables -A INPUT -p icmp --icmp-type 0 -s e/0 -j DROP不允许ping其他主机: iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
(2)防止IP欺骗
编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击:
order hosts,bind #名称解释顺序 multi on #允许主机拥有多个IP地址 nospoof on #禁止IP地址欺骗
(3)防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。
可以在/etc/security/limits.conf中添加如下几行:
*soft core 0 *soft nproc 2048 *hard nproc 16384 *soft nofile 1024 *hard nofile 65536
core 0 表示禁止创建core文件;nproc 128 把最多的进程数限制到20;nofile 64 表示把一个用户同时打开的最大文件数限制为64;* 表示登录到系统的所有用户,不包括root。
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在:
session required pam_limits.so
limits.conf参数的值需要根据具体情况调整。
3、定期做日志检查
将日志移动到专用的日志服务器里,这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处:
/var/ log /message -记录系统日志或当前活动日志。 /var/ log/auth.log -身份认证日志。 /var/ log / cron - Crond日志(cron任务). /var /log /maillog -邮件服务器日志。 /var/ log/secure - 认证日志。 /var/log/wtmp历史登录、注销、启动、停机日志和,lastb命令可以查看登录失败的用户 /var/run /utmp当前登录的用户信息日志,w、who命令的信息便来源与此 /var/ log /yum. log Yum日志。
答案
分析与思考
1、查询资料了解更多关于linux系统加固的知识。
Linux是一套免费使用和自由传播的类Unix操作系统,作为一个开放源代码的操作系统,Linux服务器以其安全、高效和稳定的显著优势而得以广泛应用,但如果不做好权限的合理分配,Linux系统的安全性还是会得不到更好的保障,下面我们将主要使用RHEL7系统,分别从账户安全、登录控制,SeLinux配置等,优化Linux系统的安全性。
早在1985年,美国国防部就已经提出了可信计算机系统评测标准TCSEC,TCSEC将系统分成ABCD四类7个安全级别。D级是安全级别最低的级别,C类为自主保护级别;B类为强制保护级别;A类为验证保护类。
D级,最低安全性
C1级,主存取控制
C2级,较完善的自主存取控制(DAC)、审计
B1级,强制存取控制(MAC)
B2级,良好的结构化设计、形式化安全模型
B3级,全面的访问控制、可信恢复
A1级,形式化认证
当前主流的操作系统安全性远远不够,如Windows NT都只能达到C2级,安全性均有待提高,不过经过安全加固后的Linux系统可达到B1的安全级别。
账户安全加固
控制系统账户: 系统账户默认存放在cat /etc/passwd
中,你可以手动查询用户信息,我们直接除了Root账户需要登录以外,其他的账户全部设置为禁止登录。
使用 passwd -l 用户名
锁定用户登录,如下我们写BASH
脚本批量的完成这个过程。
#!/bin/bash for temp in `cut -d ":" -f 1 /etc/passwd | grep -v "root"` do passwd -l $temp done
修改口令生存期: 口令生存期,即用户密码的过期时间,默认在cat /etc/login.defs | grep "PASS"
中存储着,我们需要把这个时间改小,如下配置即可。
[root@localhost ~]# vim /etc/login.defs # Password aging controls: # # PASS_MAX_DAYS Maximum number of days a password may be used. # PASS_MIN_DAYS Minimum number of days allowed between password changes. # PASS_MIN_LEN Minimum acceptable password length. # PASS_WARN_AGE Number of days warning given before a password expires. # PASS_MAX_DAYS 90 # 新建用户密码最长使用天数 PASS_MIN_DAYS 0 # 新建用户密码最短使用天数 PASS_MIN_LEN 7 # 新建用户密码到期提示天数 PASS_WARN_AGE 10 # 最小密码长度
设置口令复杂度: 设置新建用户时输入的口令复杂程度,该配置默认在cat /etc/pam.d/system-auth
文件中存放。
[root@localhost ~]# vim /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. password required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10
在上方文件中添加如下一行配置,其含义是至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10
限制登录超时: 限制用户登陆成功后的等待时间,当用户终端无操作时则默认断开连接。
[root@localhost ~]# vim /etc/profile TMOUT=300 export TMOUT
限制TTY尝试次数: 该配置可以有效的防止,爆破登录情况的发生,其配置文件在cat /etc/pam.d/login
中添加如下配置,这个方法只是限制用户从TTY终端登录,而没有限制远程登录。
[root@localhost ~]# vim /etc/pam.d/login #%PAM-1.0 auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10 [root@localhost ~]# pam_tally2 --user lyshark 查询远程登录次数
修改SSH远程端口: 修改SSH登录端口,这里可以修改为65534等高位端口,因为Nmap扫描器默认也就探测0-1024端口,这样能够有效的规避扫描。
[root@localhost ~]# vim /etc/ssh/sshd_config # If you want to change the port on a SELinux system, you have to tell # SELinux about this change. # semanage port -a -t ssh_port_t -p tcp #PORTNUMBER # Port 65534 # 登录端口改为65534 MaxAuthTries=3 # 密码最大尝试次数3 [root@localhost ~]# systemctl restart sshd [C:\Users]$ ssh root@192.168.1.30 6553
禁止Root用户登录: 首先创建一个普通用户 lyshark ,然后配置好Sudo授权,需要时使用Sudo授权执行命令,禁止Root用户登录主机。
# -------------------------------------------------------------------------------------------- # 创建普通用户 lyshark [root@localhost ~]# useradd lyshark [root@localhost ~]# passwd lyshark # -------------------------------------------------------------------------------------------- # 给普通用户添加Sudo授权 [root@localhost ~]# vim /etc/sudoers ## The COMMANDS section may have other options added to it. ## ## Allow root to run any commands anywhere root ALL=(ALL) ALL lyshark ALL=(ALL) ALL # -------------------------------------------------------------------------------------------- # 修改ROOT用户禁止登录系统 [root@localhost ~]# vim /etc/ssh/sshd_config PermitRootLogin no [root@localhost ~]# systemctl restart sshd
除此之外,你可以通过指定那些被允许用来使用SSH的用户名,从而使得SSH服务更为安全。
[root@localhost ~]# vim /etc/ssh/sshd_config AllowUsers lyshark admin # 指定允许登录的用户 AllowGroup lyshark admin # 指定允许登录的用户组
登录警告提示: 通过修改 /etc/motd
和/etc/issue.net
来实现弹出警告提示框,当用户远程登陆以后就会提示以下的两行文字。
[root@localhost ~]# vim /etc/motd [root@localhost ~]# vim /etc/issue.net ----------------------------------------------------------------------------------------------- Warning! If unauthorized, illegal login system, please exit immediately!! Your system fingerprint has been recorded!! -----------------------------------------------------------------------------------------------
文件权限加固
限制Umask值: umask 值用于设置文件的默认属性,系统默认的Umask 值是0022,也就是U权限不动,G权限减去2,O权限减2,这里为了防止上传一句话木马,我们将系统的Umask值改为0777
,也就是说,当用户新建任何文件的时候,其都不会具有(读写执行)权限,就算上传成功也不具有任何权限。
[root@localhost ~]# echo "umask 0777" >> /etc/bashrc [root@localhost ~]# touch test1 [root@localhost ~]# mkdir test2 [root@localhost ~]# [root@localhost ~]# ls -lh total 0 ----------. 1 root root 0 Aug 25 05:46 test1 d---------. 2 root root 6 Aug 25 05:46 test2
锁定系统文件: 锁定文件是Linux系统中最为强大的安全特性,任何用户(即使是root),都无法对不可修改文件进行写入、删除、等操作,我们将一些二进制文件设置为只读模式,能够更好的防止系统被非法篡改或注入恶意代码,一般情况下/sbin 和/usr/lib两个目录内容能被设置为不可改变。
[root@localhost sbin]# chattr +i /sbin/ [root@localhost sbin]# chattr +i /usr/sbin/ [root@localhost sbin]# chattr +i /bin/ [root@localhost sbin]# chattr +i /sbin/ [root@localhost sbin]# chattr +i /usr/lib [root@localhost sbin]# chattr +i /usr/lib64 [root@localhost sbin]# chattr +i /usr/libexec
限制GCC编译器: 如果系统已经被黑客入侵,那么黑客的下一个目标应该是编译一些POC文件,用来提权,从而在几秒钟之内就成为了root用户,那么我们需要对系统中的编译器进行一定的限制。
首先,你需要检查单数据包以确定其包含有哪些二进制文件。然后将这些文件全部设置为000无权限。
[root@localhost ~]# rpm -q --filesbypkg gcc | grep "bin" [root@localhost ~]# chmod 000 /usr/bin/c89 [root@localhost ~]# chmod 000 /usr/bin/c99 [root@localhost ~]# chmod 000 /usr/bin/cc [root@localhost ~]# chmod 000 /usr/bin/gcc [root@localhost ~]# chmod 000 /usr/bin/gcc-* [root@localhost ~]# chmod 000 /usr/bin/gcc-*
然后,单独创建一个可以访问二进制文件的编译器的组,赋予他这个组相应的权限。
[root@localhost ~]# groupadd compilerGroup [root@localhost ~]# chown root:compilerGroup /usr/bin/gcc [root@localhost ~]# chmod 0750 /usr/bin/gcc
至此,任何试图使用gcc的用户将会看到权限被拒绝的信息。
[lyshark@localhost ~]$ gcc -c test.c -bash: /usr/bin/gcc: Permission denied
限制日志文件: 接着我们需要对日志文件,进行一定的限制,因为一般情况如果系统被入侵了,日志文件将对我们取证有所帮助,而一旦被入侵以后,黑客首先会想办法清除这些痕迹,所以我们需要设置日志文件只能增加不能删除属性,防止其将日志删除掉。
[root@localhost ~]# cd /var/log/ [root@localhost log]# chattr +a dmesg cron lastlog messages secure wtmp [root@localhost log]# lsattr secure -----a---------- secure [root@localhost log]# rm -fr secure rm: cannot remove ‘secure’: Operation not permitted
2、查询资料了解iptables有哪些用途?
iptables应用主要包括主机防火墙和网络防火墙
主机防火墙详解(服务范围当前主机):
iptables其规则主要作用在“匹配条件”上,具体为各种模块
icmp模块
–icmp-type
8:echo-request
0:echo-reply
例子:两个主机 in和out,允许in ping out 不允许out ping in
做法:首先在in上拒绝所有ping请求,先生成一个白名单再在in上写规则
[root@in ~]# iptables -A INPUT -p icmp -j REJECT [root@in ~]# iptables -A OUTPUT -p icmp -j REJECT [root@in ~]# iptables -I OUTPUT 1 -p icmp --icmp-type 8 -j ACCEPT [root@in ~]# iptables -I INPUT 1 -p icmp --icmp-type 0 -j ACCEPT
multiport模块
iptables的多端口匹配
Linux系统上配置iptables放开相应的80、21、22、23、53的端口访问:
[root@ ~]# iptables -R INPUT 1 -p tcp -m multiport --dport 21:23,80,53 -j ACCEPT
iprange模块
匹配连读的地址访问:
允许192.168.0.1-192.168.0.50的地址访问到192.168.0.81的80端口:
[root@ ~]# iptables -I INPUT -d 192.168.0.81 -p tcp --dport 80 -m iprange --src-range 192.168.0.1-192.168.0.50 -j ACCEPT
ipset模块
允许非连续的地址访问
[root@ ~]# ipset create httplist hash:net maxelem 10000 [root@ ~]# ipset add httplist 192.168.153.101 [root@ ~]# ipset add httplist 192.168.153.102 [root@ ~]# iptables -I INPUT 1 -p tcp --dport 80 -m set --match-set httplist src -j ACCEPT [root@ ~]# iptables -I OUTPUT 1 -p tcp --sport 80 -m set --match-set httplist dst -j ACCEPT
string&time模块
拒绝在周一和周四的上午九点到下午六点访问本机的80端口中带有game字符串的报文
[root@ ~]# iptables -R INPUT 1 -m time --timestart 9:00 --timestop 18:00 --weekdays Mon,Thu -m string --algo bm --string "game" -j REJECT
connlimit模块
对匹配的地址做并发连接数限制,限制指定IP的22端口的并发数为3
[root@ ~]# iptables -I INPUT -d 192.168.0.81 -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT
limit模块
基于收发报文做速率限制,限制icmp报文的收发速率:
[root@ ~]# iptables -I INPUT -d 192.168.0.81 -p icmp --icmp-type 8 -m limit --limit 5/minute --limit-burst 5 -j ACCEPT
连接追踪CONNTRACK
原理分析:
连接跟踪(CONNTRACK),顾名思义,就是跟踪并且记录连接状态。Linux为每一个经过网络堆栈的数据包,生成一个新的连接记录项 (Connection entry)。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪是防火墙模块的状态检测的基础,同时也是地址转换中实 现SNAT和DNAT的前提。那么Netfilter又是如何生成连接记录项的呢?每一个数据,都有“来源”与“目的”主机,发起连接的主机称为“来源”,响应“来源”的请求的主机即为目的,所谓生成记录项,就是对每一个这样的连接的产生、传输及终止进行跟踪记录。由所有记录项产生的表,即称为连接跟踪表。
在 Linux 内核中,连接记录由ip_conntrack结构表示。在该结构中,包含一个nf_conntrack类型的结构,其记录了连接记录被公开应用的计数,也方便其他地方对连接跟踪的引用。每个连接记录都对应一个指向连接超时的函数指针,当较长时间内未使用该连接,将调用该指针所指向的函数。如果针对某种协议的连接跟踪需要扩展模块的辅助,则在连接记录中会有一指向ip_conntrack_helper 结构体的指针。连接记录中的结构体ip_conntrack_tuple_hash实际记录了连接所跟踪的地址信息(源和目的地址)和协议的特定信息(端口)。所有连接记录的ip_conntrack_tuple_hash以散列形式保存在连接跟踪表中(ip_conntrack记录存放在堆里面)。
对于数据包,首先检查它的tuple是否存在于hash表中,若存在就能找到对应的连接记录,若不存在就新建一个连接记录,将对应的两个tuple都加入到hash表中去。
iptables 包括一个模块,它允许管理员使用“连接跟踪”(connection tracking)方法来检查和限制到内部网络中可用服务的连接。连接跟踪把所有连接都保存在一个表格内,它令管理员能够根据以下连接状态来允许或拒绝连接:
NEW — 请求新连接的分组,如 HTTP 请求。
ESTABLISHED — 属于当前连接的一部分的分组。
RELATED — 请求新连接的分组,但是它也是当前连接的一部分。
INVALID — 不属于连接跟踪表内任何连接的分组。
报文状态匹配及连接状态追踪,仅匹配放开会话状态为ESTABLISHTED且端口为21的连接:
[root@ ~]# iptables -I INPUT -d 192.168.0.81 -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT
对ftp服务作会话追踪:
装载ftp连接追踪的专用模块 [root@iptables ~]# modprobe nf_conntrack_ftp #放开命令链接 [root@iptables ~]# iptables -I INPUT -d 192.168.0.81 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT [root@iptables ~]# iptables -I OUTPUT -s 192.168.0.81 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT #放开数据连接 [root@iptables ~]# iptables -I INPUT -d 192.168.0.81 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT [root@iptables ~]# iptables -I OUTPUT -s 192.168.0.81 -m state --state ESTABLISHED -j ACCEPT #查看已经追踪并记录下来的链接 root@iptables ~]# cat /proc/net/nf_conntrack ...... ipv4 2 tcp 6 431997 ESTABLISHED src=192.168.0.85 dst=192.168.0.81 sport=52070 dport=21 src=192.168.0.81 dst=192.168.0.85 sport=21 dport=52070 [ASSURED] mark=0 secctx=system_u:object_r:unlabeled_t:s0 zone=0 use=3 ipv4 2 tcp 6 428774 ESTABLISHED src=192.168.0.38 dst=192.168.0.81 sport=51061 dport=22 src=192.168.0.81 dst=192.168.0.38 sport=22 dport=51061 [ASSURED] mark=0 secctx=system_u:object_r:unlabeled_t:s0 zone=0 use=2
网络防火墙(服务范围为局域网):
做一个只需内网ping外网而不允许外网ping内网的实验:
三台机器:
inside ip:192.168.153.7
outside ip:10.10.10.7
firewalld ip:192.168.153.1
1:在firewalld上开启ip转发
[root@firewall ~]# vim /etc/sysctl.conf net.ipv4.ip_forward = 1
在inside上
[root@inside ~]# route add default gw 192.168.153.7
在outside上
[root@outside ~]# route add default gw 10.10.10.7
方法一:类似icmp模块
[root@ ~]# iptables -A FORWARD -j REJECT [root@ ~]# iptables -I FORWARD -s 192.168.153.0/24 -d 10.0.0.0/8 -p icmp --icmp-type 8 -j ACCEPT [root@ ~]# iptables -I FORWARD -d 192.168.153.0/24 -s 10.0.0.0/8 -p icmp --icmp-type 0 -j ACCEPT
方法二:状态追踪
[root@ ~]# iptables -A FORWARD -j REJECT [root@ ~]# iptables -I FORWARD -s 192.168.153.0/24 -d 10.0.0.0/8 -p icmp --icmp-type 8 -j ACCEPT [root@ ~]# iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT
方法三:
[root@ ~]# iptables -A FORWARD -j REJECT [root@ ~]# iptables -I FORWARD -s 192.168.153.0/24 -d 10.0.0.0/8 -p icmp -m state --state NEW -j ACCEPT [root@ ~]# iptables -I FORWARD - --m state --state ESTABLISHED -j ACCEPT
实验二:SNAT源地址转化
在server1启用iptables并设置SNAT地址转换,使得192.168.83.0/24网段能够正常访问互联网:
前提:只有仅主机的ip和可以上网的ip的仅主机网卡在同一个网段(可以ping通)
首先在可以上网的机器上做以下操作:
#首先启用IP转发功能 [root@outside ~]# sysctl -w net.ipv4.ip_forward=1net.ipv4.ip_forward = 1` #添加SNAT规则 `[root@outside ~]# iptables -t nat -A POSTROUTING -s 192.168.83.0/24 -j SNAT --to-source 1.1.1.1
在仅主机的机器上开启路由指向
[root@inside ~]# route add default gw outside(ip)
另外还可以使用MASQUERADE处理动作来实现SNAT地址转换,此动作适用于动态IP环境:
[root@outside ~]# iptables -t nat -A POSTROUTING -s 192.168.83.0/24 -j MASQUERADE
DNAT目的端口映射
在Server1上通过iptables设置DNAT使得client192.168.0.38能通过192.168.0.81的8080端口访问10.10.10.10的80端口:
[root@ ~]# iptables -t nat -A PREROUTING -d 192.168.0.81 -p tcp --dport 8080 -j DNAT --to-destination 10.10.10.10:80
这篇关于Linux服务器通用安全加固指南的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-10-22原生鸿蒙操作系统HarmonyOS NEXT(HarmonyOS 5)正式发布
- 2024-10-18操作系统入门教程:新手必看的基本操作指南
- 2024-10-18初学者必看:操作系统入门全攻略
- 2024-10-17操作系统入门教程:轻松掌握操作系统基础知识
- 2024-09-11Linux部署Scrapy学习:入门级指南
- 2024-09-11Linux部署Scrapy:入门级指南
- 2024-08-21【Linux】分区向左扩容的方法
- 2024-08-21【Linux】gnome桌面环境切换KDE Plasma
- 2024-08-19如何安装 VMware Tools (macOS, Linux, Windows)
- 2024-08-15Linux部署Scrapy教程:入门级指南