一、設(shè)定啟動(dòng)服務(wù)
安裝完系統(tǒng)后,我們執(zhí)行#netstat –an,可以看到由于系統(tǒng)默認(rèn)情況下啟動(dòng)了許多與網(wǎng)絡(luò)相關(guān)的服務(wù),因此相對(duì)應(yīng)的開(kāi)放了許多端口進(jìn)行LISTENING(監(jiān)聽(tīng))。我們知道,開(kāi)放的端口越多,系統(tǒng)從外部被入侵的可能也就越大,所以我們要盡量關(guān)閉一些不需要的啟動(dòng)服務(wù),從而盡可能的關(guān)閉端口,提供系統(tǒng)的安全性。
這里我直接給出保持系統(tǒng)正常運(yùn)行的啟動(dòng)服務(wù),而其他的服務(wù)都可以關(guān)閉掉。執(zhí)行#ntsysv,只啟動(dòng)如下的服務(wù)。
二、Netfilter/iptables防火墻設(shè)置
#touch /etc/rc.d/firewall #chmod u+x /etc/rc.d/firewall #vi /etc/rc.d/rc.local 寫入一行:/etc/rc.d/firewall |
1、單網(wǎng)卡主機(jī)設(shè)定
說(shuō)明:此設(shè)定適用于架設(shè)了一臺(tái)專門提供web服務(wù)或者FTP服務(wù)的主機(jī)。
#首先清除所有的防火墻規(guī)則
#!/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin #防止syn flood攻擊 echo "1" > /proc/sys/net/ipv4/tcp_syncookies iptables -F iptables -X iptables –Z |
#然后禁止所有的包
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP |
#允許本地環(huán)回設(shè)備上的通訊
iptables –A INPUT -i lo -p all -j ACCEPT iptables -A OUTPUT -o lo -p all -j ACCEPT |
#讓已經(jīng)建立或者是與我們主機(jī)有關(guān)的回應(yīng)封包通過(guò)
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT |
#允許SSH遠(yuǎn)程管理主機(jī)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT |
#對(duì)IP碎片數(shù)量進(jìn)行限制,以防止IP碎片攻擊
iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT |
#如果你的主機(jī)提供web服務(wù),那么就需要開(kāi)放80端口
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT |
#設(shè)置icmp協(xié)議,允許主機(jī)執(zhí)行ping操作,以便對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試,但不允許其他主機(jī)ping該主機(jī)。
iptables –A OUTPUT-p icmp --icmp-type echo-request –j ACCEPT iptables –A INPUT –p icmp --icmp-type echo-reply –j ACCEPT |
通過(guò)如上設(shè)置,這臺(tái)主機(jī)只向網(wǎng)絡(luò)開(kāi)放了22,80兩個(gè)端口,最大限度的保證了主機(jī)的安全。
2、NAT主機(jī)的設(shè)定
說(shuō)明:此設(shè)定適用于起到NAT網(wǎng)關(guān)服務(wù)器類型的主機(jī)。eth0為外網(wǎng)網(wǎng)卡,eth1為內(nèi)網(wǎng)網(wǎng)卡。內(nèi)網(wǎng)網(wǎng)段為192.168.1.0/24
