6.IPtales防火墻規則
假設我們的服務器server1運行Apache和sshd(sshd可以不運行在標準端口，配置文件中能修改)。ethO網卡接Internet,ethi連接LAN，管理員在家中撥號登陸到server2(其私用網絡TP為192.168.0.12)，再登陸server1。其命令如下:
為了防止IP spoofing的可能，還可以綁定server2的網卡地址:
[[The No.１ Picture.]]
不過好像也很少有人侵者能夠做到這種地步，而且沒什么利用的價值。

對攻擊有所了解的人知道"端口重定向十反向管道"的美妙結合來穿越防火墻的例子吧?這種技巧已經運用太廣，而危害很大。為了對抗這種難以防御的攻擊，我們必須以犧牲一定的易用性為代價:

以上規則將阻止由內而外的TCP主動選接。
另外，用tftp或其他客戶端反向攫取文件的攻擊行為也很普遍，由于mfv以及諸如loki之類的工具依賴UDP，所以現在要把它徹底抹煞悼:

注:在更新系統和調試網絡時需要把這兩條規則臨時去掉。
因為入侵的本質就是通過文本或圖形界面在標準或非標準端口得到目標操作系統的shell，所以這不僅能阻止反向管道本身，還能免疫很多人侵技巧，不過對一般的系統管理員而言，這太苛刻了!
下面是的tables的一些攻擊對策。

此外，iptables還能配置出讓一些掃描行為，比如nmap失效的規則，應當注意，防火墻不是萬能的，當一個攻擊者足夠瘋狂時，不要指望你的防火墻能抵擋得住DDoS.
7.完整性校驗
tripwire是一個比較有名的工具，它能幫你判斷出一些重要系統文件是否被修改過。現在的Linux發行版中一般部帶有該工具的開源版本，在默認的校驗對象配置文件中加入一些敏感文件就可以使用。

用"man rpm"查看命令幫助，"-V"參數用于MD5校驗，注意要把rpm校驗產生的二進制數據文件作一個硬備份，以防止其本身被修改。

共2頁: 1 [2] 下一頁