自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

巧用Recent模塊加固Linux安全

作者:chinaitlab
安全 網(wǎng)站安全
Linux可以通過編寫iptables規(guī)則對進(jìn)出Linux主機(jī)的數(shù)據(jù)包進(jìn)行過濾等操作,在一定程度上可以提升Linux主機(jī)的安全性,在新版本內(nèi)核中,新增了recent模塊......

眾所周知,Linux可以通過編寫iptables規(guī)則對進(jìn)出Linux主機(jī)的數(shù)據(jù)包進(jìn)行過濾等操作,在一定程度上可以提升Linux主機(jī)的安全性,在新版本內(nèi)核中,新增了recent模塊,該模塊可以根據(jù)源地址、目的地址統(tǒng)計最近一段時間內(nèi)經(jīng)過本機(jī)的數(shù)據(jù)包的情況,并根據(jù)相應(yīng)的規(guī)則作出相應(yīng)的決策,詳見:http://snowman.net/projects/ipt_recent/

1、通過recent模塊可以防止窮舉猜測Linux主機(jī)用戶口令,通??梢酝ㄟ^iptables限制只允許某些網(wǎng)段和主機(jī)連接Linux機(jī)器的22/TCP端口,如果管理員IP地址經(jīng)常變化,此時iptables就很難適用這樣的環(huán)境了。通過使用recent模塊,使用下面這兩條規(guī)則即可解決問題:

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT

應(yīng)用該規(guī)則后,如果某IP地址在一分鐘之內(nèi)對Linux主機(jī)22/TCP端口新發(fā)起的連接超過4次,之后的新發(fā)起的連接將被丟棄。

2、通過recent模塊可以防止端口掃描。

-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP

-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP

應(yīng)用該規(guī)則后,如果某個IP地址對非Linux主機(jī)允許的端口發(fā)起連接,并且一分鐘內(nèi)超過20次,則系統(tǒng)將中斷該主機(jī)與本機(jī)的連接。

詳細(xì)配置如下:

*filter

:INPUT DROP [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [458:123843]

-A INPUT -i lo -j ACCEPT

-A INPUT -i tap+ -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT

-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP

COMMIT

以上配置說明,本機(jī)開放可供服務(wù)的端口有22/TCP(有連接頻率限制),53/TCP/UDP, 80/TCP, 443/TCP,所有發(fā)往本機(jī)的其他ip報文則認(rèn)為是端口掃描,如果一分鐘之內(nèi)超過20次,則封禁該主機(jī),攻擊停止一分鐘以上自動解封。

在這只是取個拋磚引玉的作用,通過recent模塊還可以實(shí)現(xiàn)很多更復(fù)雜的功能,例如:22/TCP端口對所有主機(jī)都是關(guān)閉的,通過順序訪問23/TCP 24/TCP 25/TCP之后,22/TCP端口就對你一個IP地址開放等等。

【編輯推薦】

  1. 企業(yè)Linux安全機(jī)制遭遇信任危機(jī) SELinux成駭客幫兇?
  2. Linux安全訪問控制模型應(yīng)用及方案設(shè)計 
  3. Linux安全攻略 如何才能讓內(nèi)存不再/泄漏
責(zé)任編輯:趙寧寧 來源: chinaitlab
Recent模塊Linux安全Linux
相關(guān)推薦

2009-07-01 16:44:27

2009-07-06 09:23:20

2023-10-31 09:22:49

Linux系統(tǒng)

2012-05-08 13:59:23

2018-08-07 14:49:55

2011-07-19 14:35:10

組策略安全

2009-04-29 15:57:53

2021-01-22 16:02:13

Linux命令安全

2015-08-05 09:35:38

Bastille服務(wù)器安全

2012-08-01 09:12:46

2021-08-12 10:31:59

MySQL安全方法

2021-12-19 22:44:16

Linux安全服務(wù)器

2009-10-27 17:10:05

Linux安全模塊

2017-02-06 10:10:34

2010-03-08 11:25:33

2021-08-05 10:21:18

NSAKubernetes安全

2021-08-26 10:05:31

APP安全加密網(wǎng)絡(luò)攻擊

2013-07-15 10:39:43

2024-03-20 15:25:43

2009-01-05 16:56:59

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號