Linux/unix安全優(yōu)化的討論與案例分享（獲獎名單已公布）

king_819

回復 100# 20040925


    看看我的這篇文章：http://kerry.blog.51cto.com/172631/105233



vi /etc/sysctl.conf


編輯文件，加入以下內(nèi)容：
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30



然后執(zhí)行 /sbin/sysctl -p 讓參數(shù)生效。



net.ipv4.tcp_syncookies = 1 表示開啟SYN Cookies。當出現(xiàn)SYN等待隊列溢出時，啟用cookies來處理，可防范少量SYN攻擊，默認為0，表示關(guān)閉；


net.ipv4.tcp_tw_reuse = 1 表示開啟重用。允許將TIME-WAIT sockets重新用于新的TCP連接，默認為0，表示關(guān)閉；


net.ipv4.tcp_tw_recycle = 1 表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認為0，表示關(guān)閉。


net.ipv4.tcp_fin_timeout 修改系統(tǒng)默認的 TIMEOUT 時間

20040925

回復 102# king_819


謝謝，看了你的文章了，我確實是寫在/etc/sysctl.conf中，執(zhí)行 /sbin/sysctl -p 讓參數(shù)生效。
但我沒有下面這兩個
net.ipv4.tcp_syncookies = 1     
net.ipv4.tcp_fin_timeout = 30
這兩個參數(shù)會影響到net.ipv4.tcp_tw_reuse 和net.ipv4.tcp_tw_recycle 嗎?我覺得這些是單獨的功能，為什么要一起開啟才生效呢？

king_819

回復 103# 20040925


    縮短默認TIME_WAIT的等待時間

nicy0808

分享一個安全優(yōu)化的文檔

Linux系統(tǒng)安全與優(yōu)化中文版.rar (1.83 MB, 下載次數(shù): 104)

2012-03-19 20:06 上傳

點擊文件名下載附件
Linux系統(tǒng)安全與優(yōu)化

ABC-FBI

這個好，安全很重要，學習學習了

king_819

回復 105# nicy0808


    寫的很詳細，不錯的分享！

playmud

回復 101# king_819


    附加的安全值大多數(shù)以犧牲性能為代價的，而安全具有木桶效應(yīng)，所以很多安全事件的發(fā)生都是從非主流業(yè)務(wù)和應(yīng)用突破的。

wuxiangyuanze

簡單就是安全。

西農(nóng)魔峰

與君同行

missuniverse110

king_819 發(fā)表于 2012-03-08 14:37
最近的泄密事件愈演愈烈，大有“你方唱罷我登場”的勢頭，出現(xiàn)安全事件，不光使得用戶信息信息泄密， ...

非常感謝樓主的分享！�。�

一點建議：
1.從整體網(wǎng)絡(luò)出發(fā) --- (建議從整體網(wǎng)絡(luò)架構(gòu)出發(fā)構(gòu)建縱深防御體系(CISSP 中的10個域講的很全面)，目前L2攻擊技術(shù)層去不窮使得單純的主機系統(tǒng)安全越來越不可靠 - 比如，ARP劫持，DNS spoofing，Vlan Hoping等等)

2.系統(tǒng)方面 --- (建議增加上層應(yīng)用方面的安全措施 - 縱觀目前“廣為流傳”的安全事件絕大多數(shù)都為web app或SQL注入方面的漏洞導致，系統(tǒng)底層溢出的非常少見)

3.社會工程學(social engineering) --- 社工是計算機技術(shù)之于人的藝術(shù) --- 一次成功的社工可以輕輕松松的獲取對方系統(tǒng)的root權(quán)限 --- 尤其是近兩年社工得到了長足的發(fā)展，已逐漸成為黑客攻擊的主要手段 --- 所以請千萬別忽視社工！��！

4.物理安全 --- 這個重要性不消多說

以上純屬個人觀點，大牛勿噴:wink:

最后貼個防止Nmap掃描的腳本(非原創(chuàng)，希望打大家有所幫助)，期待高手出更多實例
Nmap_blocker.sh

1. #!/bin/bash
   
2. echo ""
   
3. echo "======================================"
   
4. echo "= Block Nmap Scanning using iptables ="
   
5. echo "=      C0ded by Liyan Oz             ="
   
6. echo "=    http://0nto.wordpress.com       ="
   
7. echo "======================================"
   
8. echo ""
   
9. echo ""
   
10. #=====================
    
11. # Enable IP Forward
    
12. #---------------------
    
13. 
    
14. echo 1 > /proc/sys/net/ipv4/ip_forward
    
15. 
    
16. #=====================
    
17. # Flush semua rules
    
18. #---------------------
    
19. /sbin/iptables -F
    
20. /sbin/iptables -t nat -F
    
21. 
    
22. #=====================
    
23. # Block
    
24. #---------------------
    
25. 
    
26. /sbin/iptables -t filter -A INPUT -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
    
27. /sbin/iptables -t filter -A INPUT -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
    
28. /sbin/iptables -t filter -A INPUT -p ICMP -m state --state RELATED,ESTABLISHED -j ACCEPT
    
29. /sbin/iptables -t filter -A INPUT -m state --state INVALID -j DROP
    
30. 
    
31. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,FIN FIN -j LOG --log-prefix "FIN: "
    
32. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,FIN FIN -j DROP
    
33. 
    
34. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,PSH PSH -j LOG --log-prefix "PSH: "
    
35. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,PSH PSH -j DROP
    
36. 
    
37. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,URG URG -j LOG --log-prefix "URG: "
    
38. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ACK,URG URG -j DROP
    
39. 
    
40. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "XMAS scan: "
    
41. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL ALL -j DROP
    
42. 
    
43. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "NULL scan: "
    
44. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL NONE -j DROP
    
45. 
    
46. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "pscan: "
    
47. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    
48. 
    
49. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "pscan 2: "
    
50. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    
51. 
    
52. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags FIN,RST FIN,RST -j LOG --log-prefix "pscan 2: "
    
53. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
    
54. 
    
55. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,FIN -j LOG --log-prefix "SYNFIN-SCAN: "
    
56. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL SYN,FIN -j DROP
    
57. 
    
58. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,FIN -j LOG --log-prefix "NMAP-XMAS-SCAN: "
    
59. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,FIN -j DROP
    
60. 
    
61. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL FIN -j LOG --log-prefix "FIN-SCAN: "
    
62. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL FIN -j DROP
    
63. 
    
64. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,SYN,FIN -j LOG --log-prefix "NMAP-ID: "
    
65. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags ALL URG,PSH,SYN,FIN -j DROP
    
66. 
    
67. /sbin/iptables -t filter -A INPUT   -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "SYN-RST: "

復制代碼