Linux/unix安全優(yōu)化的討論與案例分享（獲獎(jiǎng)名單已公布）

Shell_HAT

筆記

1. #訪問部分網(wǎng)站不使用squid
   
2. iptables -t nat -A PREROUTING -i eth1 -s 172.16.11.250 -j ACCEPT
   
3. iptables -t nat -A PREROUTING -i eth1 -d 123.123.123.123 -j ACCEPT
   
4. iptables -t nat -A PREROUTING -i eth1 -s 172.16.11.0/24 -j REDIRECT --to 3128
   
5. 
   
6. #防止被探測ssh密碼
   
7. iptables -A INPUT -p tcp --dport 22 \
   
8. -m state --state NEW -m recent --set \
   
9. --name SSH --rsource -m recent --name SSH \
   
10. --update --seconds 10 --hitcount 4 \
    
11. --rsource -j DROP
    
12. 
    
13. #實(shí)現(xiàn)IP/MAC綁定
    
14. iptables -N MAC_CHECK
    
15. iptables -A FORWARD -i eth1 -o eth0 -j MAC_CHECK
    
16. iptables -A MAC_CHECK -s 172.16.11.101 -m mac --mac-source XX:XX:XX:XX:XX:XX -j RETURN
    
17. iptables -A MAC_CHECK -s 172.16.11.102 -m mac --mac-source YY:YY:YY:YY:YY:YY -j RETURN
    
18. iptables -A MAC_CHECK -s 172.16.11.103 -m mac --mac-source ZZ:ZZ:ZZ:ZZ:ZZ:ZZ -j RETURN
    
19. iptables -A MAC_CHECK -j DROP
    
20. 
    
21. #防止小路由（及破解）
    
22. iptables -N TTL_CHECK
    
23. iptables -A FORWARD -i eth1 -o eth0 -j TTL_CHECK
    
24. iptables -A TTL_CHECK -m ttl --ttl-eq 128 -j RETURN
    
25. iptables -A TTL_CHECK -m ttl --ttl-eq 64 -j RETURN
    
26. iptables -A TTL_CHECK -m ttl --ttl-eq 255 -j RETURN
    
27. iptables -A TTL_CHECK -j DROP
    
28. 
    
29. #防止被tracert
    
30. iptables -A INPUT -m ttl --ttl-eq 1 -j DROP
    
31. iptables -A INPUT -m ttl --ttl-lt 4 -j DROP
    
32. iptables -A FORWARD -m ttl --ttl-lt 6 -j DROP
    
33. 
    
34. #實(shí)現(xiàn)服務(wù)器負(fù)載分擔(dān)
    
35. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -m statistic --mode nth --every 3 -j DNAT --to 172.16.11.101
    
36. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -m statistic --mode nth --every 2 -j DNAT --to 172.16.11.102
    
37. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 172.16.11.103
    
38. 
    
39. #得知內(nèi)網(wǎng)用戶流量
    
40. iptables -A FORWARD -j ACCOUNT --addr 172.16.11.0/24 --tname LOCALNET
    
41. 
    
42. iptaccount -a
    
43. iptaccount -l LOCALNET
    
44. iptaccount -l LOCALNET -f
    
45. 
    
46. #對(duì)DNS域名進(jìn)行過濾
    
47. iptables -A FORWARD -m string --algo bm --hex-string "|03|www|09|chinaunix|03|com" -j DROP
    

復(fù)制代碼

king_819

回復(fù) 59# kns1024wh


cactiz、EMOS都是不錯(cuò)的產(chǎn)品，但真實(shí)的生產(chǎn)環(huán)境中，還是更傾向于自己搭建，排錯(cuò)、擴(kuò)展會(huì)更加好掌控

   

king_819

Shell_HAT 發(fā)表于 2012-03-11 18:29
筆記

iptables確實(shí)強(qiáng)大，很不錯(cuò)的分享

key1077

1.忌弱口令。
2.忌批量機(jī)器密碼一直。
3.穩(wěn)定內(nèi)核，防提權(quán)。
4.應(yīng)用層防護(hù)，程序漏洞。

要注意數(shù)據(jù)安全，一般都是來自應(yīng)用層，需要的權(quán)限不是很高。再說破主機(jī)能值多少錢，數(shù)據(jù)是無價(jià)的。

fire_cpp

king_819 發(fā)表于 2012-03-08 20:09
回復(fù) 27# 藍(lán)色蟲

用sudo和su有什么重大區(qū)別嗎？
用freebsd跑過web和數(shù)據(jù)庫嗎？

fire_cpp

合格的管理員下點(diǎn)功夫， 主機(jī)安全一般都不會(huì)有太大問題。
更害怕來自應(yīng)用的漏洞，如web等，防不勝防啊。
稍大點(diǎn)的機(jī)構(gòu)里，人的因素也很重要，那就要靠制度了。

xingjiudong

好貼，好活動(dòng)，支持

dooros

藍(lán)色蟲 發(fā)表于 2012-03-08 18:19
原來我一直用debian和freeBSD

做好后還要挨個(gè)檢查各tcp和udp端口，效率較低，不合當(dāng)前的客戶公司安全規(guī)程 ...

換的什么系統(tǒng)？ 我認(rèn)為這個(gè)跟系統(tǒng)關(guān)系不大，關(guān)鍵還是配置。

spark8103

freebsd默認(rèn)情況下，可以查看所有用戶的資料，不知道你們有做這方面的安全設(shè)置！

dooros

fire_cpp 發(fā)表于 2012-03-11 20:24
用sudo和su有什么重大區(qū)別嗎？
用freebsd跑過web和數(shù)據(jù)庫嗎？

用sudo和su我認(rèn)為主要還是管理員習(xí)慣的問題。
任何理性的管理員都不會(huì)輕易用root進(jìn)行各種操作