当前位置:七道奇文章资讯安全技术网络技术
日期:2010-02-09 11:36:00  来源:本站整理

巧用Recent模块加固Linux安全[网络技术]

赞助商链接



  本文“巧用Recent模块加固Linux安全[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

所周知,Linux可以通过编写iptables法则对收支Linux主机的数据包举行过滤等操作,在一定程度上可以晋升Linux主机的安全 性,在新版本内核中,新增了recent模块,该模块可以按照源地址、目的地址统计近来一段时间内经过本机的数据包的情形,并按照呼应的法则作出呼应的决 策,详见:http://snowman.net/projects/ipt_recent/ 

1、通过recent模块可以避免穷举猜想Linux主机用户口令,普通可以通过iptables限制只答应某些网段和主机衔接Linux机械的 22/TCP端口,假如管理员IP地址常常改变,此时iptables就很难实用这样的环境了.通过利用recent模块,利用下面这两条法则便可办理问 题: 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT 
利用该法则后,假如某IP地址在一分钟之内对Linux主机22/TCP端口新发动的衔接超越4次,之后的新发动的衔接将被丢弃. 

2、通过recent模块可以避免端口扫描
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP 
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP 
利用该法则后,假如某个IP地址对非Linux主机答应的端口发动衔接,并且一分钟内超越20次,则系统将中止该主机与本机的衔接. 

具体配置以下: 

*filter 
:INPUT DROP [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [458:123843] 
-A INPUT -i lo -j ACCEPT 
-A INPUT -i tap+ -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT 
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP 
COMMIT 

以上配置阐明,本机开放可供服务的端口有22/TCP(有衔接频率限制),53/TCP/UDP, 80/TCP, 443/TCP,全部发往本机的其他ip报文则认为是端口扫描,假如一分钟之内超越20次,则封禁该主机,攻击终止一分钟以上自动解封. 

在这只是取个举一反三的作用,通过recent模块还可以实现很多更复杂的功效,比方:22/TCP端口对全部主机都是关闭的,通过次序拜候23/TCP 24/TCP 25/TCP之后,22/TCP端口就对你一个IP地址开放等等


  以上是“巧用Recent模块加固Linux安全[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • 巧用Recent模块加固Linux安全
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .