巧用Recent模块加固Linux安全[网络技术]

所周知,Linux可以通过编写iptables法则对收支Linux主机的数据包举行过滤等操作,在一定程度上可以晋升Linux主机的安全 性,在新版本内核中,新增了recent模块,该模块可以按照源地址、目的地址统计近来一段时间内经过本机的数据包的情形,并按照呼应的法则作出呼应的决 策,详见:http://snowman.net/projects/ipt_recent/ 

1、通过recent模块可以避免穷举猜想Linux主机用户口令,普通可以通过iptables限制只答应某些网段和主机衔接Linux机械的 22/TCP端口,假如管理员IP地址常常改变,此时iptables就很难实用这样的环境了.通过利用recent模块,利用下面这两条法则便可办理问 题: 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT 
利用该法则后,假如某IP地址在一分钟之内对Linux主机22/TCP端口新发动的衔接超越4次,之后的新发动的衔接将被丢弃. 

2、通过recent模块可以避免端口扫描. 
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP 
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP 
利用该法则后,假如某个IP地址对非Linux主机答应的端口发动衔接,并且一分钟内超越20次,则系统将中止该主机与本机的衔接. 

具体配置以下: 

*filter 
:INPUT DROP [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [458:123843] 
-A INPUT -i lo -j ACCEPT 
-A INPUT -i tap+ -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT 
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP 
COMMIT 

以上配置阐明,本机开放可供服务的端口有22/TCP（有衔接频率限制）,53/TCP/UDP, 80/TCP, 443/TCP,全部发往本机的其他ip报文则认为是端口扫描,假如一分钟之内超越20次,则封禁该主机,攻击终止一分钟以上自动解封. 

在这只是取个举一反三的作用,通过recent模块还可以实现很多更复杂的功效,比方:22/TCP端口对全部主机都是关闭的,通过次序拜候23/TCP 24/TCP 25/TCP之后,22/TCP端口就对你一个IP地址开放等等