巧用Recent模块加固Linux安全[网络技术]
本文“巧用Recent模块加固Linux安全[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
所周知,Linux可以通过编写iptables法则对收支Linux主机的数据包举行过滤等操作,在一定程度上可以晋升Linux主机的安全 性,在新版本内核中,新增了recent模块,该模块可以按照源地址、目的地址统计近来一段时间内经过本机的数据包的情形,并按照呼应的法则作出呼应的决 策,详见:http://snowman.net/projects/ipt_recent/
1、通过recent模块可以避免穷举猜想Linux主机用户口令,普通可以通过iptables限制只答应某些网段和主机衔接Linux机械的 22/TCP端口,假如管理员IP地址常常改变,此时iptables就很难实用这样的环境了.通过利用recent模块,利用下面这两条法则便可办理问 题:
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
利用该法则后,假如某IP地址在一分钟之内对Linux主机22/TCP端口新发动的衔接超越4次,之后的新发动的衔接将被丢弃.
2、通过recent模块可以避免端口扫描.
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP
利用该法则后,假如某个IP地址对非Linux主机答应的端口发动衔接,并且一分钟内超越20次,则系统将中止该主机与本机的衔接.
具体配置以下:
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [458:123843]
-A INPUT -i lo -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP
COMMIT
以上配置阐明,本机开放可供服务的端口有22/TCP(有衔接频率限制),53/TCP/UDP, 80/TCP, 443/TCP,全部发往本机的其他ip报文则认为是端口扫描,假如一分钟之内超越20次,则封禁该主机,攻击终止一分钟以上自动解封.
在这只是取个举一反三的作用,通过recent模块还可以实现很多更复杂的功效,比方:22/TCP端口对全部主机都是关闭的,通过次序拜候23/TCP 24/TCP 25/TCP之后,22/TCP端口就对你一个IP地址开放等等
以上是“巧用Recent模块加固Linux安全[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |