成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

巧用Recent模塊加固Linux安全

作者:chinaitlab
安全 網站安全
Linux可以通過編寫iptables規則對進出Linux主機的數據包進行過濾等操作,在一定程度上可以提升Linux主機的安全性,在新版本內核中,新增了recent模塊......

眾所周知,Linux可以通過編寫iptables規則對進出Linux主機的數據包進行過濾等操作,在一定程度上可以提升Linux主機的安全性,在新版本內核中,新增了recent模塊,該模塊可以根據源地址、目的地址統計最近一段時間內經過本機的數據包的情況,并根據相應的規則作出相應的決策,詳見:http://snowman.net/projects/ipt_recent/

1、通過recent模塊可以防止窮舉猜測Linux主機用戶口令,通??梢酝ㄟ^iptables限制只允許某些網段和主機連接Linux機器的22/TCP端口,如果管理員IP地址經常變化,此時iptables就很難適用這樣的環境了。通過使用recent模塊,使用下面這兩條規則即可解決問題:

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT

應用該規則后,如果某IP地址在一分鐘之內對Linux主機22/TCP端口新發起的連接超過4次,之后的新發起的連接將被丟棄。

2、通過recent模塊可以防止端口掃描。

-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP

-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP

應用該規則后,如果某個IP地址對非Linux主機允許的端口發起連接,并且一分鐘內超過20次,則系統將中斷該主機與本機的連接。

詳細配置如下:

*filter

:INPUT DROP [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [458:123843]

-A INPUT -i lo -j ACCEPT

-A INPUT -i tap+ -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT

-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP

COMMIT

以上配置說明,本機開放可供服務的端口有22/TCP(有連接頻率限制),53/TCP/UDP, 80/TCP, 443/TCP,所有發往本機的其他ip報文則認為是端口掃描,如果一分鐘之內超過20次,則封禁該主機,攻擊停止一分鐘以上自動解封。

在這只是取個拋磚引玉的作用,通過recent模塊還可以實現很多更復雜的功能,例如:22/TCP端口對所有主機都是關閉的,通過順序訪問23/TCP 24/TCP 25/TCP之后,22/TCP端口就對你一個IP地址開放等等。

【編輯推薦】

  1. 企業Linux安全機制遭遇信任危機 SELinux成駭客幫兇?
  2. Linux安全訪問控制模型應用及方案設計 
  3. Linux安全攻略 如何才能讓內存不再/泄漏
責任編輯:趙寧寧 來源: chinaitlab
Recent模塊Linux安全Linux
相關推薦

2012-05-08 13:59:23

2018-08-07 14:49:55

2023-10-31 09:22:49

Linux系統

2009-07-01 16:44:27

2009-07-06 09:23:20

2011-07-19 14:35:10

組策略安全

2009-04-29 15:57:53

2015-08-05 09:35:38

Bastille服務器安全

2021-01-22 16:02:13

Linux命令安全

2021-08-12 10:31:59

MySQL安全方法

2021-12-19 22:44:16

Linux安全服務器

2012-08-01 09:12:46

2009-01-05 16:56:59

2009-10-27 17:10:05

Linux安全模塊

2017-02-06 10:10:34

2013-07-15 10:39:43

2024-03-20 15:25:43

2010-03-08 11:25:33

2021-08-05 10:21:18

NSAKubernetes安全

2021-08-26 10:05:31

APP安全加密網絡攻擊
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: www.99re5.com| 日韩三 | 一区二区高清不卡 | 91香蕉视频在线观看 | 欧美一二三区 | 国产精品久久久久久久久久三级 | 欧美小视频在线观看 | 精品一二三区 | 国产精品视频网站 | 一级黄a视频 | 91久久久精品国产一区二区蜜臀 | 日韩av最新网址 | 日韩精品一区二区三区视频播放 | 国产欧美日韩综合精品一区二区 | 玖玖玖在线 | 亚洲精视频| 99免费在线观看 | 日韩高清在线观看 | 日韩精品亚洲专区在线观看 | 亚洲毛片在线观看 | 国产欧美一区二区三区久久手机版 | 九久久 | 羞羞视频网站在线观看 | 久久精品久久久久久 | 91精品久久久久久久久 | 日韩在线一区二区 | 91麻豆精品国产91久久久久久 | 午夜免费看 | 97精品超碰一区二区三区 | 精品国产一区二区国模嫣然 | 黄色三级免费网站 | 日韩免费看视频 | 在线免费观看成年人视频 | 久热久草| 狠狠做深爱婷婷综合一区 | 久久综合一区二区三区 | 国产农村妇女毛片精品久久麻豆 | 在线观看免费观看在线91 | 农村真人裸体丰满少妇毛片 | 免费视频一区 | 午夜性视频 |