2. 程式人生 > >常用的幾個安全策略

常用的幾個安全策略

阿新 發佈:2018-02-11
linux服務器 edit 兩層 his use 開啟 pos ipv4 了解

1)禁止系統響應任何從外部/內部來的ping請求攻擊者一般首先通過ping命令檢測此主機或者IP是否處於活動狀態
如果能夠ping通 某個主機或者IP,那麽攻擊者就認為此系統處於活動狀態,繼而進行攻擊或破壞。如果沒有人能ping通機器並收到響應,那麽就可以大大增強服務器的安全性,
linux下可以執行如下設置,禁止ping請求:
[root@localhost ~]# echo "1"> /proc/sys/net/ipv4/icmp_echo_ignore_all

默認情況下"icmp_echo_ignore_all"的值為"0",表示響應ping操作。
可以加上面的一行命令到/etc/rc.d/rc.local文件中,以使每次系統重啟後自動運行。

2)禁止Control-Alt-Delete組合鍵重啟系統
在linux的默認設置下,同時按下Control-Alt-Delete鍵,系統將自動重啟,這是很不安全的,因此要禁止Control-Alt-Delete組合鍵重啟系統,查看/etc/inittab文件:
[root@localhost ~]# cat /etc/inittab
.......
# Ctrl-Alt-Delete is handled by /etc/init/control-alt-delete.conf
.......

[root@localhost ~]# cat /etc/init/control-alt-delete.conf
# control-alt-delete - emergency keypress handling
#
# This task is run whenever the Control-Alt-Delete key combination is
# pressed. Usually used to shut down the machine.
#
# Do not edit this file directly. If you want to change the behaviour,
# please create a file control-alt-delete.override and put your changes there.

start on control-alt-delete

exec /sbin/shutdown -r now "Control-Alt-Delete pressed"

可以將/etc/init/control-alt-delete.conf文件刪除或移走或更名。
[root@localhost ~]# mv /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.conf.bak

或者將/etc/init/control-alt-delete.conf文件裏的內容註釋掉!

3)限制Shell記錄歷史命令大小
默認情況下,bash shell會在文件$HOME/.bash_history中存放多達1000條命令記錄(根據系統不同,默認記錄條數不同)。系統中每個用戶的主目錄下都有一個這樣的文件。
這麽多的歷史命令記錄,肯定是不安全的,因此必須限制該文件的大小。
可以編輯/etc/profile文件,修改其中的選項如下:
[root@localhost ~]# vim /etc/profile
.......
HISTSIZE=1000
.......

默認Shell記錄歷史命令的條數是1000,可以修改為100條,即HISTSIZE=1000,表示在文件$HOME/.bash_history中記錄最近的30條歷史命令。
如果將"HISTSIZE"設置為0,則表示不記錄歷史命令,那麽也就不能用鍵盤的上下鍵查找歷史命令了。

4)設定tcp_wrappers防火墻
Tcp_Wrappers是一個用來分析TCP/IP封包的軟件,類似的IP封包軟件還有iptables,linux默認都安裝了此軟件,作為一個安全的系統,Linux本身有兩層安全防火墻,通過IP
過濾機制的iptables實現第一層防護,iptables防火墻通過直觀地監視系統的運行狀況,阻擋網絡中的一些惡意攻擊,保護整個系統正常運行,免遭攻擊和破壞。
如果通過了iptables的第一層防護,那麽下一層防護就是tcp_wrappers了,通過Tcp_Wrappers可以實現對系統中提供的某些服務的開放與關閉、允許和禁止,從而更有效地保
證系統安全運行。
4.1)Tcp_Wrappers的使用很簡單,僅僅兩個配置文件:/etc/hosts.allow和/etc/hosts.deny查看系統是否安裝了Tcp_Wrappers:
[root@localhost ~]# rpm -q tcp_wrappers
tcp_wrappers-7.6-58.el6.x86_64
如果有上面的類似輸出,表示系統已經安裝了tcp_wrappers模塊。如果沒有顯示,可能是沒有安裝,可以從linux系統安裝盤找到對應RPM包進行安裝。

4.2)tcp_wrappers防火墻的局限性
系統中的某個服務是否可以使用tcp_wrappers防火墻,取決於該服務是否應用了libwrapped庫文件,如果應用了就可以使用tcp_wrappers防火墻,系統中默認的一些服務如:
sshd、portmap、sendmail、xinetd、vsftpd、tcpd等都可以使用tcp_wrappers防火墻。

4.3)tcp_wrappers設定的規則(使用例子可以參考:http://www.cnblogs.com/kevingrace/p/6245859.html
tcp_wrappers防火墻的實現是通過/etc/hosts.allow和/etc/hosts.deny兩個文件來完成的,首先看一下設定的格式:
service:host(s) [:action]

service:代表服務名,例如sshd、vsftpd、sendmail等。
host(s):主機名或者IP地址,可以有多個,例如192.168.60.0、www.ixdba.netl action:動作, 符合條件後所采取的動作。
幾個關鍵字:
ALL:所有服務或者所有IP。
ALL EXCEPT:所有的服務或者所有IP除去指定的。

例如:ALL:ALL EXCEPT 192.168.60.132
表示除了192.168.60.132這臺機器,任何機器執行所有服務時或被允許或被拒絕。
了解了設定語法後,下面就可以對服務進行訪問限定。

例如:互聯網上一臺linux服務器,實現的目標是:僅僅允許222.90.66.4、61.185.224.66以及域名softpark.com通過SSH服務遠程登錄到系統,設置如下:
首先設定允許登錄的計算機,即配置/etc/hosts.allow文件,設置很簡單,只要修改/etc/hosts.allow(如果沒有此文件,請自行建立)這個文件即可。
只需將下面規則加入/etc/hosts.allow即可。
sshd: 222.90.66.4 61.185.224.66 softpark.com
接著設置不允許登錄的機器,也就是配置/etc/hosts.deny文件了。
一般情況下,linux會首先判斷/etc/hosts.allow這個文件,如果遠程登錄的計算機滿足文件/etc/hosts.allow設定的話,就不會去使用/etc/hosts.deny文件了,相反,如果
不滿足hosts.allow文件設定的規則的話,就會去使用hosts.deny文件了,如果滿足hosts.deny的規則,此主機就被限制為不可訪問linux服務器,如果也不滿足hosts.deny的
設定,此主機默認是可以訪問linux服務器的,因此,當設定好/etc/hosts.allow文件訪問規則之後,只需設置/etc/hosts.deny為"所有計算機都不能登錄狀態"即可。
sshd:ALL

這樣,一個簡單的tcp_wrappers防火墻就設置完畢了。

5)網絡安全選項的設定
編輯 "/etc/sysctl.conf" 檔案,並加入下面幾行,
[root@localhost ~]# vim /etc/sysctl.conf
# Enable ignoring broadcasts request(讓系統對廣播沒有反應)
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disables IP source routing(取消 IP source routing)
net.ipv4.conf.all.accept_source_route = 0

# Enable TCP SYN Cookie Protection(開啟 TCP SYN Cookie 保護)
net.ipv4.tcp_syncookies = 1

# Disable ICMP Redirect Acceptance(取消 ICMP 接受 Redirect)
net.ipv4.conf.all.accept_redirects = 0

# Enable bad error message Protection(開啟錯誤訊息保護)
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Enable IP spoofing protection, turn on Source Address Verification(開啟 IP 欺騙保護)
net.ipv4.conf.all.rp_filter = 1

# Log Spoofed Packets, Source Routed Packets, Redirect Packets(記錄Spoofed Packets, Source Routed Packets, Redirect Packets)
net.ipv4.conf.all.log_martians = 1

最後重新啟動network
[root@localhost ~]# /etc/rc.d/init.d/network restart

或者sysctl –p 生效
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

常用的幾個安全策略

相關推薦

常用安全策略

linux服務器 edit 兩層 his use 開啟 pos ipv4 了解 1)禁止系統響應任何從外部/內部來的ping請求攻擊者一般首先通過ping命令檢測此主機或者IP是否處於活動狀態如果能夠ping通 某個主機或者IP,那麽攻擊者就認為此系統處於活動狀態,繼而

安全測試常用工具

下面介紹了這些工具的主要功能以及教程、書籍、視訊等。 埠掃描器:Nmap Nmap是"Network Mapper"的縮寫,眾所周知,它是一款非常受歡迎的免費開源黑客工具。Nmap被用於發現網路和安全審計。據資料統計,全世界成千上萬的系統管理員使用nmap發現網路、檢查

【Linux】linux常用基本命令 小白專區簡單易懂

ls -l 17. 命令補全 linu 刪除目錄 poweroff 環境 密碼 family 顯示日期的命令 date顯示日歷的命令 cal -s, --hctosys以硬件時鐘為準,校正系統時鐘hwclock,clock:顯示硬件時鐘 -w, --sy

Android 常用adb命令

(1)安裝apk進手機                1.adb push D:****\KeyboardManMan.apk  system/vital-app    

防止爬蟲被反常見策略

動態設定User-Agent(隨機切換User-Agent,模擬不同使用者的瀏覽器資訊) 禁用Cookies(也就是不啟用cookies middleware,不向Server傳送cookies,有些網站通過cookie的使用發現爬蟲行為) 可以通過COOKIES

SVN常用命令

1. SVN 新增所有檔案 svn add * --no-ignore --auto-props --force --depth infinity 2. SVN靜默方式新增所有檔案,加入-q引數 svn add * --no-ignore --auto-props

Jquery ajax常用資料請求的方法

ajax=非同步Javascript和XML(在不重新載入網頁的情況下,ajax通過後臺載入資料,在 網頁上顯示) ajax()方法通過請求HTTP請求載入遠端資料。 jQuery ajax 的常用方法:$.get()  ,$.post()  ,$.json()  ,$.ge

C# 反射常用基本方法

就我這點水平,怎麼敢說是技術文件呢,我就胡亂吹吹牛逼吧!   簡單說下何為反射:就是我以絕妙且快速的步伐(貌似凌波微步)走過了一條坎坷崎嶇的羊腸古道,而千里之外的你能用灰常牛逼的方式把我所走過的路、經過的樹以及蹂躪過的花花草草在地圖上標記出來(感覺怕不會被你尾隨了吧!)。 總之

stl的中常用容器的介紹與特點。

<1>vector容器     vector容器是一個動態陣列的結構,在記憶體中有一個指標指向一塊連續的記憶體。類似陣列結構一樣。它的特點支援隨機訪問資料,因為其在記憶體中的單元是連續。如此之外,還可以vector的大小是可以自動增長的。當向一個vector中繼續

Github最常用語句

Pycharm可以直接連線github 首先cd到要推到git的檔案路徑下 初始化         git init 看一下狀態       git status 新增要推送檔案     git add xxx.py 推送檔案到本地倉庫   git commit -m '你要寫的備註' 推到git

SQL Server 常用 設定(set)選項

   1. SET DEADLOCK_PRIORITY   2. SET LOCK_TIMEOUT   4.SET IDENTITY_INSERT   5.SET IMPLICIT_TRANSACTIONS   6.SET NOCOUNT   8.SET ROWCOUN

Redis的過期策略

在使用redis時,一般會設定一個過期時間,當然也有不設定過期時間的,也就是永久不過期。當設定了過期時間,redis是如何判斷是否

提升伺服器安全常用方法! - ileowu

提升伺服器安全的幾個常用方法! - ileowu   作為一名網站安全工程師,深知自己的工作職責和使命,那就是有效的保障企業客戶伺服器的安全,防止伺服器被黑客攻擊,及時修復web站點漏洞,針對伺服器做安全配置實施安全策略外,還需要提高系統安全設計和伺服器資料備份工作.今天告訴大家提升伺服器安

PHP執行系統命令的有常用的函數

exe 自動 文件操作 nal 外部命令 中間 ring 打開 lcm PHP執行系統命令的有幾個常用的函數,如有:system函數、exec函數、popen函數,passthru,shell_exec函數他們都可以執行系統命令,不過前提時必須系統給了權限了哦。 syste

miniui常用知識點匯總

簡單 去除 spa 自帶 超過 表格 繪制 val wro 1.在表格中去除系統自帶的序列號,請看代碼: function allAndBrief(id) { if(id==1){ grid.set({

hadoop的常用命令

hadoop官方文檔:http://hadoop.apache.org/docs/r1.2.1/file_system_shell.html1、登錄主節點,切換到hdfs用戶[[email protected]/* */~]#su - hdfs2、列出當前目錄有哪些子目錄,有哪些文件[[email

封裝對象,包含常用方法

nts opp 操作 阻止事件冒泡 3.1 坐標 stop pre 處理 這兩天復習了DOM事件綁定,記錄一下,便於復習學習。 1 事件處理程序  1.1 HTML事件處理程序:直接寫在html中,和html不解耦,修改麻煩  1.2 DOM0級事件處理程序:不寫在html

kali linux 信息搜集之常用軟件常用命令

安全 kali 信息搜集nmapnmap + ip 地址 掃描主機開放端口nmap -p 1-x + ip 地址 掃描特定主機端口nmap -v -A -sV +ip地址 詳細掃描主機nmap - p 端口 +ip 地址 192.168.1.* 集群內特定ipnmap -O 系統測試nmap -sV +ip

Python:print()函數的常用參數

com file open 默認 strong 其他 end 空格 文件的 1.參數sep:設置輸出字符產之間的字符串。默認是空格 1 name=‘Tomwenxing‘ 2 age=‘23‘ 3 job=‘student‘ 4 print(name,age,job) 5

請求網頁常用庫的用法:

完成 data report 第三方庫 () .get 參數說明 進度 函數 1、urllib urlopen()方法urllib.urlopen(url[, data[, proxies]]) :創建一個表示遠程url的類文件對象,然後像本地文件一樣操作這個類文件對