Linux安全配置

1概述

该文档总结了分销商城的安全配置

1.1简介

利用aliyun云盾服务，防DDOS/CC***工具，linux自带的IPtables

    

1.2线上环境介绍

服务器OS：CentOS 7

应用：mariadb-5.5，nginx-1.8，tomcat-8.0，php-5.6

1.3 端口总览

2.  aliyun云盾服务

2.1 开启web目录减产，***查杀功能

2.2 漏洞补丁管理

系统补丁，应用漏洞补丁；处理方式：忽略/修复/验证

3. 防DDOS/CC***工具(DDOS-deflate)

3.1 工具介绍

DDoS-Deflate是一款非常小巧的防御和减轻DDoS***的工具，它可以通过监测netstat来跟踪来创建大量互联网连接的IP地址信息，通过APF或IPTABLES禁止或阻档这些非常IP地址。

3.2 安装配置说明

3.2.1 下载软件包

wget http://www.inetbase.com/scripts/ddos/install.sh

 

3.2.2 授权运行

chmod +x install.sh

./install.sh     (默认安装位置为/usr/local/ddos)

 

3.2.3 配置文件

ddos.conf：DDoS-Deflate 的配置文件，其中配置防止ddos时的各种行为

ddos.sh：DDoS-Deflate 的主程序，使用shell编写的，整个程序的功能模块

Ignore.ip.list：白名单，该文件中的ip超过设定的连接数时，也不被 DDoS-Deflate 阻止

LICENSE：DDoS-Deflate 程序的发布协议

 

3.2.4 配置文件修改

此配置的结果为，在检测到同一IP150次以上的请求时，会自动把该IP地址添加到iptables阻止列表里面，生成一条规则

 

3.2.5 验证

为了方便验证，我们把NO_OF_CONNECTIONS=150改为3次；用xshell同时开三个以上的对话框

4. Iptables配置

4.1 配置前准备

         因为CentOS 7 采用的是firewalld防护墙方式；所以我们先要关闭此服务。

                   Systemctlstop firewalld.service

                   Sytemctldisable firewalld.service

        

安装iptables-services服务

清空默认规则并初始化

        

 

 

4.2规则配置        

         默认规则:

                  

         上面的规则意思是INPUT/FORWARD/OUTPUT默认为全部拒绝，；然后再开放想要允许的端口或IP；比较安全

 

         规则设置：

1. 允许192.168.1.0/24网段的主机访问22端口

                           

                  

1. 允许访问web服务

 

 

第一条：允许本机回环接口

第二条：允许已建立的或相关连接通过

第三条：允许本机所有向外的通信

第四条：允许访问80端口

                  

1. 允许本地访问mysql，禁止外部访问

                  

1. 保存规则

Iptables-save> /etc/sysconfig/iptables

 

 

 

5.总结

         此安全配置严格按照生产坏境配置来的，可根据往后的情况进行修改/扩展；在iptables规则上的把控相对严格。需要注意点的一点是因为环境是LNTMP(nginx/tomcat/mysql/php)的，所以需要在iptables规则配置的时候考虑到nginx动静分离到php和tomcat上的端口号。