linux安全调整

1.修改linux密码 

echo 用户名:密码 | chpasswd


2.iptables 开启ftp的被动模式

开启被动模式FTP支持:

在/etc/sysconfig/iptables-config里面添加ip_nat_ftp、ip_conntrack_ftp模块,如下:

vim /etc/sysconfig/iptables-config

IPTABLES_MODULES="ip_nat_ftp"

IPTABLES_MODULES="ip_conntrack_ftp"

然后重启iptables或者执行如下命令:

lsmod | grep ftp (查看是否加载ftp模块)

modprobe ip_nat_ftp(加载ftp模块)

lsmod | grep ftp (查看模块是否被加载)

之后只需要添加规则

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT


3.iptables 命令的使用

linux下iptables防止syn ddos ping 等攻击 


配置防火墙防止syn,ddos攻击 

[root@m176com ~]# vim /etc/sysconfig/iptables 

在iptables中加入下面几行 

#anti syn,ddos 

-A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT 

-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 

-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 

说明: 

第一行:每秒中最多允许5个新连接 

第二行:防止各种端口扫描 

第三行:Ping洪水攻击(Ping of Death) 

可以根据需要调整或关闭 

重启防火墙 

[root@m176com ~]# /etc/init.d/iptables restart 

屏蔽一个IP 

# iptables -I INPUT -s 192.168.0.1 -j DROP 



4.linux 禁用linux ping

如果你想让你的Linux 服务器不响应ping:


echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all


这样就可以了。同样:


echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all


就响应ping 包。


但如果你重起机器,设置就会失效,所以你必须把


echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 这句话添加到/etc/rc.local 里,以便启动时自动生效。


iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP


解除设置方法(即删除本规则)


iptables -D INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP


你可能感兴趣的:(linux,安全调整)