明明白白你的Linux服务器――网络篇(3)

九、TCP_wrappers防火墙
linux上一种特殊的防火墙TCP_wrappers防火墙,TCP 封包会先经过所谓的 IP 过滤机制( IP Filtering ),这是 Linux 提供的第一层保护,他可以将你不想要的来源 IP (经由 TCP 封包的 Head 资料)先当掉再说!如果可以通过的话,在就是要通过TCP_wrappers过滤。如果上面两个都通过了,再就根据每个服务访问控制的设定决定客户机能得到不同的权限和信息.TCP_wrappers防火墙主要涉及到两个文件/etc/hosts.allow和/etc/hosts.deny,可作iptables的补充来保护你的Linux安全,比如只允许内网IP访问你的NFS服务器。
这里说下Linux是怎么识别其顺序的,这里好多朋友容易混淆了;当某个ip想访问你的Linux下的特定服务时,系统首先会检查/etc/hosts.alllow文件,如是有的话就放行,没有的话继续检查/etc/hosts.deny文件,有的话拒绝,没有的就放行,不过一般的做法就直接在/etc/hosts.allow里放允许通行的ip,/etc/hosts.deny里放不允许通行的ip。另外,这里跟大家分享一个经验心得吧: Linux下的服务众多,samba,nfs,rsync,tcp_wrapper,xinetd等,而每个又都有各自支持的写法,这样对于考试学习及工作记忆很不方便,其实它们都支持192.168.0.1/255.255.255.0这样的点分十进制写法;另,iptables是不支持的,它只支持192.168.0.1/24比特建网制。
十、推荐下Linux/unix中常用的扫描端口工具-Nmap
下面是Nmap支持的四种最基本的扫描方式:
   
   
   
   
  1. TCP connect()端口扫描(-sT参数,-sP是用于扫描整个局域网段)  
  2. TCP同步(SYN)端口扫描(-sS参数)  
  3. UDP端口扫描(-sU参数)  
  4. TCP ACK扫描(-sA参数) 
我这里以自己的线上邮件服务器为例说明下:
   
   
   
   
  1. [root@mail postfix]# nmap -P0 -sS 211.143.6.X  
  2. Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST  
  3. Interesting ports on 211.143.6.X:  
  4. Not shown: 1668 closed ports  
  5. PORT STATE SERVICE  
  6. 22/tcp open ssh  
  7. 25/tcp open smtp  
  8. 80/tcp open http  
  9. 110/tcp open pop3  
  10. 111/tcp open rpcbind  
  11. 143/tcp open imap  
  12. 443/tcp open https  
  13. 465/tcp open smtps  
  14. 587/tcp open submission  
  15. 993/tcp open imaps  
  16. 995/tcp open pop3s  
  17. 1014/tcp open unknown 
lsof -i:1014,发现又是rpc.statd,这东东,每次用的端口都不一样啊;它不能正确处理SIGPID信号,远程攻击者可利用这个漏洞关闭进程,进行拒绝服务攻击;发现rpc.statd是由服务nfslock开启,关闭它即可service nfslock stop;chkconfig nfslock off
关于网站的安全,我这里也有一些自己的浅见,特与大家共享下:
  1. iptables最好写成脚本形式,想开哪个端口开哪个,想关哪个关哪个,iptables服务都可关闭;可以用crontab每5分钟自动关闭一次iptables,注意别把自己SSH停掉了,毕竟公司离机房还是很远的!
  2. 不定期扫描,发现可疑端口就关闭,实在不太懂就cat /etc/services或google下查找端口。
  3. 多注意连接数和系统性能,有时能从上面发现问题,有条件的话就布置nagois监控服务器。
  4. 建议掌握netcat、hping、nmap、等安全工具及网络分析工具tcpdump或wireshark,配合监测iptables的安全策略。
  5. 多注意自己服务器的内核漏洞,毕竟现在的linux攻击都是内核级的;请至少保证内核为2.6.9以上(不含2.6.9)。
  6. 密切关注防火墙日志/var/log/messages。

你可能感兴趣的:(linux,网络,服务器,职场,休闲)