一、設定啟動服務
安裝完系統后,我們執行#netstat –an,可以看到由于系統默認情況下啟動了許多與網絡相關的服務,因此相對應的開放了許多端口進行LISTENING(監聽)。我們知道,開放的端口越多,系統從外部被入侵的可能也就越大,所以我們要盡量關閉一些不需要的啟動服務,從而盡可能的關閉端口,提供系統的安全性。
這里我直接給出保持系統正常運行的啟動服務,而其他的服務都可以關閉掉。執行#ntsysv,只啟動如下的服務。
二、Netfilter/iptables防火墻設置
#touch /etc/rc.d/firewall #chmod u+x /etc/rc.d/firewall #vi /etc/rc.d/rc.local 寫入一行:/etc/rc.d/firewall |
1、單網卡主機設定
說明:此設定適用于架設了一臺專門提供web服務或者FTP服務的主機。
#首先清除所有的防火墻規則
#!/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin #防止syn flood攻擊 echo "1" > /proc/sys/net/ipv4/tcp_syncookies iptables -F iptables -X iptables –Z |
#然后禁止所有的包
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP |
#允許本地環回設備上的通訊
iptables –A INPUT -i lo -p all -j ACCEPT iptables -A OUTPUT -o lo -p all -j ACCEPT |
#讓已經建立或者是與我們主機有關的回應封包通過
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT |
#允許SSH遠程管理主機
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT |
#對IP碎片數量進行限制,以防止IP碎片攻擊
iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT |
#如果你的主機提供web服務,那么就需要開放80端口
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT |
#設置icmp協議,允許主機執行ping操作,以便對網絡進行測試,但不允許其他主機ping該主機。
iptables –A OUTPUT-p icmp --icmp-type echo-request –j ACCEPT iptables –A INPUT –p icmp --icmp-type echo-reply –j ACCEPT |
通過如上設置,這臺主機只向網絡開放了22,80兩個端口,最大限度的保證了主機的安全。
2、NAT主機的設定
說明:此設定適用于起到NAT網關服務器類型的主機。eth0為外網網卡,eth1為內網網卡。內網網段為192.168.1.0/24
