發表評論 衆所周知,Linux可以通過編寫iptables規則對進出Linux主機的數據包進行過濾等操作,在一定程度上可以提升Linux主機的安全性,在新 版本內核中,新增了recent模塊,該模塊可以根據源地址、目的地址統計最近一段時間內經過本機的數據包的情況,並根據相應的規則作出相應的決策,詳 見:http://snowman.net/projects/ipt_recent/
1、通過recent模塊可以防止窮舉猜測Linux主機用戶口令,通常可以通過iptables限制只允許某些網段和主機連接Linux機器的 22/TCP端口,如果管理員IP地址經常變化,此時iptables就很難適用這樣的環境了。通過使用recent模塊,使用下面這兩條規則即可解決問 題:
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
應用該規則後,如果某IP地址在一分鐘之內對Linux主機22/TCP端口新發起的連接超過4次,之後的新發起的連接將被丟棄。
2、通過recent模塊可以防止端口掃描。
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP
應用該規則後,如果某個IP地址對非Linux主機允許的端口發起連接,並且一分鐘內超過20次,則系統將中斷該主機與本機的連接。
詳細配置如下:
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [458:123843]
-A INPUT -i lo -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP
COMMIT
以上配置說明,本機開放可供服務的端口有22/TCP(有連接頻率限制),53/TCP/UDP, 80/TCP, 443/TCP,所有發往本機的其他ip報文則認爲是端口掃描,如果一分鐘之內超過20次,則封禁該主機,***停止一分鐘以上自動解封。
在這只是取個拋磚引玉的作用,通過recent模塊還可以實現很多更復雜的功能,例如:22/TCP端口對所有主機都是關閉的,通過順序訪問23/TCP 24/TCP 25/TCP之後,22/TCP端口就對你一個IP地址開放等等。
巧用Recent模塊加固Linux安全
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
交換機級聯端口變化 引發無法上網故障
千年小道
2019-02-24 13:06:21
去除Windows XP管理員密碼
twt5566
2019-02-23 13:31:06
課程總結--NFS服務器安裝
雨鑫慌雨
2019-02-23 13:24:38
擴 展 I P 地 址
wpgs
2019-02-23 14:05:20
網絡打印機的一般故障
zhongqijian916
2019-02-23 13:54:50
CACTI 仙人掌監控平臺
夢與時光眠
2019-02-23 13:51:55
路由器 交換機的telnet登陸
與誰爭鋒
2019-02-23 13:41:55
Linux系統用setup菜單工具設置IP地址
zyos
2019-02-23 13:39:28
使用Cisco Packet Tracer之小企業的實際工程案例
聽雷
2019-02-23 13:34:13
iptables的概述及應用(一)
shang61511
2019-02-23 14:04:46
在RedHat5中實現透明代理
hkb178149081
2019-02-23 13:53:01
iptables的詳細介紹及配置方法
qinyihao
2019-02-23 13:29:34
linux iptables dnat
loip125
2019-02-23 13:29:06