科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道深入分析Linux防火墙(5)

深入分析Linux防火墙(5)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

关于网络安全的研究分析中,防火墙(Firewall)是被经常强调的重点,它基本功能是过滤并可能阻挡本地网络或者网络的某个部分与Internet之间的数据传送(数据包)。

作者:51CTO.COM 2007年11月12日

关键字: 防火墙 Netfilter iptables Linux

  • 评论
  • 分享微博
  • 分享邮件

首先在/etc/inetd.conf文件中禁用任何你不打算使用的服务功能,方法是把它们改为注释语句(即在那些语句开头加上一个#符号)。任何一种服务都会为试图进入系统的那些人多打开一条通路,因此应该只使用你确实需要的服务。

接着编辑/etc/issue.net文件,删除其中关于在你的机器上运行的特定硬件和Linux发行版本的介绍信息。这些信息会在诸如Telnet之类的远程登录任务操作过程中显示在登录端的屏幕上。如果他们对屏幕上显示的安装方式熟悉的话,任何暴露了你机器上这些特殊信息的东西都会使那些试图闯入的人们了解应该去攻击哪些薄弱环节(如Sendmail8.7-8.8.2 for Linux这个漏洞)。

再接着把某些特殊的用户们分配到console用户组中,这样就是这帮人实际坐在服务器计算机前面时确实可以执行命令,但同时要禁止任何其他人调用这些命令。举例来说,如果需要强调安全性,那就应该只允许console用户组的成员可以挂装磁盘。

然后查看/etc/securetty文件,确定其中列出的设备都是真实存在的物理ttys(比如tty1到tty8)端口。这个文件限制了人们能够以根用户身份登录进入系统的位置。允许任何远端用户以根用户身份登录进入系统是极其危险的,因为这样做就为潜在的侵入者缩短了侵入超级用户帐户的过程。

最后是最好不设匿名帐户或来宾帐户(anonymouse & guest)如果一定要设,请在/etc/passwd中将其shell设为/bin/failure,使其不能访问任何shell。(注意:Linux 中是设为/bin/false)。打开chroot(如chroot -s),使其访问的文件限定在一定目录下。一定要保证在FTP服务器上唯一允许匿名用户进行写入操作的部分是/incoming目录。列出成功登录的记录清单如果想查看都有哪些人最近成功地登录进入了系统,可以使用last命令。如果想列出比缺省数目更多的记录,可以使用格式“last -nnumber”告诉last命令需要显示多少登录记录。如果这个命令执行失败,说明登录操作还没有被记录下来。为了确保它们能够被记录下来,请以根用户身份执行“touch/sar/log/wtmp”命令来建立日志记录文件。列出不成功登录的记录清单如果想查看都有哪些人最近没有成功地登录进入系统,可以使用lastb命令。和last命令相类似,如果你想列出比缺省数目更多的不成功尝试记录的话,可以使用“lastb -nnumber”格式。如果这个命令执行失败,说明不成功登录操作还没有被记录下来。为了确保它们能够被记录下来,请以根用户身份执行 “touch/var/log/btmp”命令来建立日志记录文件。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章