安全
管理linux服务器10年经验总结的一个linux iptables 防火墙。 除了测试服务器,接入internet的linux服务器都应该打开iptables防火墙。 vi /etc/sysconfig/iptables # created by dayu@veryi.com *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :LOG_ACCEPT – [0:0] :LOG_DROP – [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p udp -m udp –dport 53 -j ACCEPT -A INPUT -p tcp –dport [...]
完全开放ssh端口以后,就会引来一些无聊的人进行口令扫描。阻止ssh扫描可以减少安全日志的记录。DenyHosts是一个有效的方法。DenyHosts是Python语言写的一个程序,它会分析SSHD的日志文件,当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽IP的功能。 DenyHosts官方网站为: http://denyhosts.sourceforge.net 如果没有python运行环境,需要先安装python wget http://www.python.org/ftp/python/2.5.2/Python-2.5.2.tar.bz2 tar zxf Python-2.5.2.tar.gz cd Python-2.5.2 ./configure –prefix=/usr/local make -j6 && make install cd /usr/local/src wget http://mesh.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6.tar.gz tar -zxf DenyHosts-2.6.tar.gz -C /usr/local/src/ cd /usr/local/src/DenyHosts-2.6 python setup.py install 默认是安装到/usr/share/denyhosts目录的。 配置 cd /usr/share/denyhosts/ cp denyhosts.cfg-dist denyhosts.cfg vi denyhosts.cfg 根据自己需要进行相应的配置(解释见下文件的配置文件)。 设置启动脚本 cp daemon-control-dist daemon-control chown root daemon-control chmod 700 daemon-control 如果要使DenyHosts每次重起后自动启动还需做如下设置: cd /etc/init.d [...]
近期评论