Linux服务器安全篇
临时iptables、selinux
创新互联建站主要业务有网站营销策划、网站建设、网站制作、微信公众号开发、微信平台小程序开发、HTML5建站、程序开发等业务。一次合作终身朋友,是我们奉行的宗旨;我们不仅仅把客户当客户,还把客户视为我们的合作伙伴,在开展业务的过程中,公司还积累了丰富的行业经验、全网整合营销推广资源和合作伙伴关系资源,并逐渐建立起规范的客户服务和保障体系。
service iptables stop
setenforce 0
永久关闭iptables、selinux
chkconfig iptables off
sed -i 'SELINUX=/enforcing/disabled' /etc/selinux/config
iptables
不存在/etc/sysconfig/iptables文件
#iptables -P OUTPUT ACCEPT
#service iptables save
# iptables -F 清除预设表filter中的所有规则链的规则
# iptables -X 清除预设表filter中使用者自定链中的规则
nmap可以扫描一个服务器的端口
yum install -y nmap
命令格式#nmap ip
netfilter/iptables,类似于ipvs和LVS的关系
iptables的规则链分为三种:输入,转发,输出
配置规则/etc/sysconfig/iptables
:fliter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
这三个冒号优先级最低。ACCEPT默认全部通过,防火墙形同虚设,三种模式:
1、全部ACCEPT
2、全部DROP,只有新加的指定的可以ACCEPT
3、INPUT设为DROP,只有指定的可以进来,OUTPUT设为ACCEPT,默认都可以出去
-A INPUT -m state --state ESTABLISHED.RELATED -j ACCEPT
命令为iptables -A INPUT -p tcp --dport 80 -j ACCEPT
禁止一个IP访问,加入-A INPUT -S 192.168.1.1 -j DROP
#-A INPUT -j REJECT(丢弃) --reject-with icmp-host-prohibited(icmp禁止返回信息)
意为除了上面的INPUT链生效其他的和下面的链都会禁止,优先级比上面的三个冒号优先级高
#-A OUTPUT -j REJECT(丢弃) --reject-with icmp-host-prohibited(icmp禁止返回信息)
#iptables --list 看哪些服务能过防火墙
本机端口转发用nat表,中的prerouting链
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -d 192.168.2.102 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.103:8080
iptables -t nat -A OUTPUT -d 192.168.2.1 -p tcp --dport 80 -j REDIRECT --to-port 8080
(-t是选表,prerouting是nat表里的一个链)
允许yum
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 10000:65535 -j ACCEPT
/etc/rc.d/init.d/iptables save
service iptables restart
允许ping
-A INPUT -p icmp -j ACCEPT
分享文章:Linux服务器安全篇
本文来源:http://cdiso.cn/article/pjecgp.html