九、TCP_wrappers防火墙

linux上一种特殊的防火墙TCP_wrappers防火墙,TCP 封包会先经过所谓的 IP 过滤机制( IP Filtering ),这是 Linux 提供的第一层保护,他可以将你不想要的来源 IP (经由 TCP 封包的 Head 资料)先当掉再说!如果可以通过的话,在就是要通过TCP_wrappers过滤。如果上面两个都通过了,再就根据每个服务访问控制的设定决定客户机能得到不同的权限和信息.TCP_wrappers防火墙主要涉及到两个文件/etc/hosts.allow和/etc/hosts.deny,可作iptables的补充来保护你的Linux安全,比如只允许内网IP访问你的NFS服务器。

这里说下Linux是怎么识别其顺序的,这里好多朋友容易混淆了;当某个ip想访问你的Linux下的特定服务时,系统首先会检查/etc/hosts.alllow文件,如是有的话就放行,没有的话继续检查/etc/hosts.deny文件,有的话拒绝,没有的就放行,不过一般的做法就直接在/etc/hosts.allow里放允许通行的ip,/etc/hosts.deny里放不允许通行的ip。另外,这里跟大家分享一个经验心得吧: Linux下的服务众多,samba,nfs,rsync,tcp_wrapper,xinetd等,而每个又都有各自支持的写法,这样对于考试学习及工作记忆很不方便,其实它们都支持192.168.0.1/255.255.255.0这样的点分十进制写法;另,iptables是不支持的,它只支持192.168.0.1/24比特建网制。

十、推荐下Linux/unix中常用的扫描端口工具-Nmap

下面是Nmap支持的四种最基本的扫描方式:

  1. TCP connect()端口扫描-sT参数,-sP是用于扫描整个局域网段)  
  2. TCP同步SYN)端口扫描-sS参数)  
  3. UDP端口扫描-sU参数)  
  4. TCP ACK扫描-sA参数) 

我这里以自己的线上邮件服务器为例说明下:

  1. [root@mail postfix]# nmap -P0 -sS 211.143.6.X  
  2. Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST  
  3. Interesting ports on 211.143.6.X:  
  4. Not shown: 1668 closed ports  
  5. PORT STATE SERVICE  
  6. 22/tcp open ssh  
  7. 25/tcp open smtp  
  8. 80/tcp open http  
  9. 110/tcp open pop3  
  10. 111/tcp open rpcbind  
  11. 143/tcp open imap  
  12. 443/tcp open https  
  13. 465/tcp open smtps  
  14. 587/tcp open submission  
  15. 993/tcp open imaps  
  16. 995/tcp open pop3s  
  17. 1014/tcp open unknown 

lsof -i:1014,发现又是rpc.statd,这东东,每次用的端口都不一样啊;它不能正确处理SIGPID信号,远程攻击者可利用这个漏洞关闭进程,进行拒绝服务攻击;发现rpc.statd是由服务nfslock开启,关闭它即可service nfslock stop;chkconfig nfslock off

关于网站的安全,我这里也有一些自己的浅见,特与大家共享下:

51CTO.com独家特稿,合作站点转载请注明原文译者和出处。】


共4页: 上一页1234下一页

相关内容