深入分析Linux防火墙

• 
  (2)整个一类的IP地址范围，比如：192.168.152.0/255.255.255.0—它表示从192.168.152.0到192.168.152.255范围内的地址。
  
  (3)主机名，比如：blue。
  
  (4)完整的域名，比如：blue.cdors.org。
  
  (5)某个IP地址范围，要使用IP地址和网络屏蔽码（netmask）认真地构造之。

  我们这个示例的目标是只允许从三台特定的机器上接入远程登录服务，它们的IP地址是192.156.12.1到192.156.12.3。表示这个地址范围的IP地址和网络屏蔽码组合是192.156.12.1/255.255.255.252。现在用户的规则语句看起来应该是这个样子的： ipchains-Ainput-s192.156.12.1/255.255.255.252还是不能按回车键，你还有事情要做。

  除了来自这三台机器以外，还可以继续细化，告诉ipchains程序允许通过防火墙进入的接收程序必须要使用哪一种协议。用户可以使用-p（protocol，协议）标志。远程登录进程使用的是TCP协议。现在这条规则看起来像是：ipchains- Ainput-s192.156.12.1/255.255.255.252-pTCP还是不要按回车键。

  围绕某个特定的协议建立一条规则的选择太多了，但是用户可以为你选定的进程指定其端口（port）来细化那条规则。用户可以把端口的名称加到规则的末尾，也可以用一个冒号引导该端口的端口号。从/etc/services文件中可以查到任何网络服务所使用的端口号。现在这条规则看起来是下列这两行文字中的某个样子：

  ipchains-Ainput-s192.156.12.1/255.255.255.252-pTCP:23ALLOW
  
  ipchains-Ainput-s192.156.12.1/255.255.255.252-pTCPTelnetALLOW

  现在可以按下回车键了。用户在确实屏蔽了其他接入类型之前，这条规则实际上还是没有什么用处的。最好的解决方法(因为我们的目的是为用户所有希望允许的东西建立规则)是使用-P（policy）标志（注意是大写字母）屏蔽所有的输入，然后ipchains就会去检查特定的规则看看到底什么才能被允许进入。这样的一个策略语句如下所示：ipchains-PinputDENY

  在重启动/关机之前保存数据包过滤规则：没有哪个配置文件是用来自动保存数据包过滤规则供你下次启动机器的时候使用的。因此，选择某种方法自己来完成这项工作就十分重要，否则下一次你就还得从头一点一滴地重新写出所有的规则。下面介绍一个保存数据包过滤规则的方法：先以root身份登录进入系统，再使用ipchains-save脚本程序把用户已经编写好的规则设置保存到一个文件中去，比如/root/ipchains-settings文件。输入“ipchains-save>/root/ipchains-settings”。

  
  开机引导后恢复数据包过滤规则：用户在计算机重启动之后，必须恢复数据包过滤规则。请按照下面的方法完成这项任务：先以root身份登录进入系统，再使用ipchains-restore脚本程序在某个文件中检索用户已经编写好的规则，比如从文件/root/ipchains-settings 中恢复数据包过滤规则。如下所示，输入“ipchains-restore<>

  如果要想实现代理防火墙功能，需要安装能够控制用户从某个网络的外部可以使用和不可以使用什么样的网络服务功能的软件。代理防火墙不允许有任何连接接入到它后面的机器上（当然也不是绝对的），不存在任何数据包过滤的效果，从接入连接的角度考虑，它就是一堵密不透风的砖墙。可以如下设置：

  首先在/etc/inetd.conf文件中禁用任何你不打算使用的服务功能，方法是把它们改为注释语句（即在那些语句开头加上一个#符号）。任何一种服务都会为试图进入系统的那些人多打开一条通路，因此应该只使用你确实需要的服务。

  接着编辑/etc/issue.net文件，删除其中关于在你的机器上运行的特定硬件和Linux发行版本的介绍信息。这些信息会在诸如Telnet之类的远程登录任务操作过程中显示在登录端的屏幕上。如果他们对屏幕上显示的安装方式熟悉的话，任何暴露了你机器上这些特殊信息的东西都会使那些试图闯入的人们了解应该去攻击哪些薄弱环节（如Sendmail8.7-8.8.2 for Linux这个漏洞）。

  再接着把某些特殊的用户们分配到console用户组中，这样就是这帮人实际坐在服务器计算机前面时确实可以执行命令，但同时要禁止任何其他人调用这些命令。举例来说，如果需要强调安全性，那就应该只允许console用户组的成员可以挂装磁盘。

  然后查看/etc/securetty文件，确定其中列出的设备都是真实存在的物理ttys（比如tty1到tty8）端口。这个文件限制了人们能够以根用户身份登录进入系统的位置。允许任何远端用户以根用户身份登录进入系统是极其危险的，因为这样做就为潜在的侵入者缩短了侵入超级用户帐户的过程。

  最后是最好不设匿名帐户或来宾帐户（anonymouse & guest）如果一定要设，请在/etc/passwd中将其shell设为/bin/failure，使其不能访问任何shell。（注意：Linux 中是设为/bin/false）。打开chroot（如chroot -s）,使其访问的文件限定在一定目录下。一定要保证在FTP服务器上唯一允许匿名用户进行写入操作的部分是/incoming目录。列出成功登录的记录清单如果想查看都有哪些人最近成功地登录进入了系统，可以使用last命令。如果想列出比缺省数目更多的记录，可以使用格式“last -nnumber”告诉last命令需要显示多少登录记录。如果这个命令执行失败，说明登录操作还没有被记录下来。为了确保它们能够被记录下来，请以根用户身份执行“toUCh/sar/log/wtmp”命令来建立日志记录文件。列出不成功登录的记录清单如果想查看都有哪些人最近没有成功地登录进入系统，可以使用lastb命令。和last命令相类似，如果你想列出比缺省数目更多的不成功尝试记录的话，可以使用“lastb -nnumber”格式。如果这个命令执行失败，说明不成功登录操作还没有被记录下来。为了确保它们能够被记录下来，请以根用户身份执行 “touch/var/log/BTmp”命令来建立日志记录文件。

  如果安全出现了漏洞，或者你认为已经出现了漏洞的话，就可以抓住这个机会从系统登录记录或者其他地方查找蛛丝马迹。系统会记录下每一次成功的登录操作和不成功的登录尝试操作。特别是那个“列出不成功的尝试登录记录清单”，它能够让你很快地查找出是否有人在千方百计地获取根用户权限或者猜试某个用户的口令字。

  
  

• 上一页 [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 深入分析Linux防火墙 相关文章：
• ·深度技术 GHOSTXP V6.0装机个人版
• ·深入了解计算机端口
• ·中国商人必胜宝典：各地商人性格深度剖析
• ·深入浅出.NET泛型编程
• ·此男子深爱莫女子_FlashQQ空间模块
• ·女性必看！太经典了，我深有体会
• ·深入浅出 详谈防火墙的分类与应用
• ·删除隐藏在Win XP系统深处的组件
• ·由浅入深学习MSConfig命令的使用方法
• ·深思3的狗加密的软件
• 深入分析Linux防火墙 相关软件
• ·深山红叶PE工具箱 嫦娥一号纪念版 V30 正式版
• ·深山红叶袖珍PE光盘工具箱 熊猫烧香版
• ·同花顺深度行情系统(level-2)软件 V4.40.11
• ·深度GHOST工具箱 V4.0
• ·深海探密
• ·盟军敢死队深入敌后
• ·STV-深蓝卫星网络电视V4.84 Build 909
• ·穿越（一个发人深省的启示故事）
• ·深圳，谁抛弃了你？
• ·深田恭子1-1

上一篇:动态iptables防火墙dynfw

下一篇:Linux磁盘配额管理

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐