网络安全



1、防止入侵者对主机进行ping探测，可以禁止Linux主机对ICMP包的回应
 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
 回复回应
 echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

 iptables 防火墙上禁止ICMP应答

2、服务端口
 关闭不必要的端口，时常检查网络端口情况
 nmap  可以扫描端口
 /usr/bin/nmap -sS -O -PT 127.0.0.1
 
 阻止对主机端口的扫描
 关闭不必要的服务和端口
 为网络服务指定非标准的端口
 开启防火墙，只允许授权用户访问相应的服务端口
 
3、拒绝攻击
 消耗服务器可用资源的攻击方式
 main()
 {
  while(1)
  fork();
 }
 
 限制用户资源使用 /etc/security/limits.conf
 
 软限制只是警告限制，超过了该值后系统会发出警告
 硬限制是实际的限制
 可以执行ulimit查看自己的资源限制情况
 ulimit -a

4、使用安全的网络服务
 telnet\ftp\pop\rsh\rlogin等传统的网络服务程序在本质上是不安全的，因为这些服务在网络上都是明文传送密码和数据，攻击者只要使用sniffer等工具就可以容易的截取口令
 也容易受到“中间人”攻击（man in the middle）

5、增强Xinetd的安全
 Xinetd是一个传统的网络守护进程，可以同时监听多个指定的端口，在接收用户的请求时，依据用户请求端口的不同，启动相应的网络服务进程来响应用户请求
 Xinetd被称为超级服务器，像telnet\rlogin\rsh\rcp\tftp等网络服务就是通过它启动
 为了减少系统潜在的漏洞，应该关闭xinetd中无用的网络服务