基于linux 如何保证服务访问安全 - 策略与建议
- 具体的实现方案会陆续更新
策略:
1: 使用统一的ssh登陆地址IP 112.112.112.112(假如这是办公室网络)
外网登陆使用vpn统一登陆访问服务器资源
# 使用方法 允许通过
vim /etc/hosts.allow
# 添加
sshd:112.112.112.112:allow
# 禁止通过
vim /etc/hosts.deny
# 添加
sshd:ALL
2: 禁止扫描 (禁止ping扫描 、 与tcp/udp/SYN扫描限制)
防止黑客扫描和嗅探服务器,以及对端口的攻击
#####firewalld
//限制icmp的所有流量
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
##### 用iptables 实现限流
----iptables 实现 yum install iptables-service
Syn 洪水攻击 限制syn并发数每秒1次
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s
限制端口扫描的流量
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST