基本说明:通过iptables,仅开放必要的IP访问vos服务器。首次使用vos3000客户端登录服务器,需要先通过web方式访问vos服务器,输入正确密码,则将IP加入白名单,然后使用客户端登录。
1.上传安装包vossafe到/root目录,执行下面命令
setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
yum clean all
yum makecache
yum remove -y php php-pdo httpd
yum install -y php php-pdo httpd crontabs unzip
unzip vossafe.zip
cd vossafe
mv * /var/www/html/
chmod -R 777 /var/www/html/
chmod 644 /etc/httpd/conf/httpd.conf
sed -i "s/Listen 80/Listen 9090/" /etc/httpd/conf/httpd.conf
2.新增/etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
3.普通用提权,/etc/sudoers新增内容
%apache ALL=(ALL) NOPASSWD:/sbin/iptables
4.增加定时任务
echo -e "01 01 * * * /etc/init.d/iptables restart" >> /var/spool/cron/root
5.设置服务自动
chkconfig httpd on
chkconfig iptables on
service iptables restart
service httpd restart
service iptables status
6.浏览器访问http://ip:9090
默认防护密码:admin@1234
可以选则修改默认密码,/var/www/html/index.php
<?php
$o_pass="admin@1234"; //防护密码
$ip=$_SERVER["REMOTE_ADDR"];
if($_REQUEST["password"]===$o_pass){
system("sudo /sbin/iptables -I INPUT -s $ip -j ACCEPT"."\n");
echo "<script language=javascript>window.location.href='https://www.baidu.com/';</script>";
exit;
}
else if(empty($_REQUEST["password"])){
echo "";
}
else echo "<script>alert('密码错误,请不要恶意输入密码,否则你的机器将被锁定!')</script>";
?>
服务器查看iptables规则,新增了1条记录
然后可用使用vos3000客户端登录