ubuntu14.04系统加固(3)

最新推荐文章于 2023-04-24 18:22:14 发布
最新推荐文章于 2023-04-24 18:22:14 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: Linux系统安全 文章标签: ubuntu 系统加固 SSH访问控制 禁止icmp重定向 iptables过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lius153/article/details/50997624
版权

说明:因工作需要,特此写本博文,方便以后查阅。如文中有问题之处,望指点,拍砖请轻拍,谢谢合作。
/*****************************************************************************
*加固系统:ubuntu14.04
******************************************************************************/
一、禁止icmp重定向
加固步骤:
1、备份文件:
root@xxx:/# cp -p /etc/sysctl.conf /etc/sysctl.conf.bak
2、执行:
root@xxx:/# vim /etc/sysctl.conf
加上net.ipv4.conf.all.accept_redirects=0
也可以用以下命令修改net.ipv4.conf.all.accept_redirects的值为0
sysctl -w net.ipv4.conf.all.accept_redirects=0
二、主机SSH访问控制(IP限制)
加固步骤:
1、执行备份:
root@xxx:/# cp -p /etc/hosts.allow /etc/hosts.allow.bak
root@xxx:/# cp -p /etc/hosts.deny /etc/hosts.deny.bak
2、编辑/etc/hosts.allow和/etc/hosts.deny两个文件,文件的配置格式为:
Service:host [or network/netmask],host [or network/netmask]
root@xxx:/# vim /etc/hosts.allow
增加一行 service: 允许访问的IP,举例如下:
all:192.168.4.44:allow #允许单个IP访问所有服务进程
sshd:192.168.1.:allow #允许192.168.1的整个网段访问SSH服务进程
root@xxx:/# vim /etc/hosts.deny
增加一行 sshd:all:DENY 当设置了hosts.allow之后hosts.deny不再起作用。
三、配置远程日志保存
加固步骤:
1、执行备份:
root@xxx:/# cp -p /etc/rsyslog.d/50-default.conf /etc/ rsyslog.d/50-default.conf.bak
2、修改50-default.conf文件
root@xxx:/# vim / etc/rsyslog.d/50-default.conf
新增. @192.168.0.1 行,192.168.0.1为远程日志服务器ip
root@xxx:/# /etc/init.d/rsyslog restart
四、使用内置防火墙iptables来过滤流量
加固步骤:
方法一:
1、查看iptables的状态
root@xxx:/# iptables-save
2、增加iptables访问控制策略
root@xxx:/# iptables -A INPUT -p tcp -dport 22 -m state --state NEW -j ACCEPT
root@xxx:/# iptables -A INPUT -m state -state RELATE,ESTABLISTED -j ACCEPT
root@xxx:/# iptables -A INPUT -j DROP
以上策略为只允许远程主机主动访问服务器ssh端口,而服务器可以主动向外访问所有端口。
方法二:
由于加固过程中按照方法一老是会出现问题,参数也比较复杂,下面可以使用一个小工具ufw来调用iptables来设置;
1、启用ufw
root@xxx:/# ufw default deny
root@xxx:/# ufw enable
2、开启/禁用
ufw allow|deny [service]
打开或关闭某个端口,例如:
root@xxx:/# ufw allow smtp #允许所有的外部IP访问本机的25/tcp (smtp)端口
root@xxx:/# ufw allow 22/tcp #允许所有的外部IP访问本机的22/tcp (ssh)端口
root@xxx:/# ufw allow 222 #允许所有的外部IP访问本机的222(tcp/udp)
root@xxx:/# ufw allow 9080 #允许外部访问9080端口(tcp/udp)
root@xxx:/# ufw deny smtp #禁止外部访问smtp服务
root@xxx:/# ufw delete allow smtp #删除上面建立的某条规则
3、查看防火墙状态
root@xxx:/# ufw status
4、关闭ufw
root@xxx:/# ufw disable

感谢博客:http://www.cnblogs.com/ylan2009/articles/2321136.html

Lius153
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu中DenyHosts安装及配置
qq_40907977的博客
11-07 3430
环境 :Ubuntu 16.04 LTS 一、介绍 DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。 到官网下载DenyHosts DenyHosts官网:http://denyhosts.sourceforge.net/ 二、解压并安装 ...
Ubuntuufw 的安装 启动 关闭 重启 禁止主机访问icmp和ftp? 如何禁止主机访问虚拟机上所有端口
宾宾宝宝的博客
11-22 4181
检查是否安装了UFW sudo dpkg --get-selections | grep ufw 显示已经安装 如果没有安装的同学,可以先安装一下 sudo apt-get install ufw 可以查看一下自己的ufw是否运行 sudo ufw status 如果你发现状态是: inactive , 意思是没有被激活或不起作用。 如果要禁用的话,使用命令 sudo ufw disable [–dry–run] 只显示结果而不实际运行 如何启动/关闭/重启ufw 启动防火墙 sudo uf
mysql-ubuntu14.04系统
10-02
mysql-ubuntu14.04系统
Linux的相关命令2(Ubuntu总结)
渣渣馬的博客
07-14 1195
ping的命令 ping [参数] [主机名或IP地址] 参数:-c数目,在发送指定数目的包后停止;-i秒数,设置设置间隔几秒发送一个网络封包给一台机器,预设值是一秒送一次;-s字节数,指定发送数据字节数,预设值56,加上8字节的ICMP头,一共64ICMP数据字节;-t存活数值,设置存活数值TTL的大小。 参数说明: -a(all) 显示说有连接的socket -n拒绝显示别名,能显示数字的全部转换成数字 -t仅列出有在监听的服务状态 -p显示建立相关链接的程序名 -r显示路由信息,路由表 -e显示...
5、Ubuntu20常用操作_进程管理&重定向和管道&常用命令&网络管理&构建web静态服务器nginx
qq1092881420的博客
01-17 1936
人在操作电脑时,其实是和 运行着的程序(术语称之为:进程) 在打交道(术语称之为:交互)。进程 是 看不见 摸不着的,它们是 在 电脑CPU中执行的代码指令。所以,我们 和 进程 交互的时候,必须有个设备,我们才能通过它 输入信息给进程,并且显示进程输出信息。在上世纪六七十年代,计算机网络还没有出现, 计算机都是大型机器,非常的昂贵。通常只有大公司和研究机构才有。那时人们通过终端设备和计算机上的程序进行交互,见下图。注意,终端设备 只有 显示器 和键盘 , 是没有 主机部分的。
Ubuntu设置仅允许特定用户或特定IP通过ssh访问
曹逗号@INHA
01-14 6172
Ubuntu设置仅允许特定用户或特定IP通过ssh访问一. 仅允许特定IP或IP段访问1.1 打开`/etc/hosts.deny`文件,1.2 打开`/etc/hosts.allow`文件二. 仅允许特定用户/IP访问三. 查看系统需要身份确认的操作 一. 仅允许特定IP或IP段访问 1.1 打开/etc/hosts.deny文件, # 打开/etc/hosts.deny文件, root@root:/user# sudo vim /etc/hosts.deny 添加下图示代码。 sshg:ALL 1
Ubuntu设置仅允许某些IP或用户登录系统和访问Samba
u013463707的专栏
09-09 2649
一、仅允许特定用户通过ssh登录 sudo vi /etc/ssh/sshd_config 空白处添加 #如果仅允许用户,不限制IP AllowUsers ubuntu #仅允许特定用户特定IP AllowUsers ubuntu@10.138.20.21 保存退出后执行 sudo service ssh restart 二、限制IP、IP段登录 sudo vi /etc/hosts.deny 添加 sshd:ALL 先禁止所有IP登录 sudo vi /etc/hosts.allo
ubuntu 服务器安全加固的20条方案
All of my life is programming!
04-24 2590
Linux ubuntu 服务器安全加固的 20 条方案。可以简单有效的提升服务器的安全级别。
hosts.allow 跟 hosts.deny 文件
Anonymous-1
11-03 1044
文件优先级: 先 deny,后 allow,如有冲突则按 allow 文件内的规则处理 hosts.allow 文件 hosts.allow 文件内的内容为允许服务列表 默认路径:/etc/hosts.allow 格式:服务名 + IP + allow sshd:all:allow # 允许所有主机 sshd:192.168.1.:allow # 允许 1.X 的所有主机 sshd:192.168.1.*:allow # 允许 1.X 的所有主机 sshd:192.16
vscode_for_ubuntu14.04.zip
05-15
Ubuntu 14.04系统下能用的vscode客户端(新版本在启动时无响应,且无法打开终端),版本号:code_1.42.1-1581432938_amd64.deb 使用方法:解压后执行sudo dpkg -i code*
Ubuntu14.04离线安装ssh所需安装包deb
12-04
sudo dpkg -i openssh-client_6.6p1-2ubuntu1_amd64.deb sudo dpkg -i openssh-sftp-server_6.6p1-2ubuntu1_amd64.deb sudo dpkg -i libck-connector0_0.4.5-3.1ubuntu2_amd64.deb sudo dpkg -i openssh-server_6.6...
Ubuntu14.04离线安装NFS方法和安装包
03-31
Ubuntu14.04离线安装NFS方法,这里面是需要的安装包,还有安装的手册,注意这个是Ubuntu14.04的安装包。
ubuntu14.04-百度网盘分享下载
05-20
复制文件内百度网盘分享地址ubuntu-14.04-desktop-amd64.iso
Ubuntu中修改hosts配置
程龙的博客
06-17 4938
最近在使用ubuntu开发,难免需要配置hosts,下面介绍以下使用命令进行配置的操作流程。 Ubuntu系统的Hosts只需修改/etc/hosts文件,修改完之后要重启网络。 ubuntu下配置host的方法:打开终端输入命令: sudo vim /etc/hosts 在vim中进入插入模式(需要点击insert按键),插入要配置的host地址, 模仿已有的配置,比如 0.0.0.0 account.jetbrains.com 空格前为IP地址,后边为域名解析 按ESC键,调至命令模式
Linux安全配置步骤简述
02-24 1392
一、磁盘分区1、如果是新安装系统,对磁盘分区应考虑安全性:  1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;  2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;    方法一:修改/
Linux设置防火墙允许icmp,设置Windows防火墙以允许被ICMP Ping(两种配置方式)
weixin_30325875的博客
05-13 1116
背景与目的Ping测试常被用于测试网络中两台主机之间是否互相连通,但是,大多数Windows操作系统(包括桌面版和服务器版)默认都是只允许ping其他主机而不允许其他主机ping自己。下面演示如何在Windows系统上开启基于ICMPv4协议的Ping.操作环境服务器1(进行防火墙配置的主机,使用图形化界面进行配置):操作系统:Windows 7专业版 64位 Service Pack 1, IP...
icmp的回送和回送响应消息_第3篇:Linux防火墙-firewalld与ICMP控制
weixin_39630744的博客
11-24 512
我们上一篇通过一个网络拓扑展示了rich规则配置的技术细节,并且我们用rich规则也配置了如何简单地阻止不可信的网络对防火墙的骚扰。我们本篇会深入讨论firewalld对icmp的配置ICMP协议简介互联网控制消息协议(ICMP)是各种网络设备用来发送错误消息和操作信息的支持协议,所述错误消息和操作信息指示连接问题,例如,所请求的服务不可用。ICMP不同于TCP和UDP等传输协议,因为它不用于在系...
linux禁止icmp重定向,ICMP重定向报文导致的问题与分析
weixin_42503223的博客
05-14 1614
前段时间, 业务方反馈集群内有一台服务器慢请求(>1s)记录比其他台多一倍。查找了下原因,发现这台服务器的网关配置成同网段内其他服务器IP上了,导致ICMP重定向发生,后面将路由更正后,慢请求缓解很多了。 便于分析,画了个简单拓扑图如下所示:过程分析如下:1). server2如果要与internet通讯,首先是要把报文发送给server1的,因为server2的网关指向server1的。2...
ubuntu14.04 系统加固(1)
Lius的博客
03-25 4324
**系统加固ubuntu14.04** 一、密码口令复杂度设置;二、禁止使用旧密码;三、密码口令生存周期;四、设置登录超时
ubuntu 14.04
最新发布
10-24
Ubuntu 14.04是一款基于Linux的操作系统,也是Ubuntu的一个长期支持版本。它于2014年4月发布,支持周期为5年,即到2019年4月。Ubuntu 14.04提供了许多新功能和改进,包括更好的应用程序集成、更好的文件管理器、更好...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值