nginx+fail2ban+iptables 服务器安全设置

iptables设置
1.操作系统为centos7.2,默认firewalld防火墙,为了后续方便,需禁用firewalld启用iptables
2.#先检查是否安装了iptables
service iptables status
#安装iptables
yum install -y iptables
#升级iptables(安装的最新版本则不需要)
yum update iptables
#安装iptables-services
yum install iptables-services
3、禁用/停止自带的firewalld服务
#停止firewalld服务
systemctl stop firewalld
#禁用firewalld服务
systemctl mask firewall
4.设置规则
#查看iptables现有规则
iptables -L -n
#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT
#清空所有默认规则
iptables -F
#清空所有自定义规则
iptables -X
#所有计数器归0
iptables -Z
#允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT
#开放22端口
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#开放21端口(FTP)
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
#开放80端口(HTTP)
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#开放443端口(HTTPS)
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
#允许ping
iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT
#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#其他入站一律丢弃
iptables -P INPUT DROP
#所有出站一律绿灯
iptables -P OUTPUT ACCEPT
#所有转发一律丢弃
iptables -P FORWARD DROP
#要封停一个IP,使用下面这条命令:
iptables -I INPUT -s ... -j DROP
#要解封一个IP,使用下面这条命令:
iptables -D INPUT -s ... -j DROP
7.保存设定
service iptables save
8.开启iptables服务
#注册iptables服务
#相当于以前的chkconfig iptables on
systemctl enable iptables.service
#开启服务
systemctl start iptables.service
#查看状态
systemctl status iptables.service
#至此iptables简单配置已完成

mysql设置
1.建立普通用户授予权限
host最好为你需要连接mysql的ip,设为%表示所有ip都可以连接mysql,不安全
CREATE USER ‘username’@’host’ IDENTIFIED BY ‘password’;
privileges 为SELECT,INSERT等
GRANT privileges ON databasename.tablename TO ‘username’@’host’

nginx配置
1.http中加入
#安全配置
## 这里取得原始用户的IP地址
map http_x_forwarded_forclientRealIp {
“” remoteaddr; (?P[09.]+),?. $firstAddr;
}

## 针对原始用户 IP 地址做限制
#limit_conn_zone $clientRealIp zone=TotalConnLimitZone:20m ;
limit_conn_zone $clientRealIp zone=conn_sym:10m;
#limit_conn  conn_sym  50;
limit_conn_log_level notice;

## 针对原始用户 IP 地址做限制
#limit_req_zone $clientRealIp zone=ConnLimitZone:20m  rate=10r/s;
limit_req_zone $clientRealIp zone=sym:10m rate=5r/s;
limit_req_log_level notice;

server中加入
location / {
limit_req zone=sym burst=5;
limit_conn conn_sym 10;
limit_rate 500k;
}
具体参数详情可以参考:
http://michaelkang.blog.51cto.com/1553154/1257476

fail2ban配置
由于个人计算机关闭了22端口,以及没有部署很多服务,列如邮箱,proftp等,所以只是简单了启用了nginx和mysql的监控

[http-get-dos]
enabled = true
port = http,https
filter = nginx-bansniffer
logpath = /home/sitelogs/access.log
maxretry = 20
findtime = 60
bantime = 3600
action = iptables[name=HTTP,port=http,protocol=tcp]

然后在filter.d目录里新建nginx-bansniffer.conf文件,加入:

[Definition]
failregex = <HOST> -.*- .*HTTP/1.* 404 .*$
ignoreregex =

重启fail2ban,systemctl restart fail2ban,service

具体可参考
http://blog.chinaunix.net/uid-17238776-id-5004781.html

展开阅读全文

没有更多推荐了,返回首页