/**
*注:所有的策略执行,必须由上至下.不可以混乱,否则登录不上去.后果自负.在执行成功并且ping成功后,在关闭不接受所有包的策略
*/
一:配置防火墙策越
@记录到日志:
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1078 -j LOG --log-prefix “SSHOPEN”
1.1078的ping包 将源IP记录到表sshopen中
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1078 -m recent --set --name sshopen --rsource -j ACCEPT
2.查看是超过了指定的ping的次数
iptables -A INPUT -p tcp -m tcp --dport 22 --syn -m recent --name sshopen --rcheck --seconds 60 --hitcount 6 -j DROP
3.检查60秒内的syn包且目标端口22的 源IP地址是否在sshopen表中
iptables -t filter -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --second 60 --name sshopen --hitcount 5 -j ACCEPT
4.1178的ping包 从表sshopen中删除源IP地址
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1178 -m recent --name sshopen --remove -j ACCEPT
5.对已经建立了TCP的链接放行
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
6.拒绝所有数据包进入
iptables -t filter -A INPUT -j DROP
7.查看所有规则列表
iptables -L INPUT --line-numbers
8.删除一条防火墙规则
iptables -D INPUT 2
@配置本地换回地址可以访问
iptables -I INPUT 1 -i lo -j ACCEPT
@配置8080端口对外开放
iptables -I INPUT 2 -p tcp --dport 80 -j ACCEPT
@存储,要不重启丢失
/sbin/service iptables save
/**
*高版本系统可能不支持这种语法,需要使用systemctl进行操作.解决办法如下:
*yum install iptables-services
*systemctl enable iptables
*systemctl [stop|start|restart] iptables
*service iptables save
*这样就可以了
*iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
*/
二:添加组和用户
groupadd mygroup 添加组
useradd -g mygroup userName添加用户
passwd userName给用户设置密码
三:禁用ROOT用户登录
vim /etc/ssh/sshd_confi
//可以用winscp这类的工具修改
PermitRootLogin no 禁止root登录
此处重启后生效
四:通过su - root 切换管理员
五:给用户或组分配权限
root用户 visudo命令编写授权文件
@日志
Defaults logfile=/var/adm/sudo.log
Defaults !syslog
给一个组授权
@%mygroup ALL=(ALL) NOPASSWD:/sbin/shutdown,/sbin/reboot,/bin/cat,/bin/netstat
@userName ALL=(ALL) all //给单独账号授权
六:数据库的安全性
SSH 隧道窗口打开
利用xshell等工具的隧道代理端口,进行登录远程数据库.平时数据库并不对外开放
/**
*注:在ping的时候,他会自带28个字节,所以在设置的时候,需要减去28字节.在进行ping值操作.否则会不通.
*/
扫一扫
1637
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
