巧用Recent模块加固Linux安全

最新推荐文章于 2022-01-14 19:22:32 发布
最新推荐文章于 2022-01-14 19:22:32 发布
阅读量88 收藏
点赞数
文章标签: 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34247155/article/details/85142757
版权
众所周知,Linux可以通过编写iptables规则对进出Linux主机的数据包进行过滤等操作,在一定程度上可以提升Linux主机的安全性,在新版本内核中,新增了recent模块,该模块可以根据源地址、目的地址统计最近一段时间内经过本机的数据包的情况,并根据相应的规则作出相应的决策,
 
1、通过recent模块可以防止穷举猜测Linux主机用户口令,通常可以通过iptables限制只允许某些网段和主机连接Linux机器的 22/TCP端口,如果管理员IP地址经常变化,此时iptables就很难适用这样的环境了。通过使用recent模块,使用下面这两条规则即可解决问题:
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
应用该规则后,如果某IP地址在一分钟之内对Linux主机22/TCP端口新发起的连接超过4次,之后的新发起的连接将被丢弃。
 
2、通过recent模块可以防止端口扫描。
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP
应用该规则后,如果某个IP地址对非Linux主机允许的端口发起连接,并且一分钟内超过20次,则系统将中断该主机与本机的连接。
 
详细配置如下:
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [458:123843]
-A INPUT -i lo -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP
COMMIT
 
以上配置说明,本机开放可供服务的端口有22/TCP(有连接频率限制),53/TCP/UDP, 80/TCP, 443/TCP,所有发往本机的其他ip报文则认为是端口扫描,如果一分钟之内超过20次,则封禁该主机,***停止一分钟以上自动解封。
 
在这只是取个抛砖引玉的作用,通过recent模块还可以实现很多更复杂的功能,例如:22/TCP端口对所有主机都是关闭的,通过顺序访问23/TCP 24/TCP 25/TCP之后,22/TCP端口就对你一个IP地址开放等等。

weixin_34247155
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux关闭安全模块,巧用Recent模块加固Linux安全
weixin_35823048的博客
05-14 206
Linux可以通过编写iptables规则对进出Linux主机的数据包进行过滤等操作,在一定程度上可以提升Linux主机的安全 性,在新版本内核中,新增了recent模块,该模块可以根据源地址、目的地址统计最近一段时间内经过本机的数据包的情况,并根据相应的规则作出相应的决 策,详见:http://snowman.net/projects/ipt_recent/rhel5.4自带recent模块,下...
关闭Linux安全模块,巧用Recent模块加固Linux安全
weixin_35752645的博客
05-14 211
众所周知,Linux可以通过编写iptables规则对进出Linux主机的数据包进行过滤等操作,在一定程度上可以提升Linux主机的安全性,在新版本内核中,新增了recent模块,该模块可以根据源地址、目的地址统计最近一段时间内经过本机的数据包的情况,并根据相应的规则作出相应的决策,详见:http://snowman.net/projects/ipt_recent/1、通过recent模块可以防止...
Ubuntu 删除recent临时文件
嵌入式软件实战派
01-14 1047
两种方法: 1. 命令行删除临时文件 cat /dev/null > ~/.local/share/recently-used.xbel 2.在系统菜单里面设置 打开系统设置(System Settings)并打开安全与隐私(Security & Privacy)。 参考: 桌面应用|如何清理 Ubuntu 14.04 的最近打开文件历史列表 ...
linux中查找最近或今天修改过的文件
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
11-08 4782
linux中查找最近或今天修改过的文件 某些情况下,我们需要找到今天被修改过的文件,以下列出两种方法。 1.使用ls 命令 -a – 列出所有文件,包括隐藏文件 -l – 启用长列表格式 –time-style=FORMAT – 以指定的格式显示时间 +%D – 以 %m/%d/%y 格式显示日期 ls -al --time-style=+%D | grep ‘date +%D’ 可以通过-X按字母顺序对结果列表进行排序 ls -alX --time-style=+%D | grep ‘date +%D’
iptables 里 recent 模块的用法
eydwyz的专栏
11-28 6020
recent v1.2.11 options: [!] --set                       Add source address to list, always matches. [!] --rcheck                    Match if source address in list. [!] --update                    
信息安全_数据安全_Cyber litigation 2020 recent cas.pdf
08-21
"信息安全_数据安全_Cyber litigation 2020 recent cas.pdf" 文件聚焦于2020年网络安全领域的诉讼案例,揭示了法律层面的安全挑战和应对策略。本文将深入探讨其中的关键知识点。 首先,"Cyber litigation"是指在...
Linux主机防CC攻击的方法.pdf
09-06
2. 使用 xt_recent 模块来实现对 TCP 连接数的控制,限制单个客户端 IP 地址在一定时间内的 TCP 连接数。 3. 使用 connlimit 模块来限制单个客户端 IP 地址的 TCP 连接数,防止攻击者通过大量的 TCP 连接来攻击...
Python基于traceback模块获取异常信息
09-16
### Python基于traceback模块获取异常信息 在Python中,异常处理是编程中不可或缺的一部分,能够帮助开发者更好地理解和解决程序中的问题。本文将详细介绍如何利用`traceback`模块来获取异常的具体信息,这对于深入...
Python MySQLdb Linux下安装笔记
12-23
在公司开发需要,再搞一次,linux下的。 发现用编译的方式安装真的很蛋疼,不过也算见见世面,各种问题……奋斗 这里也有两种方式: A.快速安装 B.自己编译 1.最快速最简单方法(赶时间的话) 复制代码 代码如下: ...
linux常用命令脚本.txt
05-30
Linux常用命令 # 按 VmSwap 使用量对进程排序,输出进程名称、进程 ID 以及 SWAP 用量 $ for file in /proc/*/status ; do awk '/VmSwap|Name|^Pid/{printf $2 " " $3}END{ print ""}' $file; done | sort -k 3 -n -...
Iptables之recent模块小结
weixin_33768481的博客
11-23 2339
  Iptables的recent模块用于限制一段时间内的连接数, 是谨防大量请求攻击的必杀绝技! 善加利用该模块可充分保证服务器安全。 recent常用参数--name      设定列表名称,即设置跟踪数据库的文件名. 默认DEFAULT;--rsource   源地址,此为默认。 只进行数据库中信息的匹配,并不会对已存在的数据做任何变更操作;--rdest       目的地址;--seco...
Linux 远程登陆安全加固的方案,附带用户行为简单监控脚本
ggwxk1990的博客
08-31 1559
Linux 远程登陆安全加固的方案,附带用户行为简单监控脚本。 (1)限制IP登陆 (2)限制ssh登陆,密码错误次数限制 (3)用户行为记录脚本 (4)一个组合使用方案 ------------------(1)作用:限制IP登陆访问------------------------- 在 /etc/hosts.allow  添加以下内容 #允许IP 192.168.137.1 远程登录 s
linux系统加固
weixin_34387284的博客
11-09 493
首 页 » 安全 » linux系统加固paper linux系统加固 目录: 1.BIOS 2.SSH安全 3.禁用telnet 4.禁用代码编译 5.ProFTP 6.TCPwrappers 7.创建一个SU组 8.root通知 9.history安全 10.欢迎信息 11.禁用所有特殊账户 12.chmod危险文件 13.指...
linux 下最近访问、最近更改、最近改动时间理解
huangshanchun的专栏
03-24 3034
首先我们可以使用touch 建立一个文件 例如:touch test 并使用stat命令看下时间。 可以看到: 最近访问:2015-03-24 19:41:30.028718709 +0800 最近更改:2015-03-24 19:41:30.028718709 +0800(是指最近修改文件内容的时间) 最近改动:2015-03-24 19:41:30.028718709 +080
TPM、TCM分别是什么?
热门推荐
snowfoxmonitor的专栏
05-30 2万+
 IT业界从1999年开始,就有一个由Intel、IBM、HP、Microsoft、Compaq发起的TCPA(Trusted Computing Platform Alliance)组织在推动构建一个可信赖的计算环境,这个组织的成果是定义了一个平台设备认证的架构,以及嵌入在主板上的安全芯片(TPM:Trusted Platform Module)和上层软件中间件TSS(Trusted Softw...
如何在Linux中查找最近或当天修改的文件
01-04 7834
在本文中,我们将解释简单的命令行提示 ,使您可以只列出当天修改的所有文件。 一个常见的问题Linux用户在命令行中遇到的定位具有特定名称的文件 ,它可以更容易,当你真正了解的文件名。 但是,假设你已经忘记了,你创建的文件名(在你home的文件夹,其中包含数百个文件),在一天中的一个较早的时间,但您需要立即使用。 以下是唯一不同的方式列出您创建或修改的所有文件今日(直接或间接)。
可信平台模组(TPM)的前世今生
zdx19880830的专栏
06-30 3798
10多年来,商业个人电脑平台在运输中带有一个基于标准安全子系统,它位于PC的主板上,通常被称为可信平台模组(TPM)。TPM已经在许多应用中得到了广泛的使用,但是一些问题阻碍了其更大规模的被采用。在过去8年中,可信计算组织(Trusted Computing Group)一直在致力于修订可信平台模组规范,尽可能增加其灵活性,可管理性和实用性。本文主要是描述TPM的应用场景案例和解释TPM规范中一些...
TPM工作原理
zhangnn5的专栏
10-09 2万+
TPM实际上是一个含有密码运算部件和存储部件的小型片上的系统,由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。 TPM(Trusted Platform Module)安全芯片,是指符合TPM(可信赖平台模块)标准的安全芯片,它能有效地保护
Linux 中Traceback (most recent call last)
最新发布
09-14
这个错误提示通常出现在 Python 程序中,表示程序在执行过程中发生了异常并导致了调用栈的回溯。它会显示出最近的调用发生的位置,以便帮助开发者定位问题。 在 Linux 中,Traceback (most recent call last) 的具体含义与 Python 解释器的版本和配置有关。一般来说,它表示程序执行过程中出现了异常,并且没有被捕获处理,导致程序终止。 要解决这个问题,可以根据 Traceback 中提供的调用栈信息,找到引发异常的代码位置,并检查可能存在的错误。常见的解决方法包括: 1. 检查程序中是否存在语法错误或逻辑错误。 2. 确保程序所依赖的库、模块或文件存在且正确引入。 3. 使用 try-except 语句捕获可能的异常并进行适当处理。 4. 使用调试器 (如pdb) 对程序进行调试,以更详细地了解异常触发的原因。 如果你能提供更具体的 Traceback 信息或代码片段,我可以给出更具体的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值