linux主机加固.docx

linux下IPTABLES配置详解1开始配置:我们来配置一个filter表的防火墙.(1)查看本机关于IPTABLES的设置情况roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destinationChain RH-Firewall-1-INPUT (0 references)target prot opt source destinationACCEPT all - /0 /0ACCEPT icmp - /0 /0 icmp type 255ACCEPT esp - /0 /0ACCEPT ah - /0 /0ACCEPT udp - /0 51 udp dpt:5353ACCEPT udp - /0 /0 udp dpt:631ACCEPT all - /0 /0 state RELATED,ESTABLISHEDACCEPT tcp - /0 /0 state NEW tcp dpt:22ACCEPT tcp - /0 /0 state NEW tcp dpt:80ACCEPT tcp - /0 /0 state NEW tcp dpt:25REJECT all - /0 /0 reject-with icmp-host-prohibited可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.如果你在安装linux时没有选择启动防火墙,是这样的roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination什么规则都没有.(2)清除原有规则.不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.roottp # iptables -F 清除预设表filter中的所有规则链的规则roottp # iptables -X 清除预设表filter中使用者自定链中的规则我们在来看一下roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.roottp #/etc/rc.d/init.d/iptables save这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.roottp # service iptables restart现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧(3)设定预设规则roottp # iptables -p INPUT DROProottp # iptables -p OUTPUT ACCEPTroottp # iptables -p FORWARD DROP上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.怎么办,去本机操作呗!(4)添加规则.首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链为了能采用远程SSH登陆,我们要开启22端口.roottp # iptables -A INPUT -p tcp -dport 22 -j ACCEPTroottp # iptables -A OUTPUT -p tcp -sport 22 -j ACCEPT(注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:roottp # iptables -A OUTPUT -p tcp -sport 80 -j ACCEPT ,其他同理.)如果做了WEB服务器,开启80端口.roottp # iptables -A INPUT -p tcp -dport 80 -j ACCEPT如果做了邮件服务器,开启25,110端口.roottp # iptables -A INPUT -p tcp -dport 110 -j ACCEPTroottp # iptables -A INPUT -p tcp -dport 25 -j ACCEPT如果做了FTP服务器,开启21端口roottp # iptables -A INPUT -p tcp -dport 21 -j ACCEPTroottp # iptables -A INPUT -p tcp -dport 20 -j ACCEPT如果做了DNS服务器,开启53端口roottp # iptables -A INPUT -p tcp -dport 53 -j ACCEPT如果你还做了其他的服务器,需要开启哪个端口,照写就行了.上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP允许icmp包通过,也就是允许ping,roottp # iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)roottp # iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)允许loopback!(不然会导致DNS无法正常关闭等问题)IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.减少不安全的端口连接roottp # iptables -A OUTPUT -p tcp -sport 31337 -j DROProottp # iptables -A OUTPUT -p tcp -dport 31337 -j DROP有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139（smb）,2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加允许SSH登陆一样.照着写就行了.下面写一下更加细致的规则,就是限制到某台机器如:我们只允许的机器进行SSH连接roottp # iptables -A INPUT -s -p tcp -dport 22 -j ACCEPT如果要允许,或限制一段IP地址可用 /24 表示-255端的所有IP.24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.-A INPUT -p tcp -m tcp -dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.或采用命令方式:roottp # iptables -D INPUT -p tcp -dport 22 -j ACCEPT然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.roottp #/etc/rc.d/init.d/iptables save这样写 ! 表示除了的ip地址其他的规则连接也一样这么设置.在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)roottp # iptables -A FORWARD -i eth0 -o eth1 -m state -state RELATED,ESTABLISHED -j ACCEPTroottp # iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT丢弃坏的TCP包roottp #iptables -A FORWARD -p TCP ! -syn -m state -state NEW -j DROP处理IP碎片数量,防止攻击,允许每秒100个roottp #iptables -A FORWARD -f -m limit -limit 100/s -limit-burst 100 -j ACCEPT设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.roottp #iptables -A FORWARD -p icmp -m limit -limit 1/s -limit-burst 10 -j ACCEPT我在前面只所以允许ICMP包通过,就是因为我在这里有限制.二,配置一个NAT表放火墙1,查看本机关于NAT的设置情况roottp rc.d# iptables -t nat -LChain PREROUTING (policy ACCEPT)target prot opt source destinationChain POSTROUTING (policy ACCEPT)target prot opt source destinationSNAT all - /24 anywhere to:35Chain OUTPUT (policy ACCEPT)target prot opt source destination我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的如果你想清除,命令是roottp # iptables -F -t natroottp # iptables -X -t natroottp # iptables -Z-t nat2,添加规则添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),添加规则,我们只添加DROP链.因为默认链全是ACCEPT.防止外网用内网IP欺骗roottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s /8 -j DROProottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s /12 -j DROProottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s /16 -j DROP如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)例：禁止与53的所有连接roottp # iptables-t nat -A PREROUTING -d 53 -j DROP禁用FTP(21)端口roottp # iptables-t nat -A PREROUTING -p tcp -dport 21 -j DROP这样写范围太大了,我们可以更精确的定义.roottp # iptables-t nat -A PREROUTING -p tcp -dport 21 -d 53 -j DROP这样只禁用53地址的FTP连接,其他连接还可以.如web(80端口)连接.按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.最后：drop非法连接roottp # iptables -A INPUT -m state -state INVALID -j DROProottp # iptables -A OUTPUT -m state -state INVALID -j DROProottp # iptables-A FORWARD -m state -state INVALID -j DROP允许所有已经建立的和相关的连接roottp # iptables-A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPTroottp # iptables-A OUTPUT -m state -state ESTABLISHED,RELATED -j ACCEPTroottp #/etc/rc.d/init.d/iptables save这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用roottp # service iptables restart别忘了保存，不行就写一部保存一次你可以一边保存，一边做实验，看看是否达到你的要求，上面的所有规则我都试过，没有问题Linux日志管理2一日志简介日志对于系统安全来说非常重要，它记录了系统每天发生的各种各样的事情，管理员可以通过它来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。它还可以实时地监测系统状态，监测和追踪侵入者等。在Linux系统中，有3个主要的日志子系统。1连接时间日志由多个程序执行，把记录写入/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。2进程统计由系统内核执行。当一个进程终止时，向该进程的进程统计文件中写入一条记录。进程统计的目的是为系统中的基本服务提供命令使用统计。3错误日志由syslogd执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。二日志的查看和配置1查看日志文件日志文件其实是纯文本的文件，每一行就是一个消息。只要是在Linux系统下能够处理纯文本的工具都能用来查看日志文件。日志文件总是 很在，因为从第一次启动Linux系统开始，消息就都累积在日志文件中。看日志文件的一个比较好的方法是用像more或less那样的分页显示显示程序， 或者用grep查找特定的消息。我们先用less显示“/var/log/messages”，从如图1.1显示的文件中可以看到从日志文件取出来的一些 消息，每一行表示一个消息，而且都由4个域的固定格式组成。sep 18 11:03:44 lcbj sendmail(85) starting daemon(8,9,3):SMTP+queueing 00:15:00 sep 18 11:03:44 lcbj passwd(337): password for progschanged by “root” sep 18 11:03:44 lcbj MARK -sep 18 11:03:44 lcbj MARK -（1）日间标签（Timestamp）：表示消息发出的日期和日间。（2）主机名（Hostname）：表示生成消息的计算机的名字。如果只有一台计算机，主机名就可能没有必要了。但是，如果在网络环境中使用syslog，那么可能要把不同主机的消息发送到一台服务器上集中处理。在我们的例子中主机名为lcbj。（3）生成消息的子系统的名字。表示消息来自内核或者是进程的名字，以及表示发出消息的程序的名字。在方括号里的是进程的PID。（4）消息（Message），即消息的内容。图1.1中的第一行是sendmail发出的消息，sendmail守护进程（Daemon）负责管理收到和发出的消息。这一行是守护进程正常启动的消息。第二行是来自passwd的消息，提醒用户progs的口令被root改变过。以后的其他消息向用户报告系统的运行情况。实际上在/var/log/message文件中的消息都不是特别重要或紧急的。有一个很有趣的消息是MARK消息，在默认情况下每隔20min就会生成一次表示系统还在正常运行的消息。MARK消息很像经常用来确 认远程主机是否还在运行的“心跳信号”（Heartbeat）。“MARK”消息另外的一个用途是用于事后分析，能够帮助系统管理员确定系统死机发生的时 间。2配置日志接下来讲解syslog守护进程的运行情况，这个程序是在后台运行的，从系统中获取新的消息，并把消息发送到合适的地方。每一个子系统 发出日志消息的时候都会给消息指定一个类型。一个消息可以分成两个部分：设备和优先级。设备表示发出消息的子系统，优先级表示消息的重要性，其范围为 0（最重要）7（最不重要），如图1.2所示。Definition Value CommentLOG_EMERC 0 /* system i s unusabel */LOG_ALTER 1 /*action must be taken immediately */LOG_CRIT 2 /*critical conditions */LOG_ERR 3 /*error conditions */LOG_WARNING 4 /*warning conditions */Definition Syslog Name CommentLOG_KERN kern /*Kernel messages */LOG_USER User /*random user-level messages */LOG_MAIL Mail /*mail system */syslog的基本配置的很简单的，而进行一些高级特性的配置需要一些经验。我们现在看看基本的配置，也就是根据“设备”和“优先级” 确定哪些文件应该收到哪些消息。可以通过编辑文件/etc/syslog.conf对任务进行定制。在图1.3所示的文件中，以“#”开头的行都是注释 行。其他的一些行也很容易理解，它们是由两个域组成，分别是选择器（Selector）和动作（Action）。选择器用相应的设备和优先级（可以用 “*”通配符表示任何一个）来表示消息的类型。动作表示一旦有一个新的消息和选择器相匹配的时候要采取的行动。从图1.3中可以发现优先级等于Info和Notice的消息，无论它们的设备是什么，都发到/usr/adm/messages文 件，因为在选择器中使用了通配符。同样优先级为Debug和Err的消息都分别送到/usr/adm/debug和/usr/adm/syslog文件。#/etc/syslog.conf#FOR info about the format of this file,seeman syslog.conf(the BSD man #page),and /usr/doc/sysklogd/README.linux.*.=info.*.=notice/usr/adm/messages *.=debug /usr/adm/debug*.err /usr/adm/syslog编辑完/etc/syslog文件之后，还必须运行Killall-HUP Syslogd，这样所做的改变才会生效。这个命令发送“HUP”信号给syslog守护进程，通知守护进程重新读取配置文件。日志文件对于管理员来说很重要，通过对日志文件管理，管理员可以更好地维护系统，保障各种应用的正常进行。Linux系统中提供了异常日志，并且日志的细节是可配置的。Linux日志都以明文形式存储，所以用户不需要特殊的工具就可以搜索和 阅读它们。用户还可以编写脚本，来扫描这些日志，并基于它们的内容去自动执行某些功能。Linux日志存储在/var/log目录中，这里有几个由系统维 护的日志文件，但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root账户才可以读，修改文件的访问权限就可以让其他人可读。三常用的日志文件RHEL 4 中常见的日志文件主要有如下一些。1/var/log/boot.log该文件记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息。2/var/log/cron该日志文件记录crontab守护进程crond所派生的子进程的动作，前面加上用户、登录时间和PID，以及派生出的进程的动作。执 行某个命令的一个动作是cron派生出一个调度进程的常见情况。REPLACE（替换）动作记录用户对它的cron文件的更新，该文件列出了要周期性执行 的任务调度。RELOAD动作在REPLACE动作后不久发生，这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该 文件可能会查到一些反常的情况。3/var/log/maillog该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。4/var/log/messages该日志文件是许多进程日志文件的汇总，从该文件可以看出任何入侵企图或成功的入侵。该文件每一行包含日期、主机名、程序名，后面是包含 PID或内核标识的方括号、一个冒号和一个空格，最后是消息。该文件有一个不足，就是被记录的入侵企图和成功的入侵事件被淹没在大量的正常进程的记录中。 但该文件可以由文件/etc/syslog进程定制，由配置文件/etc/syslog.conf决定系统如何写/var/messages。5/var/log/syslog默认情况下Linux系统不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log /messages日志文件不同，它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件。要让系统生成该日志文件，需要在/etc /syslog.conf文件中加上“*.warning/var/log/syslog”。该日志文件能记录当用户登录时login记录下错误口令、 Sendmail的问题和su命令执行失败等信息。6/var/log/secure该日志文件记录与安全相关的信息。7/var/log/lastlog该日志文件记录最近成功登录事件和最后一次不成功登录事件，由login生成。在每次用户登录时被查询，该文件是二进制文件，需要使用 lastlog命令查看，根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过，就显示为“*Never logged in*”。该命令只能以root权限执行。系统账户诸如bin、daemon、adm、uucp、mail等不应该登录，如果发现这些账户已经登录，就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间，则说明该用户的账户已经泄露了。8/var/log/wtmp该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件也会起来越大，增加的速度取决于系统用户登录的次数。9/var/run/utmp该日志文件记录当前登录的每个用户的有关信息。因此这个文件会随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录，不会为 用户保留永久的记录。系统中需要查询当前用户状态的程序（如who、w、users、finger）需要访问这个文件。该日志文件并不能包括所有精确的信 息，因为某些突发错误会终止用户登录会话，而系统没有及时更新utmp记录，因此该日志文件的记录不是百分之百值得信赖的。10/var/log/xferlog该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器复制了什么文件。该文件会显示用户复制到服务器上的用来入侵服务器的恶意程序，以及该用户复制了哪些文件。该文件的第一个域是日期和日间，第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型 （a：ASCII，b：二进制）、与压缩相关的标志、传输方向（相对于服务器而言i代表进，o代表出）、访问模式（a表示匿名，g表示输入口令，r表示真 实用户）、用户名、服务名（通常是ftp）、认证方法（1或0）。Red Hat Linux默认没有记录该日志文件。要启用该日志文件，必须在/etc/syslog.conf文件中添加一行“kern.*/var/log /kernlog”，这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。11/var/log/Xfree86.x.log该日志文件记录了X-Window启动的情况。另外，除了/var/log外，恶意用户也可能在别的地方留下痕迹，应该注意以下几个地 方：root和其他账户的shell历史文件；用户的各种邮箱，如set、mbox以及存放在/var/spool/mail和/var/spool /mqueue中的邮箱；临时文件/tmp、/usr/tmp、/var/tmp；隐藏的目录；其他恶意用户创建的文件，通常是以“.”开头的具有隐藏属 性的文件等。四syslog程序1syslog程序的作用系统内核和许多系统程序会产生错误信息、警告信息和其他信息。这些信息会被写到一个文件，执行这个过程的程序就是syslog，它能设 置成根据输出信息的程序或重要程度将信息排序到不同的文件。例如，由于内核信息更重要且需要有规律地阅读以确定问题出在哪里，所以要把内核信息与其他信息 分开来，单独定向到一个分离的文件中。日志文件通常存放在/var/log目录下，为了查看日志文件的内容必须要有root权限。日志文件中的信息很重要，只有超级用户有访问这些文件的权限。2syslog程序syslog已被许多日志函数采用，它被用在许多保护措施中。任何程序都可以通过syslog记录事件。syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件。syslog程序依赖于两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件。习惯上， 多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog记录包括生成程序的 名字和一个文本信息，它还包括一个设备和一个优先级范围（但不在日志中出现）。每个syslog消息被赋予下面的主要设备之一。LOG_AUTH ：认证系统login、su、getty等。LOG_AUTHPRIV ：同LOG_AUTH，但只登录到所选择的单个用户可读的文件中。LOG_CRON ：cron守护进程。LOG_DAEMON ：其他系统守护进程，如routed。LOG_FTP ：文件传输协议ftpd、tftpd。LOG_KERN ：内核产生的消息。LOG_LPR ：系统打印机缓冲池lpr、lpd。LOG_MAIL ：电子邮件系统。LOG_NEWS ：网络新闻系统。LOG_SYSLOG ：由syslogd（8）产生的内部消息。LOG_USER ：随机用户进程产生的消息。LOG_UUCP ：UUCP子系统。LOG_LOCAL0LOG_LOCAL7 ：为本地使用保留。syslog为每个事件赋予几个不同的优先级。LOG_EMERG ：