Fedoracore2服务器平台安全设置揭密1

前言

很早就想写一篇关于Linux安全设置方面的文章了。写文章有一个好处就是可以把自己的思路理清楚，而且以后要是忘了的话看看文章就能回想起来。这篇文章只是我在日常的工作和学习中总结的一点心得体会，如果有写的不对的地方，还望大家指正。

一、设定启动服务

安装完系统后，我们执行#netstat ?an，可以看到由于系统默认情况下启动了许多与网络相关的服务，因此相对应的开放了许多端口进行LISTENING（监听）。我们知道，开放的端口越多，系统从外部被入侵的可能也就越大，所以我们要尽量关闭一些不需要的启动服务，从而尽可能的关闭端口，提供系统的安全性。

这里我直接给出保持系统正常运行的启动服务，而其他的服务都可以关闭掉。执行#ntsysv，只启动如下的服务。

二、Netfilter/iptables防火墙设置

#touch /etc/rc.d/firewall

#chmod u+x /etc/rc.d/firewall

#vi /etc/rc.d/rc.local

写入一行：/etc/rc.d/firewall

注意：/etc/rc.d/firewall的内容如下：

1、单网卡主机设定

说明：此设定适用于架设了一台专门提供web服务或者FTP服务的主机。

#首先清除所有的防火墙规则

#!/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

#防止syn flood攻击

echo "1"

/proc/sys/net/ipv4/tcp_syncookies

iptables -F

iptables -X

iptables ?Z

#然后禁止所有的包

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

#允许本地环回设备上的通讯

iptables ?A INPUT -i lo -p all -j ACCEPT

iptables -A OUTPUT -o lo -p all -j ACCEPT

#让已经建立或者是与我们主机有关的回应封包通过

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许SSH远程管理主机

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

#对IP碎片数量进行限制，以防止IP碎片攻击

iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

#如果你的主机提供web服务，那么就需要开放80端口

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

#设置icmp协议，允许主机执行ping操作，以便对网络进行测试，但不允许其他主机ping该主机。

iptables ?A OUTPUT-p icmp --icmp-type echo-request ?j ACCEPT

iptables ?A INPUT ?p icmp --icmp-type echo-reply ?j ACCEPT

通过如上设置，这台主机只向网络开放了22，80两个端口，最大限度的保证了主机的安全。

2、NAT主机的设定

说明：此设定适用于起到NAT网关服务器类型的主机。eth0为外网网卡，eth1为内网网卡。内网网段为192.168.1.0/24