6.IPtales防火墙规则
假设我们的服务器server1运行Apache和sshd(sshd可以不运行在标准端口,配置文件中能修改)。ethO网卡接Internet,ethi连接LAN,管理员在家中拨号登陆到server2(其私用网络TP为192.168.0.12),再登陆server1。其命令如下:
为了防止IP spoofing的可能,还可以绑定server2的网卡地址:
[[The No.1 Picture.]]
不过好像也很少有人侵者能够做到这种地步,而且没什么利用的价值。
对攻击有所了解的人知道"端口重定向十反向管道"的美妙结合来穿越防火墙的例子吧?这种技巧已经运用太广,而危害很大。为了对抗这种难以防御的攻击,我们必须以牺牲一定的易用性为代价:
以上规则将阻止由内而外的TCP主动选接。
另外,用tftp或其他客户端反向攫取文件的攻击行为也很普遍,由于mfv以及诸如loki之类的工具依赖UDP,所以现在要把它彻底抹煞悼:
注:在更新系统和调试网络时需要把这两条规则临时去掉。
因为入侵的本质就是通过文本或图形界面在标准或非标准端口得到目标操作系统的shell,所以这不仅能阻止反向管道本身,还能免疫很多人侵技巧,不过对一般的系统管理员而言,这太苛刻了!
下面是的tables的一些攻击对策。
此外,iptables还能配置出让一些扫描行为,比如nmap失效的规则,应当注意,防火墙不是万能的,当一个攻击者足够疯狂时,不要指望你的防火墙能抵挡得住DDoS.
7.完整性校验
tripwire是一个比较有名的工具,它能帮你判断出一些重要系统文件是否被修改过。现在的Linux发行版中一般部带有该工具的开源版本,在默认的校验对象配置文件中加入一些敏感文件就可以使用。
用"man rpm"查看命令帮助,"-V"参数用于MD5校验,注意要把rpm校验产生的二进制数据文件作一个硬备份,以防止其本身被修改。
| 共2页: 1 [2] 下一页 | ||
|
