Linux安全配置

1概述

该文档总结了分销商城的安全配置

1.1简介

利用aliyun云盾服务，防DDOS/CC攻击工具，linux自带的IPtables

1.2线上环境介绍

服务器OS：CentOS 7应用：mariadb-5.5，nginx-1.8，tomcat-8.0，php-5.6

1.3 端口总览

2. aliyun云盾服务

2.1 开启web目录减产，木马查杀功能

2.2 漏洞补丁管理

系统补丁，应用漏洞补丁；处理方式：忽略/修复/验证

3. 防DDOS/CC攻击工具(DDOS-deflate)

3.1 工具介绍

DDoS-Deflate是一款非常小巧的防御和减轻DDoS攻击的工具，它可以通过监测netstat来跟踪来创建大量互联网连接的IP地址信息，通过APF或IPTABLES禁止或阻档这些非常IP地址。

3.2 安装配置说明

3.2.1 下载软件包wget http://www.inetbase.com/scripts/ddos/install.sh 3.2.2 授权运行chmod +x install.sh./install.sh (默认安装位置为/usr/local/ddos) 3.2.3 配置文件

ddos.conf：DDoS-Deflate 的配置文件，其中配置防止ddos时的各种行为ddos.sh：DDoS-Deflate 的主程序，使用shell编写的，整个程序的功能模块Ignore.ip.list：白名单，该文件中的ip超过设定的连接数时，也不被 DDoS-Deflate 阻止LICENSE：DDoS-Deflate 程序的发布协议 3.2.4 配置文件修改

此配置的结果为，在检测到同一IP150次以上的请求时，会自动把该IP地址添加到iptables阻止列表里面，生成一条规则 3.2.5 验证为了方便验证，我们把NO_OF_CONNECTIONS=150改为3次；用xshell同时开三个以上的对话框

4. Iptables配置

4.1 配置前准备

因为CentOS 7 采用的是firewalld防护墙方式；所以我们先要关闭此服务。
Systemctlstop firewalld.service
Sytemctldisable firewalld.service

安装iptables-services服务清空默认规则并初始化

4.2规则配置

默认规则:



上面的规则意思是INPUT/FORWARD/OUTPUT默认为全部拒绝，；然后再开放想要允许的端口或IP；比较安全

规则设置：
允许192.168.1.0/24网段的主机访问22端口





允许访问web服务



第一条：允许本机回环接口第二条：允许已建立的或相关连接通过第三条：允许本机所有向外的通信第四条：允许访问80端口
允许本地访问mysql，禁止外部访问




保存规则

Iptables-save> /etc/sysconfig/iptables

5.总结

此安全配置严格按照生产坏境配置来的，可根据往后的情况进行修改/扩展；在iptables规则上的把控相对严格。需要注意点的一点是因为环境是LNTMP(nginx/tomcat/mysql/php)的，所以需要在iptables规则配置的时候考虑到nginx动静分离到php和tomcat上的端口号。