Linux安全配置
2016-07-29 09:45
246 查看
1概述
该文档总结了分销商城的安全配置1.1简介
利用aliyun云盾服务,防DDOS/CC攻击工具,linux自带的IPtables1.2线上环境介绍
服务器OS:CentOS 7应用:mariadb-5.5,nginx-1.8,tomcat-8.0,php-5.61.3 端口总览
2. aliyun云盾服务
2.1 开启web目录减产,木马查杀功能
2.2 漏洞补丁管理
系统补丁,应用漏洞补丁;处理方式:忽略/修复/验证3. 防DDOS/CC攻击工具(DDOS-deflate)
3.1 工具介绍
DDoS-Deflate是一款非常小巧的防御和减轻DDoS攻击的工具,它可以通过监测netstat来跟踪来创建大量互联网连接的IP地址信息,通过APF或IPTABLES禁止或阻档这些非常IP地址。3.2 安装配置说明
3.2.1 下载软件包wget http://www.inetbase.com/scripts/ddos/install.sh 3.2.2 授权运行chmod +x install.sh./install.sh (默认安装位置为/usr/local/ddos) 3.2.3 配置文件ddos.conf:DDoS-Deflate 的配置文件,其中配置防止ddos时的各种行为ddos.sh:DDoS-Deflate 的主程序,使用shell编写的,整个程序的功能模块Ignore.ip.list:白名单,该文件中的ip超过设定的连接数时,也不被 DDoS-Deflate 阻止LICENSE:DDoS-Deflate 程序的发布协议 3.2.4 配置文件修改
此配置的结果为,在检测到同一IP150次以上的请求时,会自动把该IP地址添加到iptables阻止列表里面,生成一条规则 3.2.5 验证为了方便验证,我们把NO_OF_CONNECTIONS=150改为3次;用xshell同时开三个以上的对话框
4. Iptables配置
4.1 配置前准备
因为CentOS 7 采用的是firewalld防护墙方式;所以我们先要关闭此服务。Systemctlstop firewalld.service
Sytemctldisable firewalld.service
安装iptables-services服务清空默认规则并初始化
4.2规则配置
默认规则:上面的规则意思是INPUT/FORWARD/OUTPUT默认为全部拒绝,;然后再开放想要允许的端口或IP;比较安全
规则设置:
允许192.168.1.0/24网段的主机访问22端口
允许访问web服务
第一条:允许本机回环接口第二条:允许已建立的或相关连接通过第三条:允许本机所有向外的通信第四条:允许访问80端口
允许本地访问mysql,禁止外部访问
保存规则
Iptables-save> /etc/sysconfig/iptables
5.总结
此安全配置严格按照生产坏境配置来的,可根据往后的情况进行修改/扩展;在iptables规则上的把控相对严格。需要注意点的一点是因为环境是LNTMP(nginx/tomcat/mysql/php)的,所以需要在iptables规则配置的时候考虑到nginx动静分离到php和tomcat上的端口号。相关文章推荐
- linux安全配置
- Linux 服务器安全配置(上篇)
- 安装和配置Tripwire,加强你的Linux系统安全
- 浅谈Linux优化及安全配置个人体会总结
- Linux安全配置步骤简述
- 如何配置安全的Linux操作系统
- Linux安全配置
- Linux操作系统下PHP服务器安全配置技巧
- linux系统主机安全配置!
- LINUX 系统基准安全配置步骤
- [转] Linux 服务器安全配置
- [第3期专家在线]进行ing:Linux/Solaris服务器的安全配置
- Linux安全配置
- 浅谈Linux优化及安全配置的个人体会
- 系统安全防护知识:如何配置Linux的日志文件
- Linux优化及安全配置
- 如何配置安全的Linux操作系统
- Linux安全配置步骤简述
- 如何配置安全的Linux操作系统
- Linux服务器安全配置小结