您的位置:首页 > 运维架构 > Linux

Linux安全配置

luoj5 2016-07-29 09:46 86 查看

1概述

该文档总结了分销商城的安全配置

1.1简介

利用aliyun云盾服务,防DDOS/CC攻击工具,linux自带的IPtables

1.2线上环境介绍

服务器OS:CentOS 7应用:mariadb-5.5,nginx-1.8,tomcat-8.0,php-5.6







1.3 端口总览



2. aliyun云盾服务

2.1 开启web目录减产,木马查杀功能



2.2 漏洞补丁管理

系统补丁,应用漏洞补丁;处理方式:忽略/修复/验证



3. 防DDOS/CC攻击工具(DDOS-deflate)

3.1 工具介绍

DDoS-Deflate是一款非常小巧的防御和减轻DDoS攻击的工具,它可以通过监测netstat来跟踪来创建大量互联网连接的IP地址信息,通过APF或IPTABLES禁止或阻档这些非常IP地址。

3.2 安装配置说明

3.2.1 下载软件包wget http://www.inetbase.com/scripts/ddos/install.sh 3.2.2 授权运行chmod +x install.sh./install.sh (默认安装位置为/usr/local/ddos) 3.2.3 配置文件

ddos.conf:DDoS-Deflate 的配置文件,其中配置防止ddos时的各种行为ddos.sh:DDoS-Deflate 的主程序,使用shell编写的,整个程序的功能模块Ignore.ip.list:白名单,该文件中的ip超过设定的连接数时,也不被 DDoS-Deflate 阻止LICENSE:DDoS-Deflate 程序的发布协议 3.2.4 配置文件修改

此配置的结果为,在检测到同一IP150次以上的请求时,会自动把该IP地址添加到iptables阻止列表里面,生成一条规则 3.2.5 验证为了方便验证,我们把NO_OF_CONNECTIONS=150改为3次;用xshell同时开三个以上的对话框



4. Iptables配置

4.1 配置前准备

因为CentOS 7 采用的是firewalld防护墙方式;所以我们先要关闭此服务。
Systemctlstop firewalld.service
Sytemctldisable firewalld.service

安装iptables-services服务清空默认规则并初始化



4.2规则配置

默认规则:



上面的规则意思是INPUT/FORWARD/OUTPUT默认为全部拒绝,;然后再开放想要允许的端口或IP;比较安全

规则设置:
允许192.168.1.0/24网段的主机访问22端口





允许访问web服务



第一条:允许本机回环接口第二条:允许已建立的或相关连接通过第三条:允许本机所有向外的通信第四条:允许访问80端口
允许本地访问mysql,禁止外部访问




保存规则

Iptables-save> /etc/sysconfig/iptables



5.总结

此安全配置严格按照生产坏境配置来的,可根据往后的情况进行修改/扩展;在iptables规则上的把控相对严格。需要注意点的一点是因为环境是LNTMP(nginx/tomcat/mysql/php)的,所以需要在iptables规则配置的时候考虑到nginx动静分离到php和tomcat上的端口号。