Web服务器安全,iptables防火墙脚本。
下面以自己的Web服务器举例说明之,系统的默认策略是INPUT为DROP,OUTPUT、FORWARD链为ACCEPT,DROP设置得比较宽松,因为我们知道出去的数据包比较安全;为了验证脚本的通用性,我特的查看了服务器的内核及iptables版本,命令如下所示:
uname -a Linux ud50041 2.6.9-34.ELsmp #1 SMP Fri Feb 24 16:54:53 EST 2006 i686 i686 i386 GNU/Linux iptables -V iptables v1.2.11 lsb_release -a LSB Version: :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch Distributor ID: RedHatEnterpriseAS Description: Red Hat Enterprise Linux AS release 4 (Nahant Update 3) Release: 4 Codename: NahantUpdate3
大家可以发现,此系统为RHEL4_i386系统,系统内核版本为2.6.9-34,iptables版本为1.2.11;另外我在别的Centos5.5 x86_64机器上也成功部署了此脚本;由于后续的recent安全模块对系统内核有要求(这个作为主机防护脚本也经常用到),如果大家要采用iptables作为主机防火墙时,建议用Centos5.6 x86_64或更高级版本,不然系统会有如下提示错误信息:
在tail -f /var/log/messages时能发下面的的出错提示 ip_tables: connlimit match: invalid size 32 != 16 ip_tables: connlimit match: invalid size 32 != 24
另外,在生产环境下调试iptables脚本前,强烈建议编写crontab任务,每5分钟关闭一次iptalbes脚本,防止将SSH客户端锁在外面,命令如下所示:
modprobe ip_nat_ftp iptables -A INPUT -f -m limit limit 100/sec limit-burst 100 -j ACCEPT iptables -A INPUT -p icmp icmp-type echo-request -m limit limit 1/s limit-burst 10 -j ACCEPT iptables -A INPUT -p tcp -m tcp tcp-flags SYN,RST,ACK SYN -m limit limit 20/sec limit-burst 200 -j ACCEPT iptables -A INPUT -s 122.70.x.x -j ACCEPT iptables -A INPUT -s 122.70.x.x -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -m multiport dport 80,22 -j ACCEPT
这里有一种特殊情况,由于此Web服务器是置于负载均衡器后面,所以与负载均衡器的连接还是很频繁的;所以我们要允许数据源地址为负载均衡器的数据包通过;另外,我的许多基于LNMP的小网站上面也部署了此脚本,即Web服务和MySQL数据库同时安装在一台机器上,也没有开放3306端口,这个靠Web调用PHP程序实现访问。
成功运行此脚本后系统应该是不会报错的,命令如下:
Chain INPUT (policy DROP 610 packets, 50967 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 100/sec burst 100 6100 314K ACCEPT tcp * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 20/sec burst 200 1052 67637 ACCEPT all * * 122.70.x.x 0.0.0.0/0 986 58112 ACCEPT all * * 122.70.x.x 0.0.0.0/0 918 131K ACCEPT all lo * 0.0.0.0/0 0.0.0.0/0 97056 12M ACCEPT all * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 4325 218K ACCEPT tcp * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,22 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT icmp * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 1/sec burst 10 Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes) pkts bytes target prot opt in out source destination 956 134K ACCEPT all * lo 0.0.0.0/0 0.0.0.0/0
下面我稍为详细的解释下此脚本:
在主机的防护上我们配置了一些安全措施,以防止外部的ping和SYN洪水攻击,并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽,所以在这里也做了限制。命令如下所示:
上面的命令每秒钟最多允许100个新连接,请注意这里的新连接指的是state为New的数据包,在后面我们也配置了允许状态为ESTABLISHED和RELATED的数据通过;另外,100这个阀值则要根据服务器的实际情况来调整,如果是并发量不大的服务器这个数值就要调小,如果是访问量非常大且并发数不小的服务器,这个值则还需要调大。再看以下命令:
iptables -A INPUT -p icmp icmp-type echo-request -m limit limit 1/s –limit-burst 10 -j ACCEPT 这是为了防止ping洪水攻击,限制每秒的ping包不超过10个。 iptables -A INPUT -p tcp -m tcp tcp-flags SYN,RST,ACK SYN -m limit limit 20/sec limit-burst 200 -j ACCEPT
上面的命令防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,免得把数务器带宽耗尽了。
iptables防火墙运行后,我们可以运行nmap工具进行扫描,命令如下:
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST Interesting ports on 211.143.6.X: Not shown: 1668 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 443/tcp open https 465/tcp open smtps 587/tcp open submission 993/tcp open imaps 995/tcp open pop3s 1014/tcp open unknown
在这里,我们发现一个1014端被某个进程打开了,用lsof -i:1014查看发现又是rpc.statd打开的,这服务每次用的端口都不一样啊!本来想置之不理的,但是如果rpc.statd不能正确处理SIGPID信号,远程攻击者可利用这个漏洞关闭进程,进行拒绝服务攻击,所以还是得想办法解决掉,我们发现rpc.statd是由服务nfslock开启的,进一步查询得知它是一个可选的进程,它允许NFS客户端在服务器上对文件加锁。这个进程对应于nfslock服务,于是我们关掉了此服务,命令如下所示:
如果没有硬件防火墙保护的话,置于IDC机房并且有公网的Web服务器还是很有用iptables保护的必要,如果发现有人用工具恶意频繁连接我们的Web服务器,我们可以调用recent模块来阻止它们,我们的做法是:尽量在每一台有公网IP的机器上部署iptables防火墙。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/58224.html
centosiptableslinuxmysqlphp相关文章
- Apache Web服务器安全配置全攻略[通俗易懂]
- mysql 实现迁移数据库到另一台服务器
- 安全MySQL台服务器的安全管理实践(mysql台服务器)
- Linux下搭建安全的SMB服务器(linuxsmb服务器)
- web server使用Linux搭建Web服务器(usagelinux)
- 和web服务器比较Linux与Web服务器的区别(怎么分辨linux)
- 安全的局域网:架设Oracle服务器的经验(局域网oracle)
- Linux防火墙:保护服务器安全的重要武器(linux防火墙有什么用)
- 使用TPM在Linux服务器上实现安全访问(tpmlinux)
- Linux系统安全优化:让你的服务器更安全(linux系统安全优化)
- 关闭Linux服务器防火墙安全保护(关闭linux的防火墙)
- 「Linux服务器安全」防御与攻击策略(如何攻击linux服务器)
- 服务快速部署Linux服务器,轻松架设Web服务(linux部署web)
- 在Web服务器上使用Redis进行高性能处理(web服务器 redis)
- 单片机如何连接Redis服务器(单片机怎么连接redis)
- 安全关闭Redis 服务器的密码配置(关闭配置redis 密码)
- 基于Redis实现安全高效的服务器链接(redis 链接服务器)
- 保护(IIS)web服务器安全的15个技巧
- 保障WEB服务器安全的三方面的利器
- Win2003Server安全的个人Web服务器
- 服务器防黑客及木马攻击的安全设置小结
- windows服务器安全设置之提权篇
- win2003服务器安全设置教程图文(系统+数据库)