分享
 
 
 

网络服务安全

王朝other·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

摘要

samba,ftp,apache,ipchains(2002-07-19 16:18:41)

--------------------------------------------------------------------------------

1.使用ipchains作防火墙和路由(包过滤和tcp/ip参考知识)

ipchains适用于2.2内核和2.4内核

1.1 与ipchains防火墙相关的内核选项(2.2内核)

CONFIG_FIREWALL

CONFIG_IP_FIREWALL 激活IP包过滤

CONFIG_IP_MASQUERADE 路由器 MASQ

CONFIG_IP_MASQUERADE_IMCP

CONFIG_IP_ADVANCED_ROUTER 高级路由

CONFIG_IP_TRANSPARENT_PROXY 将指向远程主机的局域网流量重

定向到本地端口的代理服务起

(PROXY)REDIRECT

注意:IPCHAINS规则只适用于tcp/ip,无法阻止同一个接口上基于ipx或者appletack的攻击

1.2 理解IPCHAINS的七个对象

ACCEPT,DENY,REJECT,MASQ,RETURN(相当于链的子程序调用的回归),user chain

1.3 ipchains基本参数

-A,-D,-R,-I,-L,-F,-N,-X,-P,-C

实例 动手操作

#ipchains -A input -s 0/0 -d 192.168.0.1 -j ACCEPT

#ipchains -R input 1 -s 192.168.0.2 -d 192.168.0.1 -j DENY

#ipchains -I input 1 -s 0/0 -d 0/0 -j REJECT

如果是远程登陆,会出现。。。断线的情况

#ipchains -nL

#ipchains -N mychain

#ipchains -F input

#ipchains -F

#ipchains -X

#ipchains -P input DENY

#ipchains -C input -i eth0 -s 192.168.1.2 www -d 192.168.1.1 www -p tcp

#ipchains -D input 1

1.4 ipchains基本选项

-p [!]protocol

-s [!]addr [[!]port]

-d [!]addr [[!]port]

-i [!]interface

-j target

-l 当匹配时,该规则纪录有关包的信息

[!]-y 该规则应该仅匹配正在初始化连接的tcp包。

1.5 example

a.关于domain的设置注意tcp和udp

#ipchains -A input -p tcp -s $DNS domain -j ACCEPT

#ipchains -A input -p udp -s $DNS domain -j ACCEPT

b.设置ip masquerade时不要忘记打开ip转发

可以在/etc/rc.d/rc.local脚本中写入 #echo 1 > /proc/sys/net/ipv4/ip_forward,否则重起后,ip_forward又变成0

#ipchains -A input -i eth1 -s $INT -j ACCEPT

#ipchains -A forward -s $INT -j MASQ

#ipchains -A forward -j DENY -l 禁止并纪录其他转发企图

注意$INT的范围:92.168.1.0/24 (192.168.1.1-192.168.1.254);主机为192.168.1.1、192.168.0.0/16(192.168.1.1-192.168.255.254)

c.允许内部网络访问外部ftp服务

#ipchains -A input -p tcp -s 0/0 ftp-data -j ACCEPT

#ipchains -A input -p tcp -s 0/0 ftp -j ACCEPT

介绍:port forwarding端口转发,允许到达外部接口的网络接口的数据包转发到内部网相同端口的 一种方法,

允许在防火墙后面提供网络服务。可以通过ipchains和ipmasqadm(ip伪装工具管理)来实现。

语法为:ipmasqadm portfw -a -P tcp -L $myip port -R server_ip port

具体为:#ipmasqadm portfw -a -P tcp -L $myip 80 -R 192.168.1.2 80

2.保护Apache,Ftp,Samba服务

2.1 核心配置文件的位置

/etc/httpd/conf/httpd.conf、resourceconfig、conf/srm.conf、accessconfig

conf/access.conf定义了配置文件的位置,现在已经不使用了;

maxclients 100

不可以太大,也不可以太小,根据服务器配置和客户数量综合决定

port 80

修改为别的端口时,最好不要与/etc/services中的端口重复

user

apache

group

apache

指定运行httpd进程的用户和组的所有权,不要以root身份运行httpd进程

userdir public_html

userdir disabled root

如果只允许少数用户的web空间,如下作

userdir disabled

userdir enabled kim ben jack

userdir disabled

例如如下配置:

userdir public_html

#userdir disabled

#userdir enabled ben

AllowOverride FileInfo AuthConfig Limit

Options MultiViews Indexes

SymLinksIfOwnerMatch IncludesNoExec

Order allow,deny

Allow from all

Order deny,allow

Deny from all

注意修改/home/*的目录属性为711

2.2 全局日志指令

好的日志对于好的安全性非常关键,尤其是高流量的服务器时。

ErrorLog logs/error_log

#

# LogLevel: Control the number of messages logged to the error_log.

# Possible values include: debug, info, notice, warn, error, crit,

# alert, emerg.

#

LogLevel warn

#产生最少的日志流量,不会错过任何危险的情况

LogFormat "%h %l %u %t "%r" %>s %b" common

#logformat的特殊值

#

%a 远程用户ip,

#

%A 本地httpd服务器的ip,

#

%f 传送的文件名,

#

%h 远程主机,

#

%m 请求方式

#

%l identd给出的远程名,

#

%p连接httpd的端口,

#

%P 请求的httpd进程,

#

%t 时间,

#

%T 服务请求时间

CustomLog logs/access_log combined

2.3 作用域和其他作用域

order deny,allow

deny from all

#例外如下

order allow,deny

allow from all

#例如:allow from all,

#

allow from 10.0.0.0/8,

#

allow from 10. ,

#

allow from .china.com

# 如果把private.txt改成index.html会怎么样?

order deny,allow

deny from all

a.4 验证

authtype basic

authname "private areas"

authuserfile /etc/httpd/conf/privatepasswd

require valid-user

创建验证数据库

#htpasswd -bc /etc/httpd/conf/privatepasswd ben ben

#htpasswd -b /etc/httpd/conf/privatepasswd kim

新密码:kim

重新输入密码:kim

还有一种方式创建.htaccess文件,使用accessfilename .htaccess选项,格式为:

authtype basic

authname "student club"

authuserfile /etc/httpd/conf/studentclub

require valie-user

另外:用mysql+php来验证网络服务,学有余力的学员可以try

3.ftp服务属于xinetd服务

3.1 禁止你名ftp登陆

/etc/passwd和/etc/shadow中删除ftp

/etc/ftpusers中加入ftp或者anonymous

3.2 /etc/ftpaccess配置文件

loginfails 3

greeting brief

# 显示简短的消息给用户,忽略了版本信息

# 220 liwei FTP server (Version wu-2.6.1-1icon_cool.gif ready.

# Turn on logging to /var/log/xferlog

log transfers anonymous,guest,real inbound,outbound

# 纪录所有种类的用户初始化传输

log commands anonymous,guest,real

# 纪录所有种类的用户输入的所有命令

chmod no anonymous,guest

delete no anonymous,guest

overwrite no anonymous,guest

rewrite no anonymous,guest

umask no anonymous,guest

passwd-check rfc822 enforce

# 强制使用合法的email账号作为匿名ftp登陆的密码

noretrieve /etc/ /home/*/.htaccess core

# 以下内容为复习

class all real,guest,anonymous *

limit all 20 Any /etc/mesg

upload /var/ftp * no

upload /var/ftp /pub/imcoming yes ftp daemon 0600 dirs

alias inc /pub/incoming

email admin@localhost

restricted-uid %501-510

# 流量限制自己。。。

throughput /var/ftp * * oo - *

throughput /var/ftp /pub* * 2000 0.5 *

throughput /var/ftp /pub* readme oo - *

throughput /var/ftp /pub* * oo - *.fudan.edu.cn

cdpath /pub

# 指定优先搜寻路经,例如cd abc,会优先寻找/pub下的abc

cdpath /

# 然后再是/目录下的abc

3.3命令(客户端命令略)

ftpshut now

ftpshut 1001

ftpshut +20

ftpshut -l 30 -d 10 1700 "ftp is shutting down "

ftprestart

对/etc/shutmsg和/var/ftp/shutmsg文件删除操作

ftpwho

ftpcount

匿名上传目录权限位chmod 733 incoming

4.samba的安全

不属于xinetd服务,但是samba的管理工具swat属于xinetd服务

swat(samba web administration tool) 启动swat不必启动apache服务器,swat有自己的内嵌的web服务器

因为samba不使用加密连接,所以不要远程使用swat工具

包过滤

#grep netbios /etc/services

允许外部某个主机访问内部samba服务,通过ipchains建立如下规则

#ipchains -A input -p tcp -s trusted.ext.system.ip

-d myip 137:139 -j ACCEPT

#ipchains -A input -p udp -s trusted.ext.system.ip

-d myip 137:139 -j ACCEPT

#ipchains -A input -i !lo -d myip 137:139 -j DENY -l

通过iptable实现如下(略)

#iptables -t filter -A INPUT -p tcp -s trusted.ext.system.ip

-d myip 137:139 -j ACCEPT

#iptables -t filter -A INPUT -p udp -s trusted.ext.system.ip

-d myip 137:139 -j ACCEPT

#iptables -t filter -A INPUT -i !lo -d myip 137:139 -j DROP

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有