最好的Linux系統(tǒng)安全教程

1、LinuxLinux系統(tǒng)安全BIOS安全LILO安全口令和帳號(hào)安全取消不必要的服務(wù) 限制網(wǎng)絡(luò)訪問(wèn)防止攻擊替換常見(jiàn)網(wǎng)絡(luò)服務(wù)應(yīng)用程序 防火墻常見(jiàn)安全工具一、BIOSBIOS安全 一定要給Bios設(shè)置密碼，以防通過(guò)在Bios中改變啟動(dòng)順序，而可以從軟盤(pán)啟動(dòng)。 這樣可以阻止別人試圖用特殊的啟動(dòng)盤(pán)啟動(dòng)你的系統(tǒng)，還可以阻止別人進(jìn)入Bios改動(dòng)其中的設(shè)置（比如允許通過(guò)軟盤(pán)啟動(dòng)等）。二、 LILO安全 LILO是LInux LOader的縮寫(xiě)，它是LINUX的啟動(dòng)模塊。可以通過(guò)修改“/etc/lilo.conf”文件中的內(nèi)容來(lái)進(jìn)行配置。 在“/etc/lilo.conf”文件中加入下面三個(gè)參數(shù)：time-ou

2、t,restricted,password。這三個(gè)參數(shù)可以使你的系統(tǒng)在啟動(dòng)lilo時(shí)就要求密碼驗(yàn)證。 q配置步驟：編輯lilo.conf文件（vi /etc/f）,假如或改變這三個(gè)參數(shù) 。boot=/dev/hdamap=/boot/mapinstall=/boot/boot.btime-out=00 #把這行改為00promptDefault=linux 二、 LILO安全restricted #加入這行password= #加入這行并設(shè)置自己的密碼image=/boot/vmlinuz-2.2.14-12label=linuxinitrd=/boot/initrd-2.2.14-12.im

3、groot=/dev/hda6read-only因?yàn)椤?etc/lilo.conf”文件中包含明文密碼，所以要把它設(shè)置為root權(quán)限讀取。rootkapil /# chmod 600 /etc/lilo.conf更新系統(tǒng)，以便對(duì)“/etc/lilo.conf”文件做的修改起作用。Rootkapil /# /sbin/lilo v使用“chattr”命令使“/etc/lilo.conf”文件變?yōu)椴豢筛淖?。rootkapil /# chattr +i /etc/lilo.conf 這樣可以防止對(duì)“/etc/lilo.conf”任何改變（以外或其他原因） 三、 口令和帳號(hào)安全1.1.刪除所有的特殊賬

4、戶(hù)刪除所有的特殊賬戶(hù) 應(yīng)該刪除所有不用的缺省用戶(hù)和組賬戶(hù)（比如lp, sync, shutdown, halt，mail；不用sendmail服務(wù)器可刪除帳號(hào) news, uucp, operator, games；不用X windows 服務(wù)器可刪掉帳號(hào) gopher刪除語(yǔ)法：刪除用戶(hù)：rootkapil /# userdel LP刪除組：rootkapil /# groupdel LP 三、 口令和帳號(hào)安全2.取消普通用戶(hù)的控制臺(tái)訪問(wèn)權(quán)限取消普通用戶(hù)的控制臺(tái)訪問(wèn)權(quán)限 應(yīng)該取消普通用戶(hù)的控制臺(tái)訪問(wèn)權(quán)限，比如shutdown、reboot、halt等命令。rootkapil /# rm -f

5、/etc/security/console.apps/xx（xx是你要注銷(xiāo)的程序名）3.3.口令安全口令安全杜絕不設(shè)口令的帳號(hào)存在 杜絕不設(shè)口令的帳號(hào)存在可以通過(guò)查看/etc/passwd文件發(fā)現(xiàn)。 例如： test:100:9:/home/test:/bin/bash 第二項(xiàng)為空，說(shuō)明test這個(gè)帳號(hào)沒(méi)有設(shè)置口令，這是非常危險(xiǎn)的！應(yīng)將該類(lèi)帳號(hào)刪除或者設(shè)置口令。 三、 口令和帳號(hào)安全修改一些系統(tǒng)帳號(hào)的Shell變量 系統(tǒng)帳號(hào)如uucp,ftp和news等，還有一些僅僅需要FTP功能的帳號(hào)，一定不要給他們?cè)O(shè)置/bin/bash或者/bin/sh等Shell變量。方法：可以在/etc/passwd

6、中將它們的Shell變量置空，例如設(shè)為/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令來(lái)更改username的Shell為/dev/null。 這樣使用這些帳號(hào)將無(wú)法Telnet遠(yuǎn)程登錄到系統(tǒng)中來(lái)！ 三、 口令和帳號(hào)安全修改密碼長(zhǎng)度 在你安裝linux時(shí)默認(rèn)的密碼長(zhǎng)度是5個(gè)字節(jié)。但這并不夠，要把它設(shè)為8。修改最短密碼長(zhǎng)度需要編輯login.defs文件（vi /etc/login.defs），把下面這行PASS_MIN_LEN 5改為PASS_MIN_LEN 8login.defs文件是login程序的配置文件。三、 口令和

7、帳號(hào)安全打開(kāi)密碼的shadow支持功能 打開(kāi)密碼的shadow功能，來(lái)對(duì)password加密。 使用“/usr/sbin/authconfig” 工具打開(kāi)shadow功能。如果你想把已有的密碼和組轉(zhuǎn)變?yōu)閟hadow格式，可以分別使用 “/usr/sbin/pwconv，/usr/sbin/grpconv ”命令。三、 口令和帳號(hào)安全4.4.自動(dòng)注銷(xiāo)帳號(hào)的登錄自動(dòng)注銷(xiāo)帳號(hào)的登錄 root賬戶(hù)是具有最高特權(quán)的。如果系統(tǒng)管理員在離開(kāi)系統(tǒng)之前忘記注銷(xiāo)root賬戶(hù)，那將會(huì)帶來(lái)很大的安全隱患，應(yīng)該讓系統(tǒng)會(huì)自動(dòng)注銷(xiāo)。通過(guò)修改賬戶(hù)中“TMOUT”參數(shù)，可以實(shí)現(xiàn)此功能。TMOUT按秒計(jì)算。 編輯你的profil

8、e文件（vi /etc/profile）,在HISTFILESIZE=后面加入下面這行： TMOUT=300 如果系統(tǒng)中登陸的用戶(hù)在5分鐘內(nèi)都沒(méi)有動(dòng)作，那么系統(tǒng)會(huì)自動(dòng)注銷(xiāo)這個(gè)賬戶(hù)。你可以在個(gè)別用戶(hù)的“.bashrc”文件中添加該值，以便系統(tǒng)對(duì)該用戶(hù)實(shí)行特殊的自動(dòng)注銷(xiāo)時(shí)間。 改變這項(xiàng)設(shè)置后，必須先注銷(xiāo)用戶(hù)，再用該用戶(hù)登陸才能激活這個(gè)功能。 三、 口令和帳號(hào)安全5.禁止任何人通過(guò)禁止任何人通過(guò)susu命令改變?yōu)槊罡淖優(yōu)閞ootroot用戶(hù)用戶(hù) su(Substitute User替代用戶(hù))命令允許你成為系統(tǒng)中其他已存在的用戶(hù)。如果你不希望任何人通過(guò)su命令改變?yōu)閞oot用戶(hù)或?qū)δ承┯脩?hù)限制使用s

9、u命令，你可以在su 配置文件（在“/etc/pam.d/”目錄下）的開(kāi)頭添加下面兩行：編輯su文件（vi /etc/pam.d/su）在文件的頭部加入下面兩行：auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheel 然后把您想要執(zhí)行su成為root的用戶(hù)放入wheel組rootsound# usermod -G10 admin四、取消不必要的服務(wù) 察看“/etc/inetd.conf”文件，通過(guò)注釋取消所有你不需要的服務(wù)（在該服務(wù)項(xiàng)目之前加一個(gè)“

10、#”）。然后用“sighup”命令升級(jí)“inetd.conf”文件。 更改“/etc/inetd.conf”權(quán)限為600，只允許root來(lái)讀寫(xiě)該文件。 # chmod 600 /etc/inetd.conf 確定“/etc/inetd.conf”文件所有者為root。 編輯 /etc/inetd.conf文件（vi /etc/inetd.conf），取消不需要的服務(wù)：shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。 # grep -v # /etc/inetd.conf 用chattr命令把/ec/inet

11、d.conf文件設(shè)為不可修改，這樣就沒(méi)人可以修改它： # chattr +i /etc/inetd.conf 察看哪些服務(wù)在運(yùn)行： # netstat -na -ip五、限制網(wǎng)絡(luò)訪問(wèn)NFS訪問(wèn) 使用NFS網(wǎng)絡(luò)文件系統(tǒng)服務(wù)，應(yīng)該確保你的/etc/exports具有最嚴(yán)格的訪問(wèn)權(quán)限設(shè)置，也就是意味著不要使用任何通配符、不允許root寫(xiě)權(quán)限并且只能安裝為只讀文件系統(tǒng)。編輯文件/etc/exports并加入如下兩行： /dir/to/export (ro，root_squash) /dir/to/export (ro，root_squash) /dir/to/export 是你想輸出的目錄，是登錄這個(gè)

12、目錄的機(jī)器名，ro意味著mount成只讀系統(tǒng)，root_squash禁止root寫(xiě)入該目錄。 為了使改動(dòng)生效，運(yùn)行如下命令： # /usr/sbin/exportfs -a 五、限制網(wǎng)絡(luò)訪問(wèn)Inetd設(shè)置 首先要確認(rèn)/etc/inetd.conf的所有者是root，且文件權(quán)限設(shè)置為600，命令是：# chmod 600 /etc/inetd.conf 然后，編輯/etc/inetd.conf禁止以下服務(wù)，命令是： ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth 為了使改變生效，運(yùn)行如下命令： #killal

13、l -HUP inetd 五、限制網(wǎng)絡(luò)訪問(wèn)TCP_WRAPPERS 默認(rèn)的，Redhat Linux允許所有的請(qǐng)求，這是很危險(xiǎn)的。如果用TCP_WRAPPERS來(lái)增強(qiáng)我們站點(diǎn)的安全性簡(jiǎn)直是舉手之勞，你可以將禁止所有的請(qǐng)求放入“ALL: ALL”到/etc/hosts.deny中，然后放那些明確允許的請(qǐng)求到/etc/hosts.allow中，如: sshd: 0/ 表示允許IP地址0和主機(jī)名允許通過(guò)SSH連接 。 配置完成后，可以用tcpdchk檢查: # tcpdchk tcpchk是TCP_Wrapper配置檢查工具，它檢

14、查你的tcp wrapper配置并報(bào)告所有發(fā)現(xiàn)的潛在/存在的問(wèn)題。 五、限制網(wǎng)絡(luò)訪問(wèn)登錄終端設(shè)置 /etc/securetty文件指定了允許root登錄的tty設(shè)備，由/bin/login程序讀取，其格式是一個(gè)被允許的名字列表，你可以編輯/etc/securetty且注釋掉如下的行：tty1 # tty2 # tty3 # tty4 # tty5 # tty6 這時(shí)，root僅可在tty1終端登錄。 五、限制網(wǎng)絡(luò)訪問(wèn)避免顯示系統(tǒng)和版本信息如果你希望遠(yuǎn)程登錄用戶(hù)看不到系統(tǒng)和版本信息，可以通過(guò)以下操作改變/etc/inetd.conf文件： telnet stream tcp nowait roo

15、t /usr/sbin/tcpd in.telnetd -h 加-h表示telnet不顯示系統(tǒng)信息，而僅僅顯示login:。六、防止攻擊阻止ping 如果沒(méi)人能ping通你的系統(tǒng)，安全性自然增加了。為此，可以在/etc/rc.d/rc.local文件中增加如下一行： echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all防止IP欺騙 編輯host.conf文件并增加如下幾行來(lái)防止IP欺騙攻擊。 order bind，hosts multi off nospoof on六、防止攻擊防止DoS攻擊 對(duì)系統(tǒng)所有的用戶(hù)設(shè)置資源限制可以防止DoS類(lèi)型攻擊。如最大進(jìn)程

16、數(shù)和內(nèi)存使用數(shù)量等。例如，可以在/etc/security/limits.conf中添加如下幾行： * hard core 0 * hard rss 5000 * hard nproc 20 然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在。 session required /lib/security/pam_limits.so 命令禁止core files“core 0”，限制進(jìn)程數(shù)為“nproc 50“，且限制內(nèi)存使用為5M“rss 5000”。 七、替換常見(jiàn)網(wǎng)絡(luò)服務(wù)應(yīng)用程序 1.WuFTPD/WuFTPD WuFTD從1994年就開(kāi)始就不斷地出現(xiàn)安全漏洞，黑客很容易

17、就可以獲得遠(yuǎn)程root訪問(wèn)（Remote Root Access）的權(quán)限，而且很多安全漏洞甚至不需要在FTP服務(wù)器上有一個(gè)有效的帳號(hào)。最近，WuFTP也是頻頻出現(xiàn)安全漏洞。 它的最好的替代程序是ProFTPD。ProFTPD的優(yōu)點(diǎn)：ProFTPD很容易配置，在多數(shù)情況下速度也比較快，而且它的源代碼也比較干凈（緩沖溢出的錯(cuò)誤比較少）。 ProFTPD的另一個(gè)優(yōu)點(diǎn)就是既可以從inetd運(yùn)行又可以作為單獨(dú)的daemon運(yùn)行。這樣就可以很容易解決inetd帶來(lái)的一些問(wèn)題，如：拒絕服務(wù)的攻擊（denial of service attack），等 七、替換常見(jiàn)網(wǎng)絡(luò)服務(wù)應(yīng)用程序 Telnet Telnet

18、用明文來(lái)傳送密碼。 它的安全的替代程序是OpenSSH。 Linux的發(fā)行商應(yīng)該采用OpenBSD的策略：安裝OpenSSH并把它設(shè)置為默認(rèn)的，安裝Telnet但是不把它設(shè)置成默認(rèn)的。Sendmail Sendmail是以root權(quán)限運(yùn)行而且代碼很龐大容易出問(wèn)題。 它的兩個(gè)替代程序Qmail和Postfix都比它安全、速度快，而且特別是Postfix比它容易配置和維護(hù)。 七、替換常見(jiàn)網(wǎng)絡(luò)服務(wù)應(yīng)用程序 su su是用來(lái)改變當(dāng)前用戶(hù)的ID，轉(zhuǎn)換成別的用戶(hù)。 su本身是沒(méi)有問(wèn)題的，但是它會(huì)讓人養(yǎng)成不好的習(xí)慣。如果一個(gè)系統(tǒng)有多個(gè)管理員，必須都給他們r(jià)oot的口令。 su的一個(gè)替代程序是sudo 。na

19、med named以前是以root運(yùn)行的 ； 只要用命令行“named -u -g ”讓named以非root的用戶(hù)運(yùn)行 ； 現(xiàn)在絕大多數(shù)Linux的發(fā)行商都讓 named以普通用戶(hù)的權(quán)限運(yùn)行。 八、防火墻防火墻是一套能夠在兩個(gè)或兩個(gè)以上的網(wǎng)絡(luò)之間，明顯區(qū)隔出實(shí)體線(xiàn)路聯(lián)機(jī)的軟硬件設(shè)備組合。被區(qū)隔開(kāi)來(lái)的網(wǎng)絡(luò)，可以透過(guò)封包轉(zhuǎn)送技術(shù)來(lái)相互通訊，透過(guò)防火墻的安全管理機(jī)制，可以決定哪些數(shù)據(jù)可以流通，哪些資料無(wú)法流通，藉此達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。iptables 指令語(yǔ)法：iptables -t table command match -j target/jump說(shuō)明： * * t 參數(shù)用來(lái)指定規(guī)則表，內(nèi)

20、建的規(guī)則表有三個(gè)，分別是：nat、mangle 和 filter，當(dāng)未指定規(guī)則表時(shí)，則一律視為是 filter。各個(gè)規(guī)則表的功能如下： nat 此規(guī)則表?yè)碛?Prerouting 和 postrouting 兩個(gè)規(guī)則煉，主要功能為進(jìn)行一對(duì)一、一對(duì)多、多對(duì)多等網(wǎng)址轉(zhuǎn)譯工作（SNAT、DNAT），由于轉(zhuǎn)譯工作的特性，需進(jìn)行目的地網(wǎng)址轉(zhuǎn)譯的封包，就不需要進(jìn)行來(lái)源網(wǎng)址轉(zhuǎn)譯，反之亦然，因此為了提升改寫(xiě)封包的效率，在防火墻運(yùn)作時(shí)，每個(gè)封包只會(huì)經(jīng)過(guò)這個(gè)規(guī)則表一次。如果我們把封包過(guò)濾的規(guī)則定義在這個(gè)數(shù)據(jù)表里，將會(huì)造成無(wú)法對(duì)同一封包進(jìn)行多次比對(duì)，因此這個(gè)規(guī)則表除了作網(wǎng)址轉(zhuǎn)譯外，請(qǐng)不要做其它用途。 mangle

21、此規(guī)則表?yè)碛?Prerouting、FORWARD 和 postrouting 三個(gè)規(guī)則煉。 filter 這個(gè)規(guī)則表是預(yù)設(shè)規(guī)則表，擁有 INPUT、FORWARD 和 OUTPUT 三個(gè)規(guī)則煉，這個(gè)規(guī)則表顧名思義是用來(lái)進(jìn)行封包過(guò)濾的處理動(dòng)作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我們會(huì)將基本規(guī)則都建立在此規(guī)則表中。八、防火墻常用命令列表：常用命令列表：* *命令 -A, -append范例 iptables -A INPUT .說(shuō)明 新增規(guī)則到某個(gè)規(guī)則煉中，該規(guī)則將會(huì)成為規(guī)則煉中的最后一條規(guī)則。* *命令 -D, -delete范例 iptables -D INPUT

22、 -dport 80 -j DROPiptables -D INPUT 1 說(shuō)明 從某個(gè)規(guī)則煉中刪除一條規(guī)則，可以輸入完整規(guī)則，或直接指定規(guī)則編號(hào)加以刪除。* *命令 -R, -replace范例 iptables -R INPUT 1 -s -j DROP說(shuō)明 取代現(xiàn)行規(guī)則，規(guī)則被取代后并不會(huì)改變順序。八、防火墻 * *命令 -I, -insert范例 iptables -I INPUT 1 -dport 80 -j ACCEPT說(shuō)明 插入一條規(guī)則，原本該位置上的規(guī)則將會(huì)往后移動(dòng)一 個(gè)順位。* *命令 -L, -list范例 iptables -L INPUT說(shuō)明 列

23、出某規(guī)則煉中的所有規(guī)則。* *命令 -F, -flush范例 iptables -F INPUT說(shuō)明 刪除某規(guī)則煉中的所有規(guī)則。 * *命令 -Z, -zero范例 iptables -Z INPUT說(shuō)明 將封包計(jì)數(shù)器歸零。封包計(jì)數(shù)器是用來(lái)計(jì)算同一封包 出現(xiàn)次數(shù)，是過(guò)濾阻斷式攻擊不可或缺的工具。八、防火墻 * *命令 -N, -new-chain范例 iptables -N allowed說(shuō)明 定義新的規(guī)則煉。* *命令 -X, -delete-chain范例 iptables -X allowed說(shuō)明 刪除某個(gè)規(guī)則煉。* *命令 -P, -policy范例 iptables -P INPUT

24、 DROP說(shuō)明 定義過(guò)濾政策。 也就是未符合過(guò)濾條件之封包，預(yù)設(shè)的處理方式。* *命令 -E, -rename-chain范例 iptables -E allowed disallowed說(shuō)明 修改某自訂規(guī)則煉的名稱(chēng)。八、防火墻常用封包比對(duì)參數(shù)：常用封包比對(duì)參數(shù)：* *參數(shù) -p, -protocol范例 iptables -A INPUT -p tcp說(shuō)明 比對(duì)通訊協(xié)議類(lèi)型是否相符，可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)，例如：-p ! tcp ，意思是指除 tcp 以外的其它類(lèi)型，包含 udp、icmp .等。如果要比對(duì)所有類(lèi)型，則可以使用 all 關(guān)鍵詞，例如：-p all。* *參數(shù) -s,

25、 -src, -source范例 iptables -A INPUT -s 說(shuō)明 用來(lái)比對(duì)封包的來(lái)源 IP，可以比對(duì)單機(jī)或網(wǎng)絡(luò)，比對(duì)網(wǎng)絡(luò)時(shí)請(qǐng)用數(shù)字來(lái)表示屏蔽，例如：-s /24，比對(duì) IP 時(shí)也可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)，例如：-s ! /24。* *參數(shù) -d, -dst, -destination范例 iptables -A INPUT -d 說(shuō)明 用來(lái)比對(duì)封包的目的地 IP，設(shè)定方式同上。八、防火墻 * *參數(shù) -i, -in-interface范例 iptables -A INPUT -i e

26、th0說(shuō)明 用來(lái)比對(duì)封包是從哪片網(wǎng)卡進(jìn)入，可以使用通配字符 + 來(lái)做大范圍比對(duì)，例如：-i eth+ 表示所有的 ethernet 網(wǎng)卡，也可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)，例如：-i ! eth0。 * *參數(shù) -o, -out-interface范例 iptables -A FORWARD -o eth0說(shuō)明 用來(lái)比對(duì)封包要從哪片網(wǎng)卡送出，設(shè)定方式同上。* *參數(shù) -sport, -source-port范例 iptables -A INPUT -p tcp -sport 22說(shuō)明 用來(lái)比對(duì)封包的來(lái)源埠號(hào)，可以比對(duì)單一埠，或是一個(gè)范圍，例如：-sport 22:80，表示從 22 到 80

27、 埠之間都算是符合條件，如果要比對(duì)不連續(xù)的多個(gè)埠，則必須使用 -multiport 參數(shù)，詳見(jiàn)后文。比對(duì)埠號(hào)時(shí)，可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)。八、防火墻 * *參數(shù) -dport, -destination-port范例 iptables -A INPUT -p tcp -dport 22說(shuō)明 用來(lái)比對(duì)封包的目的地埠號(hào)，設(shè)定方式同上。* *參數(shù) -tcp-flags范例 iptables -p tcp -tcp-flags SYN,FIN,ACK SYN說(shuō)明 比對(duì) TCP 封包的狀態(tài)旗號(hào)，參數(shù)分為兩個(gè)部分，第一個(gè)部分列舉出想比對(duì)的旗號(hào)，第二部分則列舉前述旗號(hào)中哪些有被設(shè)定，未被列舉的旗號(hào)必

28、須是空的。TCP 狀態(tài)旗號(hào)包括：SYN（同步）、ACK（應(yīng)答）、FIN（結(jié)束）、RST（重設(shè)）、URG（緊急）、PSH（強(qiáng)迫推送）等均可使用于參數(shù)中，除此之外還可以使用關(guān)鍵詞 ALL 和 NONE 進(jìn)行比對(duì)。比對(duì)旗號(hào)時(shí)，可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)。八、防火墻 * *參數(shù) -syn范例 iptables -p tcp -syn說(shuō)明 用來(lái)比對(duì)是否為要求聯(lián)機(jī)之 TCP 封包，與 iptables -p tcp -tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 運(yùn)算子，可用來(lái)比對(duì)非要求聯(lián)機(jī)封包。* *參數(shù) -m multiport -source-port范例

29、iptables -A INPUT -p tcp -m multiport -source-port 22,53,80,110說(shuō)明 用來(lái)比對(duì)不連續(xù)的多個(gè)來(lái)源埠號(hào)，一次最多可以比對(duì) 15 個(gè)埠，可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)。* *參數(shù) -m multiport -destination-port范例 iptables -A INPUT -p tcp -m multiport -destination-port 22,53,80,110說(shuō)明 用來(lái)比對(duì)不連續(xù)的多個(gè)目的地埠號(hào)，設(shè)定方式同上。八、防火墻 * *參數(shù) -m multiport -port范例 iptables -A INPUT -p

30、tcp -m multiport -port 22,53,80,110說(shuō)明 這個(gè)參數(shù)比較特殊，用來(lái)比對(duì)來(lái)源埠號(hào)和目的埠號(hào)相同的封包，設(shè)定方式同上。注意：在本范例中，如果來(lái)源端口號(hào)為 80 但目的地埠號(hào)為 110，這種封包并不算符合條件。* *參數(shù) -icmp-type范例 iptables -A INPUT -p icmp -icmp-type 8說(shuō)明 用來(lái)比對(duì) ICMP 的類(lèi)型編號(hào)，可以使用代碼或數(shù)字編號(hào)來(lái)進(jìn)行比對(duì)。請(qǐng)打 iptables -p icmp -help 來(lái)查看有哪些代碼可以用。* *參數(shù) -m limit -limit范例 iptables -A INPUT -m limit

31、-limit 3/hour說(shuō)明 用來(lái)比對(duì)某段時(shí)間內(nèi)封包的平均流量，上面的例子是用來(lái)比對(duì)：每小時(shí)平均流量是否超過(guò)一次 3 個(gè)封包。除了每小時(shí)平均一次外，也可以每秒鐘、每分鐘或每天平均一次，默認(rèn)值為每小時(shí)平均一次，參數(shù)如后： /second、 /minute、/day。除了進(jìn)行封包數(shù)量的比對(duì)外，設(shè)定這個(gè)參數(shù)也會(huì)在條件達(dá)成時(shí)，暫停封包的比對(duì)動(dòng)作，以避免因駭客使用洪水攻擊法，導(dǎo)致服務(wù)被阻斷。八、防火墻 * *參數(shù) -limit-burst范例 iptables -A INPUT -m limit -limit-burst 5說(shuō)明 用來(lái)比對(duì)瞬間大量封包的數(shù)量，上面的例子是用來(lái)比對(duì)一次同時(shí)涌入的封包是否超

32、過(guò) 5 個(gè)（這是默認(rèn)值），超過(guò)此上限的封包將被直接丟棄。使用效果同上。* *參數(shù) -m mac -mac-source范例 iptables -A INPUT -m mac -mac-source 00:00:00:00:00:01說(shuō)明 用來(lái)比對(duì)封包來(lái)源網(wǎng)絡(luò)接口的硬件地址，這個(gè)參數(shù)不能用在 OUTPUT 和 Postrouting 規(guī)則煉上，這是因?yàn)榉獍统龅骄W(wǎng)卡后，才能由網(wǎng)卡驅(qū)動(dòng)程序透過(guò) ARP 通訊協(xié)議查出目的地的 MAC 地址，所以 iptables 在進(jìn)行封包比對(duì)時(shí)，并不知道封包會(huì)送到哪個(gè)網(wǎng)絡(luò)接口去。* *參數(shù) -mark范例 iptables -t mangle -A INPUT

33、-m mark -mark 1說(shuō)明 用來(lái)比對(duì)封包是否被表示某個(gè)號(hào)碼，當(dāng)封包被比對(duì)成功時(shí)，我們可以透過(guò) MARK 處理動(dòng)作，將該封包標(biāo)示一個(gè)號(hào)碼，號(hào)碼最大不可以超過(guò) 4294967296。八、防火墻 * *參數(shù) -m owner -uid-owner范例 iptables -A OUTPUT -m owner -uid-owner 500說(shuō)明 用來(lái)比對(duì)來(lái)自本機(jī)的封包，是否為某特定使用者所產(chǎn)生的，這樣可以避免服務(wù)器使用 root 或其它身分將敏感數(shù)據(jù)傳送出去，可以降低系統(tǒng)被駭?shù)膿p失?？上н@個(gè)功能無(wú)法比對(duì)出來(lái)自其它主機(jī)的封包。* *參數(shù) -m owner -gid-owner范例 iptables

34、-A OUTPUT -m owner -gid-owner 0說(shuō)明 用來(lái)比對(duì)來(lái)自本機(jī)的封包，是否為某特定使用者群組所產(chǎn)生的，使用時(shí)機(jī)同上。* *參數(shù) -m owner -pid-owner范例 iptables -A OUTPUT -m owner -pid-owner 78說(shuō)明 用來(lái)比對(duì)來(lái)自本機(jī)的封包，是否為某特定行程所產(chǎn)生的，使用時(shí)機(jī)同上。八、防火墻 * *參數(shù) -m owner -sid-owner范例 iptables -A OUTPUT -m owner -sid-owner 100說(shuō)明 用來(lái)比對(duì)來(lái)自本機(jī)的封包，是否為某特定聯(lián)機(jī)（Session ID）的響應(yīng)封包，使用時(shí)機(jī)同上。* *

35、參數(shù) -m state -state范例 iptables -A INPUT -m state -state RELATED,ESTABLISHED 說(shuō)明 用來(lái)比對(duì)聯(lián)機(jī)狀態(tài)，聯(lián)機(jī)狀態(tài)共有四種：INVALID、ESTABLISHED、NEW 和 RELATED。INVALID 表示該封包的聯(lián)機(jī)編號(hào)（Session ID）無(wú)法辨識(shí)或編號(hào)不正確。ESTABLISHED 表示該封包屬于某個(gè)已經(jīng)建立的聯(lián)機(jī)。NEW 表示該封包想要起始一個(gè)聯(lián)機(jī)（重設(shè)聯(lián)機(jī)或?qū)⒙?lián)機(jī)重導(dǎo)向）。 RELATED 表示該封包是屬于某個(gè)已經(jīng)建立的聯(lián)機(jī)，所建立的新聯(lián)機(jī)。例如：FTP-DATA 聯(lián)機(jī)必定是源自某個(gè) FTP 聯(lián)機(jī)。八、防火墻

36、常用的處理動(dòng)作：常用的處理動(dòng)作：-j 參數(shù)用來(lái)指定要進(jìn)行的處理動(dòng)作，常用的處理動(dòng)作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分別說(shuō)明如下：ACCEPT 將封包放行，進(jìn)行完此處理動(dòng)作后，將不再比對(duì)其它規(guī)則，直接跳往下一個(gè)規(guī)則煉（nat:postrouting）。REJECT 攔阻該封包，并傳送封包通知對(duì)方，可以傳送的封包有幾個(gè)選擇：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（這個(gè)封包會(huì)要求對(duì)方關(guān)閉聯(lián)機(jī)），進(jìn)行完此處理動(dòng)作

37、后，將不再比對(duì)其它規(guī)則，直接 中斷過(guò)濾程序。范例如下：iptables -A FORWARD -p TCP -dport 22 -j REJECT -reject-with tcp-resetDROP 丟棄封包不予處理，進(jìn)行完此處理動(dòng)作后，將不再比對(duì)其它規(guī)則，直接中斷過(guò)濾程序。八、防火墻 REDIRECT 將封包重新導(dǎo)向到另一個(gè)端口（PNAT），進(jìn)行完此處理動(dòng)作后，將 會(huì)繼續(xù)比對(duì)其它規(guī)則。 這個(gè)功能可以用來(lái)實(shí)作通透式 porxy 或用來(lái)保護(hù) web 服務(wù)器。例如： iptables -t nat -A PREROUTING -p tcp -dport 80 -j REDIRECT -to-po

38、rts 8080MASQUERADE 改寫(xiě)封包來(lái)源 IP 為防火墻 NIC IP，可以指定 port 對(duì)應(yīng)的范圍，進(jìn)行完此處理動(dòng)作后，直接跳往下一個(gè)規(guī)則煉（mangle:postrouting）。這個(gè)功能與 SNAT 略有不同，當(dāng)進(jìn)行 IP 偽裝時(shí)，不需指定要偽裝成哪個(gè) IP，IP 會(huì)從網(wǎng)卡直接讀取，當(dāng)使用撥接連線(xiàn)時(shí)，IP 通常是由 ISP 公司的 DHCP 服務(wù)器指派的，這個(gè)時(shí)候 MASQUERADE 特別有用。范例如下：iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE -to-ports 1024-31000八、防火墻 LOG 將封包相關(guān)訊息紀(jì)錄在 /var/log 中，詳細(xì)位置請(qǐng)查閱 /etc/syslog.conf 組態(tài)檔，進(jìn)行完此處理動(dòng)作后，將會(huì)繼續(xù)比對(duì)其它規(guī)則。例如：iptables -A INPUT -p tcp -j LOG -log-prefix INPUT packetsSNAT 改寫(xiě)封包來(lái)源 IP 為某特定 IP 或 IP 范圍，可以指定 port 對(duì)應(yīng)的范圍，進(jìn)行完此處理動(dòng)作