centos syn flood centos7卸载软件命令
在linux 下如何设置iptables 防火墙
Iptable-A Input-p Tcp-d自己的IP地址 b--dPort端口-J Reject
RedHat机器
cat/etc/sysconfig/iptables
*filter
:INPUT ACCEPT [10276:1578052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13784:16761487]
-A INPUT-s 10.0.0.0/255.0.0.0-i eth1-j DROP
-A INPUT-s 172.16.0.0/255.240.0.0-j DROP
-A INPUT-s 192.168.0.0/255.255.0.0-i eth1-j DROP#eth1 is interface to internet
# anti Sync Flood
-A FORWARD-p tcp-m tcp--tcp-flags SYN,RST,ACK SYN-m limit--limit 1/sec-j ACCEPT
# anti some port scan
-A FORWARD-p tcp-m tcp--tcp-flags FIN,SYN,RST,ACK RST-m limit--limit 1/sec-j ACCEPT
# anti ping of death
-A FORWARD-p icmp-m icmp--icmp-type 8-m limit--limit 1/sec-j ACCEPT
COMMIT
chkconfig iptables on
以后每次启动iptables就会自动读取配置文件(/etc/sysconfig/iptables)
自动启动
或者是/etc/rc.d/init.d/iptables start手工启动
/etc/rc.d/init.d/iptables stop手工停止
在LINUX下架设防火墙
linuxbird
随着Internet的普及,人们的日常工作与之的关系也越来紧密,因而越来越多的单位为员工开设了Internet的代理上网服务。但当一个企业的内部网络接上Internet之后,企业的内部资源就象待卖的羔羊一样,面临任人宰割的危险,因而系统的安全除了考虑计算机病毒、系统的健壮性等内部原因之外,更主要的是防止非法用户通过Internet的入侵。而目前防止的措施主要是靠防火墙的技术完成。
一、什么是防火墙
防火墙(firewall)是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问,逼使各连接点的通过能得到检查和评估。
从诞生到现在,防火墙已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙,象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系统上的防火墙软件也很多,除了下面要专门介绍的IPCHAINS外,还有很多,如:Sinus Firewall、Jfwadmin等。
目前的防火墙从结构上讲,可分为两种:
1)代理主机结构
内部网络<----->代理网关(Proxy Gateway)<----->Internet
2)路由器加过滤器结构
内部网络<----->过滤器(Filter)<---->路由器(Router)<---->Internet
二、用IPCHAINS构建局域网防火墙的原理
其实从本质上讲,用IPCHAINS构建局域网防火墙也是一种C/S模式的交互式的应用。一般服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中,常常把这个特定的服务绑定到特定的TCP或UDP端口。之后,该后台程序就不断地监听(listen)该端口,一旦接收到符合条件的客户端请求,该服务进行TCP握手后就同客户端建立一个连接,响应客户请求。与此同时,再产生一个该绑定的拷贝,继续监听客户端的请求。
IPCHAINS就是这样的一个SERVER。对内部网通往Intenet的请求,或从外部通往内部网的请求,都进行监听、检查、评估、转发、拒绝等动作。
常用的服务、协议与默认端口。
服务类型协议端口
WWW TCP/UDP 80
TELNET
ICMP
SMTP
POP3
FTP
DNS
三、用IPCHAINS作防火墙的步骤
1.安装
IPCHAINS现在的版本已经发展到1.3.9。一般在安装LINUX时都会安装上,如果没有的话可以到www.linux.org下载。下面笔者一TLC4.0为例安装IPCHAINS。由于它需IP-MASQ的支持,所以确定已安装了IP-MASQ模块。
在TLC4.0中,把该光盘放入光驱中,
#turbopkg
并选择ipchains,然后按OK就自动自动安装了。
如果你是下载ipchains安装包的话:
1)如果是rpm包:
#rpm–ivh*.rpm
2)如果是.tar.gz包
#tar xvfz*.tar.gz(先把包解开)
再到解开目录
#./configure
#make
#make install
这样就安装成功了。
2.启用ipchains
手工修改/proc/sys/net/ipv4/ipforward文件,将其内容置为1。
在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件
在/etc/rc.d/目录下的rc.local文件中加上下面这段代码:
if [-f/etc/rc.d/rc.ipfwadm ]; then/etc/rc.d/rc.ipfwadm; fi;
以后所有的ipchains的配置命令都将在rc.ipfwadm文件里修改。
3.配置ipchains(基本应用)
ipchains对机器的管理是通过对机器的ip地址作为标志的,因而首先得确保你的局域网的机器的ip地址已经配分配好,并且你对之相当熟悉。
Ipchains的配置规则一般是围绕着input、output、ipforward这三个规则进行的,其中input是指对内连接请求的过滤规则,output是指对外连接请求的过滤规则,ipforward是指对内部与外部通讯包的转发。Ipchains的命令格式一般是:
ipchains [ADC] ipchains规则 [ipchains选项]。
有关命令的详细用法请参考有关HOWTO文档。
现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为:192.168.1.1,假设目前防火墙是进行代理上网,拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。网段示意图为:
+--------------+
|内部网段| 192.168.1.1 ISDN、PSDN
|+------------|firewall|<===============>Internet
| 192.168.1.0|+--------+
+--------------+
配置ipchains防火墙规则一般有两种方式:
1)首先允许所有的包,然后在禁止有危险的包通过防火墙;
2)首先禁止所有的包,然后再根据所需要的服务允许特定的包通过防火墙。
相比较而言,第二种方式的做法更为安全。
下面是我的rc.ipfwadm的文件内容:
/sbin/depmod–a
/*自动加载所需模块,如果觉得这样有危险,需手动指定安装模块,可以如下面这一小段就是手动指定加载模块*/
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_ftp
/*加载ip伪装的ftp模块*/
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_irc
/*加载ip伪装的irc模块*/
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_raudio
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_user
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_autofw
/sbin/modprobe-a-t/lib/modules/2.2.10/ipv4/ip_masq*
/*自动加载ip伪装的相关模块*/
ipchains–F
/*刷新所有的ipchains规则*/
ipchains-P forward DENY
/*拒绝转发所有的ip包*/
/*下面允许特定的包通过*/
/*开设权限比较高的主机*/
ipchains-A forward-s 192.168.1.10/32-j MASQ
/*允许内部的192.168.1.10主机不受限制访问。比如总经理*/
ipchains-A forward-s 192.168.1.12/32-j MASQ
/*允许内部的192.168.1.12主机不受限制访问。比如系统管理员,在依次添加*/
ipchains-A forward-s 192.168.1.41/32-j MASQ
/*for example linuxbird的主机地址:192.168.1.41*/
/*某些机器,因需要不能对外连接*/
ipchains-A forward-s 192.168.1.3/32-j DENY
/*此机器为内部文档专用机,不能访问外部*/
/*设置内部普通用户能访问的站点*/
ipchains-A forward-d 202.101.98.55/32-j MASQ# FJ-DNS
ipchains-A forward-d 202.101.0.133/32-j MASQ# FJ-DNS
/*这是上网的DNS服务器,本人用的是福州电信局的DNS*/
/*以下是普通用户能访问的站点,根据需要可以对其增删改*/
ipchains-A forward-d 202.101.98.50/32-j MASQ
/* public.fz.fj.cn*/
ipchains-A forward-d 202.101.98.60/32-j MASQ
/* pub5.fz.fj.cn*/
ipchains-A forward-d 202.96.44.14/24-j MASQ
/*freemail.263.net*/
ipchains-A forward-d 202.99.11.120/32-j MASQ
/*www.linuxaid.com.cn*/
ipchains-A forward-d 205.227.44.44/24-j MASQ
/* www.oracle.com*/
ipchains-A forward-d 205.227.44.46/32-j MASQ
/* lliance.oracle.com*/
#ipchains-A forward-d 205.227.44.237/32-j MASQ
/* support.oracle.com*/
ipchains-A forward-d 209.246.5.38/24-j MASQ
/* technet.oracle.com*/
ipchains-A forward-d 137.69.200.8/32-j MASQ
/* www.legato.com*/
ipchains-A forward-d 202.96.125.102/32-j MASQ
/*www.188.net*/
ipchains-A forward-d 207.105.83.51/32-j MASQ
/* www.borland.com*/
ipchains-A forward-d 207.46.131.30/24-j MASQ
/* www.microsoft.com*/
ipchains-A forward-d 207.46.130.30/24-j MASQ
/* www.microsoft.com*/
ipchains-A forward-d 204.146.81.99/32-j MASQ
/* www.ibm.com*/
ipchains-A forward-d 202.102.24.74/24-j MASQ
/* www.lodesoft.com*/
ipchains-A forward-d 210.77.34.109/32-j MASQ
/* www.csdn.net*/
ipchains-A forward-d 192.138.151.66/32-j MASQ
/* www.sybase.com*/
ipchains-A forward-d 202.102.26.1/32-j MASQ
/* www.nari-china.com*/
ipchains-A forward-d 202.102.26.51/32-j MASQ
/*www.aeps-info.com*/
ipchains-A forward-d 202.106.185.2/32-j MASQ
/* www.sohu.com*/
……
CentOS Linux防火墙配置及关闭方法
偶然看到防火墙的配置操作说明,感觉不错。执行”setup”命令启动文字模式配置实用程序,在”选择一种工具”中选择”防火墙配置”,然后选择”运行工具”按钮,出现防火墙配置界面,将”安全级别”设为”禁用”,然后选择”确定”即可.
或者用命令:
#/sbin/iptables-I INPUT-p tcp–dport 80-j ACCEPT
#/sbin/iptables-I INPUT-p tcp–dport 22-j ACCEPT
#/etc/rc.d/init.d/iptables save
这样重启计算机后,防火墙默认已经开放了80和22端口
这里应该也可以不重启计算机:
#/etc/init.d/iptables restart
防火墙的关闭,关闭其服务即可:
查看防火墙信息:
#/etc/init.d/iptables status
关闭防火墙服务:
#/etc/init.d/iptables stop
永久关闭?不知道怎么个永久法:
#chkconfig–level 35 iptables off
看了好几个页面内容都有错,下面是正确方法:
#/sbin/iptables-I INPUT-p tcp--dport 80-j ACCEPT
#/sbin/iptables-I INPUT-p tcp--dport 22-j ACCEPT
然后保存:
#/etc/rc.d/init.d/iptables save
再查看是否已经有了:
[root@vcentos~]#/etc/init.d/iptables status
Table: filter
Chain INPUT(policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp-- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
2 ACCEPT tcp-- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
3 RH-Firewall-1-INPUT all-- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD(policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all-- 0.0.0.0/0 0.0.0.0/0
服务器遭受到大量的大量SYN_RECV,80端号占死,网站打不开
没有硬防
有什么办法可以解决吗
1
sysctl-w net.ipv4.tcp_syncookies=1#启用使用syncookies
sysctl-w net.ipv4.tcp_synack_retries=1#降低syn重试次数
sysctl-w net.ipv4.tcp_syn_retries=1#降低syn重试次数
sysctl-w net.ipv4.tcp_max_syn_backlog=6000#最大半连接数
sysctl-w net.ipv4.conf.all.send_redirects=0
sysctl-w net.ipv4.conf.all.accept_redirects=0#不接受重定向的icmp????br/sysctl-w net.ipv4.tcp_fin_timeout=30
sysctl-w net.ipv4.tcp_keepalive_time=60
sysctl-w net.ipv4.tcp_window_scaling=1
sysctl-w net.ipv4.icmp_echo_ignore_all=1#禁止ICMP
sysctl-w net.ipv4.icmp_echo_ignore_broadcasts=1#ICMP禁止广播
2.限制单位时间内连接数
如
iptables-N syn-flood
iptables-A FORWARD-p tcp--syn-j syn-flood
iptables-A INPUT-p tcp--syn-j syn-flood
iptables-A syn-flood-p tcp--syn-m limit--limit 3/s--limit-burst 1-j ACCEP
iptables-A syn-flood-j DROP
iptables-A INPUT-i eth0-p tcp!--syn-m state--state NEW-j DROP
iptables-A INPUT-p tcp--syn-m state--state NEW-j DROP
3如果还是不行,
iptables-A INPUT-p tcp--dport 80-m recent--name BAD_HTTP_ACCESS--update--seconds 60--hitcount 30-j REJECT
iptables-A INPUT-p tcp--dport 80-m recent--name BAD_HTTP_ACCESS--set-j ACCEP
如攻击过来的流量大于你的服务器的流量,那就没有什么办法了,如果流量不大,以上方法,可以暂时保证你的80可以访问
如果你的内核已经支持iptables connlimit可以使用, iptables设定部份,也可以使用
iptables-I FORWARD-p tcp--syn-m connlimit--connlimit-above 5-j DROP
或
iptables-A INPUT-p tcp--syn--dport 80-m connlimit--connlimit-above 5-j REJECT
对付SYN FLOOD的话,真正起作用的是:
sysctl-w net.ipv4.tcp_syncookies=1 #启用使用syncookies
sysctl-w net.ipv4.tcp_synack_retries=1 #降低syn重试次数
其他IPTABLES的限制速度功能不能用来对付SYN FLOOD的(不能阻止拒绝服务,但是确实可以防止服务器CRASH)。
CentOS系统常规初始化操作详解
环境准备:
1)设置本地国际化语言为en_US.UTF-8
[root@c58~]#sed-i's/^\(LANG=\).*$/\1en_US.UTF-8/'/etc/sysconfig/i18n
[root@c58~]#cat/etc/sysconfig/i18n
LANG=en_US.UTF-8
[root@c58~]#LANG=en_US.UTF-8
2)更新系统软件包
备份默认yum源:
find/etc/yum.repos.d-name'*.repo'-execmv{}{}.bak\;
添加163yum源:
redhat5或centos5:
wget
redhat6或centos6
wget
添加epel yum源:
redhat5.x 32bit:
rpm-ivh
redhat5.x 64bit:
rpm-ivh
redhat6.x 32bit:
rpm-ivh
redhat6.x 64bit:
rpm-ivh
更新证书:
yum-yupgradeca-certificates--disablerepo=epel
更新系统所有软件包:
yumcleanallyummakecacheyum-yupgrade
下文以redhat5/centos5为例
一、服务最小化原则
关闭所有开机自启动服务,仅开启sshd、crond、network、iptables、syslog(redhat5)、rsyslog(redhat6),然后在此基础上按需添加需要开机启动的服务。
1)关闭所有开机自启动服务
[root@c58~]#foriin`chkconfig--list|awk'{if($1~/^$/){exit0;}else{print$1}}'`;dochkconfig$ioff;done
2)开启基础服务
[root@c58~]#foriinsshdnetworksyslogcrondiptables;dochkconfig$ion;done
3)查看开启的服务
[root@c58~]#chkconfig--list|grep'3:on'
crond0:off1:off2:on3:on4:on5:on6:off
iptables0:off1:off2:on3:on4:on5:on6:off
network0:off1:off2:on3:on4:on5:on6:off
sshd0:off1:off2:on3:on4:on5:on6:off
syslog0:off1:off2:on3:on4:on5:on6:off
二、用户登录限制
1)禁止使用root用户使用远程ssh
[root@c58~]#cd/etc/ssh
[root@c58ssh]#cpsshd_configsshd_config~
[root@c58ssh]#sed-i's/#\(PermitRootLogin\)yes/\1no/'sshd_config
[root@c58ssh]#grep'PermitRoot'/etc/ssh/sshd_config
PermitRootLoginno
2)禁用登录提示信息
[root@c58ssh]#/etc/motd
3)修改ssh的默认监听端口(tcp:22)
#这里修改为tcp的11983端口
[root@c58ssh]#sed-i's/#\(Port\)22/\11983/'sshd_config
[root@c58ssh]#grep'Port'sshd_config
Port11983
4)只允许指定的ip可以ssh(可选)
方法1(使用tcpwrapper):
#只允许192.168.124.0网段的ip使用ssh
echosshd:192.168.124.0/255.255.255.0/etc/hosts.allow
echosshd:ALL/etc/hosts.deny
方法2(使用iptables):
#注意,远程操作时需留心,以免把自己也拒绝而导致无法远程连接。如只允许192.168.1.0网段的所有ip进行ssh,其他所有ip都拒绝#先允许自己的ip,以防被后面的操作误伤
iptables-IINPUT-s10.0.0.1-ptcp--dport22-jACCEPT
#允许192.168.1.0网段
iptables-I2INPUT-s192.168.1.0/24-ptcp--dport22-jACCEPT
#拒绝所有
iptables-I3INPUT-ptcp--dport22-jDROP
#保存iptables的设置:
cp/etc/sysconfig/iptables/etc/sysconfig/iptables~
iptables-save/etc/sysconfig/iptables
最后,重启sshd服务使上面配置生效(不用担心重启时已打开的远程终端连接会断开,重启只会对新开的终端生效)
[root@c58ssh]#/etc/init.d/sshdrestart
Stoppingsshd:[OK]
Startingsshd:[OK]
三、用户及命令权限最小化
创建一个普通用户tom,将其加入sudo组,该用户作为系统管理员
groupaddsudo#创建sudo组
useradd-Gsudotom#创建tom用户,加入sudo组
passwdtom#设置tom用户的登陆密码
修改sudo配置文件,授权sudo组的用户可以以root身份执行所有命令(可以针对不同用户授予不同的命令执行权限,这里允许执行所有命令,生产环境中系统管理员应该按需为用户分配尽可能少的可执行命令,以实现权限最少化),用户执行的所有sudo操作都将记录在/var/log/sudo.log中,以便日后的安全事件排查。执行命令如下:
[root@cloud~]#cat/etc/sudoersEOF
%sudoALL=(root)ALL
Defaultslogfile=/var/log/sudo.log
EOF
[root@cloud~]#visudo-c
[root@cloud~]#echolocal2.debug/var/log/sudo.log/etc/syslog.conf
[root@cloud~]#/etc/init.d/syslogrestart
注:visudo-c命令用于检查/etc/sudoers文件的语法正确性
四、内核安全参数设置
vim/etc/sysctl.conf#添加如下内容:
#关闭对ping包的响应(可选,一般不建议,因为不方便网络故障时的排查)
net.ipv4.icmp_echo_ignore_all=1
#关闭对广播ping的响应
net.ipv4.icmp_echo_ignore_broadcasts=1
#开启syncookie用于防范synflood攻击,当出现syn等待队列溢出时(syn数量超过tcp_max_syn_backlog的设置值),启用cookie来处理,server在回复syn_ack前会先请求client回复一个序列号,该序列号中要求包含原先syn包中的信息,如果序列号不正确,则server端会忽略此syn连接。
net.ipv4.tcp_syncookies=1
#设置sync_ack的最大重传次数,默认值为5,范围0-255,重传5次的时间大约为180s
net.ipv4.tcp_synack_retries=3
#设置当keepalive打开的情况下,keepalive消息的发送间隔,默认为2小时(由于目前网络攻击等因素,造成了利用这个进行的攻击很频繁,如果两边建立了连接,然后不发送任何数据或者rst/fin消息,那么持续的时间就是2小时,成就了空连接攻击,tcp_keepalive_time就是预防此情形的.)
net.ipv4.tcp_keepalive_time=1200
保存退出后,执行sysctl-p命令将以上设置加载到内核使其立刻生效
五、内核性能相关参数设置(可选)
vim/etc/sysctl.conf#添加如下内容:
#设置syn等待队列的长度,对于内存大于128M的机器,默认值是1024,在并发请求较大时,可以调大该值
net.ipv4.tcp_max_syn_backlog
#开启timewait重用。允许将time_waitsocket重新用于新的tcp连接
net.ipv4.tcp_tw_reuse=1
#开启tcp连接中time_waitsocket的快速回收
net.ipv4.tcp_tw_recycle=1
#TCP发送keepalive探测以确定该连接已经断开的次数,默认值为9
net.ipv4.tcp_keepalive_probes=5
#指定探测消息发送的频率,该值乘以tcp_keepalive_probes就可以得到从开始探测到连接被删除所需的时间。默认值为75,也就是没有活动的连接将在大约11分钟以后将被丢弃。(对于普通应用来说,这个值有一些偏大,可以根据需要改小.特别是web类服务器需要改小该值,15是个比较合适的值)
net.ipv4.tcp_keepalive_intvl=15
#表示系统同时保持TIME_WAITsocket的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并输出警告信息。默认为180000,改为5000.对于squid服务器来说,此参数可以控制TIME_WAIT套接字的最大数量,避免squid服务器被大量的TIME_WAITsocket拖死。
net.ipv4.tcp_max_tw_buckets=5000
#表示向外连接的端口范围。默认值很小:32768~61000,改为1024~65000
net.ipv4.ip_local_port_range=102465000
保存退出后,执行sysctl-p命令将以上设置加载到内核使其立刻生效
