tscccn
管理员
管理员
  • 粉丝31
  • 发帖数109
  • 铜币461枚
  • 威望589点
  • 银元200个
  • 社区居民
  • 忠实会员
阅读:4613回复:8

大家都是如何设置自己服务器安全的?

楼主#
更多 发布于:2013-03-01 15:16
大家都说说是如何设置自己服务器安全的?

比如防火墙,selinux,改端口等等

最新喜欢:

dongnandongna...
会不会我不知道,反正我在努力!
dongnan
总版主
总版主
  • 粉丝52
  • 发帖数2164
  • 铜币13219枚
  • 威望5833点
  • 银元150个
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 原创写手
沙发#
发布于:2013-03-01 16:34
贴一个 web 服务器iptables 规则
$cat /root/sh/iptables.sh
#!/bin/bash 
   
#Define variable 
IPTABLES=/sbin/iptables
INTRANET="100.100.100.0/24"
Company="123.x.x.x"
Company1="202.x.x.x"
sy="119.x.x.x/27"
sj1="5x.x.x.x/26"
sj2="5x.x.x.x/28"
sj3="5x.x.x.x/28"
   
$IPTABLES -F 
$IPTABLES -X 
$IPTABLES -P FORWARD DROP 
$IPTABLES -P INPUT DROP 
   
echo "#Allow all at the loopback and INTRANET and shunyi sjhl"
$IPTABLES -A INPUT -i lo -j ACCEPT 
$IPTABLES -A INPUT -s $INTRANET -j ACCEPT 
$IPTABLES -A INPUT -s $sy -j ACCEPT 
$IPTABLES -A INPUT -s $sj1 -j ACCEPT 
$IPTABLES -A INPUT -s $sj2 -j ACCEPT 
$IPTABLES -A INPUT -s $sj3 -j ACCEPT 
$IPTABLES -A INPUT -s $Company -j ACCEPT 
$IPTABLES -A INPUT -s $Company1 -j ACCEPT 
   
   
echo "#Accepting HTTP"
$IPTABLES -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT 
   
echo "ALLOW PING"
#$IPTABLES -A INPUT -i eth0 -p icmp -j ACCEPT 
   
echo "#Allow alive conn"
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
tscccn
管理员
管理员
  • 粉丝31
  • 发帖数109
  • 铜币461枚
  • 威望589点
  • 银元200个
  • 社区居民
  • 忠实会员
板凳#
发布于:2013-03-01 16:36
dongnan:贴一个 web 服务器iptables 规则
$cat /root/sh/iptables.sh
#!/bin/bash
  
#Define variable
IPTABLES=/sbin/iptables
INTRAN...
回到原帖
不错,我防火墙这方面很差劲。还好有你们这些大侠
会不会我不知道,反正我在努力!
tscccn
管理员
管理员
  • 粉丝31
  • 发帖数109
  • 铜币461枚
  • 威望589点
  • 银元200个
  • 社区居民
  • 忠实会员
地板#
发布于:2013-03-01 16:56
@dongnan 你帮我看看我这个,当然这个不是我博客这个主机的




# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 3005:3105 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
会不会我不知道,反正我在努力!
dongnan
总版主
总版主
  • 粉丝52
  • 发帖数2164
  • 铜币13219枚
  • 威望5833点
  • 银元150个
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 原创写手
4楼#
发布于:2013-03-01 17:10
tscccn:@dongnan 你帮我看看我这个,当然这个不是我博客这个主机的




# Firewall configuration written by system-config-firewall
# Manual customiza...
回到原帖
这个有什么问题吗?
tscccn
管理员
管理员
  • 粉丝31
  • 发帖数109
  • 铜币461枚
  • 威望589点
  • 银元200个
  • 社区居民
  • 忠实会员
5楼#
发布于:2013-03-01 17:40
dongnan: 这个有什么问题吗?回到原帖
不是我的意思是还能优化不了 你没上qq袄
会不会我不知道,反正我在努力!
dongnan
总版主
总版主
  • 粉丝52
  • 发帖数2164
  • 铜币13219枚
  • 威望5833点
  • 银元150个
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 原创写手
6楼#
发布于:2013-03-01 17:58
tscccn: 不是我的意思是还能优化不了 你没上qq袄回到原帖
功能类似,看起来复杂些,不如我贴的明了。
tscccn
管理员
管理员
  • 粉丝31
  • 发帖数109
  • 铜币461枚
  • 威望589点
  • 银元200个
  • 社区居民
  • 忠实会员
7楼#
发布于:2013-03-01 18:24
恩我不怎么会写这东西 不明白,完全是拿网上的改的
会不会我不知道,反正我在努力!
tscccn
管理员
管理员
  • 粉丝31
  • 发帖数109
  • 铜币461枚
  • 威望589点
  • 银元200个
  • 社区居民
  • 忠实会员
8楼#
发布于:2013-03-01 18:26
http://bbs.ywwd.net/read-45-1#read_104



对了还有就是禁止root登陆,使用复杂的用户名密码等。够狠的话可以把selinux开开设置
会不会我不知道,反正我在努力!
游客

返回顶部