眾所周知,linux可以通過編寫iptables規則對進出linux主機的資料報進行過濾等操作,在一定程度上可以提公升linux主機的安全 性,在新版本核心中,新增了recent模組,該模組可以根據源位址、目的位址統計最近一段時間內經過本機的資料報的情況,並根據相應的規則作出相應的決 策,詳見:http://snowman.net/projects/ipt_recent/
1、通過recent模組可以防止窮舉猜測linux主機使用者口令,通常可以通過iptables限制只允許某些網段和主機連線linux機器的 22/tcp埠,如果管理員ip位址經常變化,此時iptables就很難適用這樣的環境了。通過使用recent模組,使用下面這兩條規則即可解決問 題:
-a input -p tcp -m tcp --dport 22 -m state --state new -m recent --update --seconds 60 --hitcount 4 --name ssh --rsource -j drop
-a input -p tcp -m tcp --dport 22 -m state --state new -m recent --set --name ssh --rsource -j accept
應用該規則後,如果某ip位址在一分鐘之內對linux主機22/tcp埠新發起的連線超過4次,之後的新發起的連線將被丟棄。
2、通過recent模組可以防止埠掃瞄。
-a input -m recent --update --seconds 60 --hitcount 20 --name portscan --rsource -j drop
-a input -m recent --set --name portscan --rsource -j drop
應用該規則後,如果某個ip位址對非linux主機允許的埠發起連線,並且一分鐘內超過20次,則系統將中斷該主機與本機的連線。
詳細配置如下:
*filter
:input drop [0:0]
:forward accept [0:0]
:output accept [458:123843]
-a input -i lo -j accept
-a input -i tap+ -j accept
-a input -p icmp -m icmp --icmp-type 8 -j accept
-a input -m recent --update --seconds 60 --hitcount 20 --name portscan --rsource -j drop
-a input -m state --state related,established -j accept
-a input -p tcp -m tcp --dport 22 -m state --state new -m recent --update --seconds 60 --hitcount 4 --name ssh --rsource -j drop
-a input -p tcp -m tcp --dport 22 -m state --state new -m recent --set --name ssh --rsource -j accept
-a input -p udp -m udp --dport 53 -j accept
-a input -p tcp -m tcp --dport 53 -m state --state new -j accept
-a input -p tcp -m tcp --dport 80 -m state --state new -j accept
-a input -p tcp -m tcp --dport 443 -m state --state new -j accept
-a input -m recent --set --name portscan --rsource -j drop
commit
以上配置說明,本機開放可供服務的埠有22/tcp(有連線頻率限制),53/tcp/udp, 80/tcp, 443/tcp,所有發往本機的其他ip報文則認為是埠掃瞄,如果一分鐘之內超過20次,則封禁該主機,攻擊停止一分鐘以上自動解封。
在這只是取個拋磚引玉的作用,通過recent模組還可以實現很多更複雜的功能,例如:22/tcp埠對所有主機都是關閉的,通過順序訪問23/tcp 24/tcp 25/tcp之後,22/tcp埠就對你乙個ip位址開放等等。
Iptables模組recent應用
recent這個模組很有趣,善加利用可充分保證您伺服器安全。設定常用引數 name 設定列表名稱,預設default。rsource 源位址,此為預設。rdest 目的位址 seconds 指定時間內 hitcount 命中次數 set 將位址新增進列表,並更新資訊,包含位址加入的時間戳。rchec...
JumpList中Recent類別和自定義型別
在我們使用 windows 系統時,我們常看到系統有很多態別,比如 word 的文件型別,它是以 doc 副檔名標識的,還有 pdf html aspx 等等,一但我們安裝某些程式,相應型別程式的文件就可以開啟進行編輯了。今天,我們也建立自己的乙個型別,並結合 jumplist 的recent 來開...
JumpList中Recent類別和自定義型別
在我們使用 windows 系統時,我們常看到系統有很多態別,比如 word 的文件型別,它是以 doc副檔名標識的,還有 pdf,html aspx 等等,一但我們安裝某些程式,相應型別程式的文件就可以開啟進行編輯了。今天,我們也建立自己的乙個型別,並結合 jumplist 的recent 來開發...