主题:Linux系统的安全加固[3]
http://www.educity.cn 作者:佚名 来源:希赛教育
五、Banner伪装
1) 入侵者通常通过操作系统、服务及应用程序版本来攻击,漏油列表和攻击程也是按此来分类,所以我们有必要作点手脚来加大入侵的难度。
所以编辑/etc/rc.d/rc.local如下:
echo "Kernel $(uname -r) on $a $(uname -m)" >/etc/issue
echo "Kernel \r on an \m" >> /etc/issue
cp -f /etc/issue /etc/issue.net
echo >> /etc/issue
2) 对于Apache的配置文件,找到ServerTokens和ServerSignature两个directive,修改其默认属性如下,使用不会显版本号:
ServerTokens prod
ServerSignature Off
六、IPTABLES防火墙规则:
iptables -A INPUT -p --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
以上规则将阻止由内而外的TCP主动选接。上面是一个简单例子,IPTABLES功能十分强大,可以根据具体情况设置防火墙规则。
五、Banner伪装
1) 入侵者通常通过操作系统、服务及应用程序版本来攻击,漏油列表和攻击程也是按此来分类,所以我们有必要作点手脚来加大入侵的难度。
所以编辑/etc/rc.d/rc.local如下:
echo "Kernel $(uname -r) on $a $(uname -m)" >/etc/issue
echo "Kernel \r on an \m" >> /etc/issue
cp -f /etc/issue /etc/issue.net
echo >> /etc/issue
2) 对于Apache的配置文件,找到ServerTokens和ServerSignature两个directive,修改其默认属性如下,使用不会显版本号:
ServerTokens prod
ServerSignature Off
六、IPTABLES防火墙规则:
iptables -A INPUT -p --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
以上规则将阻止由内而外的TCP主动选接。上面是一个简单例子,IPTABLES功能十分强大,可以根据具体情况设置防火墙规则。