1679.html

著名的linux英雄站点的文档打包

                        <TABLE cellSpacing=0 cellPadding=0 width="95%" 
                          border=0><TBODY>
                          <TR>
                            <TD background="images/bgi.gif" tppabs="http://www.linuxhero.com/docs/images/bgi.gif" 
                          height=30></TD></TR></TBODY></TABLE>
                        <TABLE cellSpacing=0 cellPadding=3 width="95%" 
                        align=center border=0>
                          <TBODY>
                          <TR>
                            <TD>
                              <TABLE cellSpacing=0 cellPadding=3 width="100%" 
                              border=0>
                                <TBODY>
                                <TR>
                                      <TD vAlign=top> 
<p><FONT class=normalfont><B><font color=blue>网络服务安全</font></B></FONT><BR><FONT class=smallfont color=#ff9900>2004-04-23 15:18 pm</FONT><BR><FONT class=normalfont>作者：shokme<br>来自：Linux知识宝库<br>联系方式：无名<br><br>摘要<br>
　　samba,ftp,apache,ipchains(2002-07-19 16:18:41)<br>
--------------------------------------------------------------------------------<br>
<br>
1.使用ipchains作防火墙和路由(包过滤和tcp/ip参考知识)<br>
<br>
　　ipchains适用于2.2内核和2.4内核<br>
<br>
1.1 与ipchains防火墙相关的内核选项(2.2内核)<br>
<br>
<br>
CONFIG_FIREWALL<br>
CONFIG_IP_FIREWALL 激活IP包过滤<br>
CONFIG_IP_MASQUERADE 路由器 MASQ<br>
CONFIG_IP_MASQUERADE_IMCP<br>
CONFIG_IP_ADVANCED_ROUTER 高级路由<br>
CONFIG_IP_TRANSPARENT_PROXY 将指向远程主机的局域网流量重<br>
定向到本地端口的代理服务起<br>
（PROXY）REDIRECT<br>
<br>
<br>
<br>
　　注意：IPCHAINS规则只适用于tcp/ip，无法阻止同一个接口上基于ipx或者appletack的攻击<br>
<br>
1.2 理解IPCHAINS的七个对象<br>
<br>
　　ACCEPT,DENY,REJECT,MASQ,RETURN(相当于链的子程序调用的回归),user chain<br>
<br>
1.3 ipchains基本参数<br>
<br>
　　-A,-D,-R,-I,-L,-F,-N,-X,-P,-C<br>
<br>
　　实例 动手操作<br>
<br>
<br>
　　#ipchains -A input -s 0/0 -d 192.168.0.1 -j ACCEPT<br>
　　#ipchains -R input 1 -s 192.168.0.2 -d 192.168.0.1 -j DENY<br>
　　#ipchains -I input 1 -s 0/0 -d 0/0 -j REJECT<br>
　　如果是远程登陆，会出现。。。断线的情况<br>
　　#ipchains -nL<br>
　　#ipchains -N mychain<br>
　　#ipchains -F input<br>
　　#ipchains -F<br>
　　#ipchains -X<br>
　　#ipchains -P input DENY<br>
　　#ipchains -C input -i eth0 -s 192.168.1.2 www -d 192.168.1.1 www -p tcp<br>
　　#ipchains -D input 1<br>
<br>
<br>
<br>
1.4 ipchains基本选项<br>
<br>
<br>
　　-p [!]protocol<br>
　　-s [!]addr [[!]port]<br>
　　-d [!]addr [[!]port]<br>
　　-i [!]interface<br>
　　-j target<br>
　　-l 当匹配时，该规则纪录有关包的信息<br>
　　[!]-y 该规则应该仅匹配正在初始化连接的tcp包。<br>
<br>
<br>
<br>
1.5 example<br>
<br>
　　a.关于domain的设置注意tcp和udp<br>
<br>
<br>
　　#ipchains -A input -p tcp -s $DNS domain -j ACCEPT<br>
　　#ipchains -A input -p udp -s $DNS domain -j ACCEPT<br>
<br>
<br>
<br>
　　b.设置ip masquerade时不要忘记打开ip转发<br>
<br>
　　可以在/etc/rc.d/rc.local脚本中写入 #echo 1 &gt; /proc/sys/net/ipv4/ip_forward,否则重起后，ip_forward又变成0<br>
<br>
<br>
　　#ipchains -A input -i eth1 -s $INT -j ACCEPT<br>
　　#ipchains -A forward -s $INT -j MASQ<br>
　　#ipchains -A forward -j DENY -l 禁止并纪录其他转发企图<br>
<br>
<br>
<br>
　　注意$INT的范围:92.168.1.0/24 (192.168.1.1-192.168.1.254);主机为192.168.1.1、192.168.0.0/16(192.168.1.1-192.168.255.254)<br>
<br>
　　c.允许内部网络访问外部ftp服务<br>
<br>
<br>
　　#ipchains -A input -p tcp -s 0/0 ftp-data -j ACCEPT<br>
　　#ipchains -A input -p tcp -s 0/0 ftp -j ACCEPT<br>
<br>
<br>
<br>
　　介绍：port forwarding端口转发，允许到达外部接口的网络接口的数据包转发到内部网相同端口的 一种方法，<br>
<br>
　　允许在防火墙后面提供网络服务。可以通过ipchains和ipmasqadm(ip伪装工具管理)来实现。<br>
<br>
　　语法为：ipmasqadm portfw -a -P tcp -L $myip port -R server_ip port<br>
<br>
　　具体为：#ipmasqadm portfw -a -P tcp -L $myip 80 -R 192.168.1.2 80<br>
<br>
<br>
2.保护Apache,Ftp,Samba服务<br>
<br>
　　2.1 核心配置文件的位置<br>
<br>
　　/etc/httpd/conf/httpd.conf、resourceconfig、conf/srm.conf、accessconfig<br>
<br>
　　conf/access.conf定义了配置文件的位置，现在已经不使用了；<br>
<br>
<br>
　　maxclients 100<br>
<br>
<br>
<br>
　　不可以太大，也不可以太小，根据服务器配置和客户数量综合决定<br>
<br>
<br>
　　port 80<br>
<br>
<br>
<br>
　　修改为别的端口时，最好不要与/etc/services中的端口重复<br>
<br>
<br>
　　user 　　apache<br>
　　group　　apache<br>
<br>
<br>
<br>
　　指定运行httpd进程的用户和组的所有权，不要以root身份运行httpd进程<br>
<br>
<br>
　　userdir public_html<br>
　　userdir disabled root<br>
<br>
<br>
<br>
　　如果只允许少数用户的web空间，如下作<br>
<br>
<br>
　　userdir disabled<br>
　　userdir enabled kim ben jack<br>
　　userdir disabled<br>
<br>
<br>
<br>
　　例如如下配置：<br>
<br>
<br>
　　userdir public_html<br>
　　#userdir disabled<br>
　　#userdir enabled ben<br>
　　<br>
　　 AllowOverride FileInfo AuthConfig Limit<br>
　　Options MultiViews Indexes<br>
　　　　SymLinksIfOwnerMatch IncludesNoExec<br>
　　<br>
　　 Order allow,deny<br>
　　Allow from all<br>
　　<br>
　　<br>
　　 Order deny,allow<br>
　　 Deny from all<br>
　　<br>
　　<br>
<br>
<br>
<br>
　　注意修改/home/*的目录属性为711<br>
<br>
　　2.2 全局日志指令<br>
<br>
　　好的日志对于好的安全性非常关键，尤其是高流量的服务器时。<br>
<br>
<br>
ErrorLog logs/error_log<br>
#<br>
# LogLevel: Control the number of messages logged to the error_log.<br>
# Possible values include: debug, info, notice, warn, error, crit,<br>
# alert, emerg.<br>
#<br>
LogLevel warn<br>
#产生最少的日志流量，不会错过任何危险的情况<br>
<br>
LogFormat "%h %l %u %t "%r" %&gt;s %b" common<br>
<br>
#logformat的特殊值<br>
#　　%a 远程用户ip,<br>
#　　%A 本地httpd服务器的ip,<br>
#　　%f 传送的文件名,<br>
#　　%h 远程主机,<br>
#　　%m 请求方式<br>
#　　%l identd给出的远程名,<br>
#　　%p连接httpd的端口,<br>
#　　%P 请求的httpd进程,<br>