1.TCP_Wrappers(需要安装tcp_wrappers套件) TCP_Wrappers设置TCP包是否可以进入,在/etc/hosts.allow和/etc/hosts.deny(能用这个的服务必须受到 xinetd或TCP_Wrappers的控制) allow的设置优先于deny,没有明确允许没有明确拒绝则默认允许 service_name必须与xinetd.conf或/etc/init.d中的程序名字不异 ldd /usr/sbin/sshd |grep libwrap.so 中调用libwrap.so的程序才会受TCP_Wrappers的控制 TCP_Wrapper是从TCP层进行限制 vi /etc/hosts.allow中格局sshd:127.0.0.1 192.168.0. sshd:ALL EXCEPT 192.168.1. 2.PAM ldd /usr/sbin/sshd|grep libpam.so 调用这个库说明在身份验证时使用PAM机制 其针对个服务的配置文件在/etc/PAM.d/目次下 以login为例,其内部实质意义包括 验证模块类型,控制标志,调用模块 模块参数 验证模块类型包括auth(与账号密码验证有关的),account(与账号密码验证无关的),password(passwd更改密码 的条件),session 登岸后的限制 控制标志:required 必须通过的,不过不通过不立即报错,但已经决定过不明晰 optional可选的 include包含,例如system-auth 就在统一目次下的所有文件 sufficient 充分条件,一旦具有,立即通过 requisite 须要的条件,一旦有错,直接报告错误原因 自己加的验证都加required类型 模块都放在/lib/security/目次下例如access.so 的配置文件为/etc/ecury/access.conf等 PAM模块被保存在/lib/security/中 /etc/pam.d/目次中包含服务文件,服务文件决定模块在啥子时候如何被特定程序使用 测试被分为四组 auth 验证某用户简直是这个用户,被验证用户的PAM功效所使用 account 批准某账户的使用,管理组被用来检验账号是否有效密码是否过期 password控制密码的修改,管理组被用来控制密码的修改 session 打开,封闭并记录会话,管理组在会话开始和结束时被PAM调用 每个组都返回独立的结果,1个特定的PAM功效将只能从1个管理组中调用PAM测试 控制值决定每个测试将会如何影响群组的总体结果 required 必须通过,失败则继续测试 requisite和required相似,不同之处是它在失败后遏制测试 sufficient 如果到此为止一直通过,现在就返回成功;如果失败,忽略测试,继续检查 optional测试通过与否都可有可无 include 返回在被调用文件的文件中配置的测试的总体控制值 auth模块 session模块 PAM故障解除 检查系统日记 /var/log/messages /var/log/secure PAM错误会将root拒之门外:在测试PAM时打开1个root shell,用单用户模式绕过PAM,使用救援光盘引导系统 用户登录时,除了要受/etc/passwd和/etc/shadow的验证,可能还需要1个PAM的验证(PAM模块一般执行文 件开始执行的时候就调用了,PAM模块一般存放在/etc/pam.d里与程序重名的文件,更多的环境设置放 在/etc/security/*,PAM是通过自己提供的相关模块/lib/security/*进行验证,PAM模块说明可查看 在/usr/share/doc/pam) /etc/securetty 将认定是安全的终端环境写入这个文件,则root仅可以在这几个终端环境下登录 所以telnet不可用root登录,而SSH可以 /etc/nologin 禁止其登录 /etc/security/ 用户使用资源的命令式ulimit 让用户abc仅能访问10M空间 vi /etc/pam.d/limits.conf 添加 abc hard fsize 10240 3.数据包过滤与iptables防火墙 数据包过滤是内核本身的收集栈执行的操作,数据包过滤不使用任何用户空间守护进程,过滤发生在第四层及 以下,过滤的速度很快,由于只检查数据包的标题,大大都数据包过滤是由内核中的netfilter模块和 iptables用户空间软件组成 数据包过滤在内核中发生,有以下五个过滤点(区分大小写) 路由前PREROUTING :处置惩罚刚刚到达的数据包 (NAT) 转发 FORWARD :处置惩罚通过本地系统路由发送发送来的数据包 (filter) 输入 INPUT:处置惩罚经过路由选择后目的是本地系统的数据包(filter) 输出 OUTPUT :处置惩罚离开了发送进程,处于POSTROUTING之前的数据包(NAT和filter) 路由后POSTROUTING:处置惩罚即将离开系统的数据包 (NAT) 数据包进入主机的流程: 数据包过滤防火墙IP filtering:由iptables提供,可以针对收集数据包的IP,MAC,port以及联机状态 (SYN,ACK)分析, 第二层防护墙:TCP Wrappers:即/etc/deny和/etc/allow的设置 服务(daemon)的功效:可以在服务配置文件中划定某些IP来源不能使用该服务获取主机资源 主机文件的权限分配: 要时常查看日记文件/var/messages与/var/log/secure 收集服务就是提供主机的资源给client来查阅的过程 防火墙就是监控进入到我们网段内的信息数据包的一种机制,其最重要的使命就是规划出:切割被信托与 不被信托的网段,区分清楚出可提供给Internet的服务与必须受保护的服务,,分析出可接受与不 可接受的数据包状态 按防火墙对数据包的获取方式分为两类 代理服务器proxy:代理client向Internet请求数据,内部外部计算机不能直接互通 IP filter:利用数据包过滤方式实现防火墙功效 防火墙规则是顺溜的,如果不般配就看下一条规则,直至般配规则的给出了应对策略 直至最后的默认规则,所以一般严格的规则放领先。 iptables里有至少三个表格,每个表格定义出自己默认的策略与规则,且每个表格用途都不同 filter:管理本机进出,是默认的tables INPUT:首要与数据包想要进入linux本机有关 OUTPUT:首要与liuux本机所要送出去的数据包有关 FORWARD:可以将数据包转发后到后真个计算机中,与NAT相关性很高 NAT:管理后端主机(防火墙内部的其他计算机),首要用于来源地与目的地的IP或port转换 PREROUTING:在进行路由判断之前执行的规则(DNAT/REDIRECT)
1/3 1 2 3 下一页 尾页 |
