View /etc/protocols file
# cat /etc/protocols[内容] iptables 防火墙数据接收情况和发出情况的查看
# iptables -nvL
Chain INPUT (policy ACCEPT 5 packets, 500 bytes)
......
Chain FORWARD (policy DROP 0 packets, 0 bytes)
......
Chain OUTPUT (policy DROP 1000 packets, 200K bytes)
......(
补充:
1) 这里的 policy ACCEPT 5 packets, 500 bytes 是指接收了 5 个数据包和 500 bytes 流量,ACCEPT 是指接收的状态
2) 这里的 policy DROP 1000 packets, 200K bytes 是指发出了 1000 数据包和 200K bytes 流量。DROP 是拒绝的状态
)
[内容] nftables 防火墙策略文件的常用规则
注意:
在给 nftables 防火墙的策略文件添加规则前,要先使用 nftables 防火墙的策略文件:
正文:
案例一:允许某个 IP 地址访问某个端口
ip saddr 192.168.0.1 tcp dport ssh accept或者:
ip saddr 192.168.0.1 tcp dport 22 accept(补充:这里以允许 IP 地址 192.168.0.1 访问 22 端口为例)
案例二:允许某个 IP 地址访问多个端口
ip saddr 192.168.0.1 tcp dport {22,80,443,3306,100,101,102,103} accept或者:
ip saddr 192.168.0.1 tcp dport {22,80,443,3306,100-103} accept(补充:这里以允许 IP 地址 192.168.0.1 访问 22 端口、80 端口、443 端口、3066 端口和 100 端口到 103 端口为例)
案例三:允许多个 IP 地址访问多个端口
ip saddr {192.168.0.1,192.168.0.2,192.168.0.3} tcp dport {22,80,443,3306} accept comment "accept local port"或者:
ip saddr {192.168.0.1-192.168.0.3} tcp dport {22,80,443,3306} accept comment "accept local port"(补充:这里以允许 IP 地址 192.168.0.1、192.168.0.2 和 192.168.0.3 访问 22 端口、80 端口、443 端口和 3066 端口并添加注释 “accept local port” 为例)
案例四:拒绝所有 IP 地址访问多个端口
tcp dport {22,80,443,3306} drop comment "drop remote port"(补充:这里以拒绝所有 IP 地址的 22 端口、80 端口、443 端口和 3306 端口并添加注释 “drop remote port” 为例)
案例五:拒绝所有 IP 地址访问所有端口
tcp dport {0-65535} drop
udp dport {0-65535} drop案例六:允许某个 IP 地址可以通过 ICMP 协议 ping 通
ip saddr 192.168.0.1 ip protocol icmp icmp type echo-request accept(补充:这里以允许 192.168.0.1 可以通过 ICMP 协议 ping 通为例)
案例七:允许由本发出请求后,回应请求的数据可以进入
ct state { established, related } acceptLinux 防范黑客入侵的思路
黑客发现阶段
黑客在入侵前往往会先对整个网络进行扫描,尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有:
1) 关闭 ICMP 协议,让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求
黑客列举阶段和黑客立足阶段
黑客在发现了我们的系统之后。会根据我们系统和软件的版本,列举不同的破解方法并进行取舍,并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有:
1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时,取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数,以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录
黑客保持持久性阶段
黑客在成功进入系统以后,会尝试为自己下次进入系统准备方法,以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有:
1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件,并定期检查监控日志
黑客掩盖痕迹阶段
黑客让入侵保持持久性后,会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有:
1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志,注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件,并定期检查监控日志,注意日志的时间是否连贯
[排错] 解决 Linux 执行 iptables 命令时报错 “iptables: No chain/target/match by that name.”
分析
系统运行的 kernel 内核已经被删除,此 kernel 内核相关的文件集都已经被删除,包括 ko 文件。安装新版本的 kernel 内核,并重启选择新版本的 kernel 内核,就能修复相关 kernel 内核文件集。
解决方法
步骤一:更新 kernel 内核
如果是 Rocky Linux & RHEL:
# yum update kernel*如果是 openSUSE & SLES:
# zypper update kernel*步骤二:重启系统
# reboot