Skip to content
Eternal Center

Eternal Center

  • Single Node (单节点)
    • System (系统)
    • Service (服务)
    • Database (数据库)
    • Container (容器)
    • Virtualization (虚拟化)
  • Multi Node (多节点)
    • Cluster (集群)
    • Big Data (大数据)
    • Cloud Computing (云计算)
    • Batch Processing (批量处理)
  • Other (其它)
    • Ideas (思路)
    • Language (语言)
    • Project (项目)
  • Eternity (永恒)
    • Creations (创作)
    • Classics (经典)
    • Legends (传说)
    • Chronicle (编年史)
    • News (消息)

Category: iptables

Posted on July 28, 2022October 19, 2022

Linux 防范黑客入侵的思路

  • 黑客发现阶段
  • 黑客列举阶段和黑客立足阶段
  • 黑客保持持久性阶段
  • 黑客掩盖痕迹阶段

黑客发现阶段

黑客在入侵前往往会先对整个网络进行扫描,尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有:

1) 关闭 ICMP 协议,让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求

黑客列举阶段和黑客立足阶段

黑客在发现了我们的系统之后。会根据我们系统和软件的版本,列举不同的破解方法并进行取舍,并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有:

1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时,取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数,以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录

黑客保持持久性阶段

黑客在成功进入系统以后,会尝试为自己下次进入系统准备方法,以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有:

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件,并定期检查监控日志

黑客掩盖痕迹阶段

黑客让入侵保持持久性后,会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有:

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志,注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件,并定期检查监控日志,注意日志的时间是否连贯

Posted on June 9, 2022October 19, 2022

[排错] 解决 Linux 执行 iptables 命令时报错 “iptables: No chain/target/match by that name.”

  • 分析
  • 解决方法
    • 步骤一:更新 kernel 内核
    • 步骤二:重启系统

分析

系统运行的 kernel 内核已经被删除,此 kernel 内核相关的文件集都已经被删除,包括 ko 文件。安装新版本的 kernel 内核,并重启选择新版本的 kernel 内核,就能修复相关 kernel 内核文件集。

解决方法

步骤一:更新 kernel 内核

如果是 Rocky Linux & RHEL:

# yum update kernel*

如果是 openSUSE & SLE:

# zypper update kernel*

步骤二:重启系统

# reboot
Posted on April 25, 2022November 24, 2022

[内容] iptables 防火墙规则持久化 (让防火墙规则开机自启)

  • 内容一:Rocky Linux & RHEL iptables 防火墙规则持久化
  • 内容二:Rocky Linux & RHEL 和 openSUSE & SUSE iptables 防火墙规则持久化
    • 2.1 导出现在 iptables 防火墙的规则
    • 2.2 创建用于加载 iptables 防火墙规则的 systemctl 管理文件
    • 2.3 加载刚刚创建的 systemctl 管理文件
    • 2.4 给刚刚创建的 systemctl 管理文件添加执行权限
    • 2.5 让防火墙规则开机自启

内容一:Rocky Linux & RHEL iptables 防火墙规则持久化

# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

内容二:Rocky Linux & RHEL 和 openSUSE & SUSE iptables 防火墙规则持久化

2.1 导出现在 iptables 防火墙的规则

# iptables-save > /root/iptables_save

(补充:这里以将 iptables 防火墙规则导出到 /root/iptables_save 文件为例)

2.2 创建用于加载 iptables 防火墙规则的 systemctl 管理文件

# vim /etc/systemd/system/iptables_save.service

创建以下内容:

[Unit]
Description=iptables_save
After=default.target

[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables-restore < /root/iptables_save

[Install]
WantedBy=default.target

(补充:这里以创建 systemctl 管理文件 /etc/systemd/system/iptables_save.service 将 /root/iptables_save 文件里的内容导入到 iptables 防火墙为例)

2.3 加载刚刚创建的 systemctl 管理文件

# systemctl daemon-reload

2.4 给刚刚创建的 systemctl 管理文件添加执行权限

# chmod u+x /etc/systemd/system/iptables_save.service

(补充:这里以给 systemctl 管理文件 /etc/systemd/system/iptables_save.service 添加执行权限为例)

2.5 让防火墙规则开机自启

# systemctl enable iptables_save.service

(补充:这里以开机自启 iptables_save.service 服务为例)

Posted on April 25, 2022October 19, 2022

[内容] iptables 防火墙规则的导出和导入

  • 内容一:导出 iptables 防火墙规则
  • 内容二:导入 iptables 防火墙规则

内容一:导出 iptables 防火墙规则

# iptables-save > /root/iptables_save

(补充:这里以将 iptables 防火墙规则导出到 /root/iptables_save 文件为例)

内容二:导入 iptables 防火墙规则

# iptables-restore < /root/iptables_save

(补充:这里以将 /root/iptables_save 文件里的内容导入到 iptables 防火墙为例)

Posted on July 28, 2020October 19, 2022

[命令] Linux 命令 iptables (设置防火墙日志)

  • 内容一:iptables 防火墙开启日志的案例
    • 1.1 案例一:让日志记录未匹配任何规则的 TCP 数据包,之后再将其丢弃的方法
    • 1.2 案例二:让日志记录未匹配任何规则的 UDP 数据包,之后再将其丢弃的方法
    • 1.3 案例三:让日志记录未匹配任何规则的 ICMP 数据包,之后再将其丢弃的方法
  • 内容二:显示 iptables 防火墙日志的方法

内容一:iptables 防火墙开启日志的案例

1.1 案例一:让日志记录未匹配任何规则的 TCP 数据包,之后再将其丢弃的方法

在所有规则后面添加以下两条规则:

......
# iptables -A INPUT -i -p tcp -j LOG --log-prefix "IPTABLES TCP IN: " 
# iptables -A INPUT -i -p tcp -j DROP

(补充:这里以记录进来的数据并将 IPTABLES TCP IN: 作为前缀保存日志为例)

1.2 案例二:让日志记录未匹配任何规则的 UDP 数据包,之后再将其丢弃的方法

在所有规则后面添加以下两条规则:

...... 
# iptables -A INPUT -i -p tcp -j LOG --log-prefix "IPTABLES TCP OUT: " 
# iptables -A INPUT -i -p tcp -j DROP

(补充:这里以记录进来的数据并将 IPTABLES TCP OUT: 作为前缀保存日志为例)

1.3 案例三:让日志记录未匹配任何规则的 ICMP 数据包,之后再将其丢弃的方法

在所有规则后面添加以下两条规则:

...... 
# iptables -A INPUT -i -p tcp -j LOG --log-prefix "IPTABLES TCP ICMP: " 
# iptables -A INPUT -i -p tcp -j DROP

(补充:这里以记录进来的数据并将 IPTABLES TCP ICMP: 作为前缀保存日志为例)

内容二:显示 iptables 防火墙日志的方法

# cat /log/var/message

Posts navigation

Page 1 Page 2 Next page

Aspiration (愿景):

Everyone can achieve self achievement and self happiness fairly

每个人都能公平地实现自我成就和自我幸福

Position (位置):

Running on Evolution Host and DigitalOcean

正在 Evolution Host 和 DigitalOcean 上运行

Logo (徽标):

Additional Information (其他信息):

About Manual Clone Contact Disclaimer Friendly Links Donation
   关于       手册      克隆       联系        免责申明           友情链接              捐赠      

Eternal URL (永恒网址):

https://eternity.eternalcenter.com Will be last access method / 将是最后的访问方式

Search Outside Website (站外搜索):

Google Wikipedia Bing
Proudly powered by LNMP Proudly powered by WordPress