Posted by
楚霏 – 2009-03-13
好久没用iptables防火墙了,昨天调了一个简单的
这是我打history摘出的,偷懒了哈
365 iptables -F
366 iptables -A INPUT -p tcp --dport 22 -j ACCEPT /*允许包从22端口进入*/
367 iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT /*允许从22端口进入的包返回*/
368 iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
369 iptables -A INPUT -p udp --sport 53 -j ACCEPT
370 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /*允许本机访问本机*/
371 iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
372 iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT /*允许所有IP访问80端口*/
373 iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
374 iptables-save > /etc/sysconfig/iptables /*保存配置*/
375 iptables -L
Posted by
楚霏 – 2009-02-27
############################
#Chinaitlab 8cd linux教程笔记_系统管理部分#
############################
<05>
ifconfig eth0 11.22.33.44 netmask 255.0.0.0
route改网关
route add default gw 1.1.1.1
用户环境
语言环境/etc/sysconfig/i18n
locale
LANG=zh_CN.gbk #设置语言环境
硬件信息/etc/sysconfig/hwconf
自动识别新硬件service kudzu start
ntsysv #redhat,centos配置服务
<06>管理磁盘文件系统
eject#弹出光驱
eject -t#收回光驱
mount -o <选项> 设备 挂载点。如mount -o iocharset=gbk /dev/sda3 /d #-o gbk也可
<07>文件系统维护
fsck -t ext2 = fsck.ext2
用mount -o userquota,grpquota /dev/sdb3 /mnt/d#只能在分区上做,最好单用户模式
<09>Automounter
主配置文件/etc/auto.master
映射文件/etc/auto.misc
<10>samba
三个包samba;samba-client;samba-common
<15>安全的动态磁盘策略
Linux内核可以模拟RAID只能模拟RAID0,1,4,5
需要应用软件raidtools。配置文件/dev/raidtab
<17>LVM逻辑
<21>ftp服务器
FTP=File Transfer Protocol(PFC959)
专门用来上传或者下载文件的协议,使用两个通信通道(massage&data)
安装vsftpd
环境freebsd6.3
1.下载源代码vsftpd-2.0.7.tar.gz
2.编译源代码,可以参考帮助文件(INSTALL)
#tar zxvf vsftpd-2.0.7.tar.gz
#cd vsftpd-2.0.7
#make
#make install
3.安装配置
#mkdir /usr/share/empty
#cp vsftpd.conf /etc
#cp RedHat/vsftpd.pam /etc/pam.d/ftp
??????#cp -R ../security /lib/security //否则会提示找不到/lib/security/pam_listfile.so
4.编辑配置文件
#echo "listen=YES" >> /etc/vsftpd,conf
5.启动服务器
#/usr/sbin/vsftpd &|tee /etc/rc.d/vsftpd.sh //具体路径视实际情况
#echo "/usr/sbin/vsftpd &" > /etc/rc.d/vsftpd.sh //建自启动文件
#netstat -tnl //检查端口
6.a.匿名ftp
#mkdir /var/ftp/
#pw useradd -d /var/ftp ftp
#chown root /var/ftp
#chmod og-w /var/ftp
################################
vsftpd配置文件
#anonymous_enable=YES
local_enable=YES
#write_enable=YES
#local_umask=022
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
dirmessage_enable=YES //允许使用目录的消息
xferlog_enable=YES
connect_from_port_20=YES
#chown_uploads=YES
#chown_username=whoever
#xferlog_file=/var/log/vsftpd.log
#xferlog_std_format=YES
#idle_session_timeout=600
#data_connection_timeout=120
#nopriv_user=ftpsecure
#async_abor_enable=YES
#ascii_upload_enable=YES
#ascii_download_enable=YES
#ftpd_banner=Welcome to blah FTP service.
#deny_email_enable=YES
#banned_email_file=/etc/vsftpd.banned_emails
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd.chroot_list
#ls_recurse_enable=YES //允许客户端使用ls -R命令
listen=YES
################################
Chroot环境
/etc/vsftpd.conf
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
/etc/vsftpd.chroot_list
user1
user2
################################
用户控制
/etc/ftpusers #默认这里的用户拒绝登录,但可以通过修改/etc/pam.d/ftp中
sense值为allow,就表示只允许登录的用户
<24>增强系统的安全性
安全要求
a.机密性confidentiiality
b.完整性integrity
c.抗否认性non-repudiation
d.可用性availability
安全策略
物理,起动,登陆,运行,通信,网络服务
职责
跟踪应用软件发布网站,及时为软件升级,打补丁,订阅安全邮件列表
安全网站:www.cert.org
www.securityfocus.org
sftp/ftps,imaps,smtps,https,ssh
<25>用户认证
Linux-PAM认证模块Pluggable Authentication Modules for Linux
PAM(libpam.so) /etc/pam.d/
PAM服务文件格式
Module-type:auth(认证),account(检查账号),session(会话),pawwword
Control-flag:required(必须通过),requisite(必须成功,失败还有机会),sufficient(一个足够),
optional()
<26>常用PAM模块
pam_access,so控制访问者的地址与账号名称
pam_listfile.so控制访问者的账号名称或登陆位置
pam_limits.so控制为用户分配的资源
pam_rootok.so对管理员(uid=0)无条件通过
pam_userdb,so设定独立用户账号数据库认证
升级软件 #chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd.chroot_list
a.浏览软件发布站点,寻找更新记录与说明
b.下载最新的软件包
c.若有补丁,最好下载最新的补丁包
d.若有数字签名或者MD5校验文件,应该一起下载。可用gpg --verify XXXX.asc来校验
e.编译安装升级。
./configure --help | less
内核打补丁
a,下载补丁patch-XXXX,gz
b.校验,
#vi kernel,pubkey
#gpg --import kernel.pubkey
#gpg --verify patch-XXXX,gz
c.打
#tar xcjf linux-2.4.26.tar,bz2
#bzcat patch-XXXX.bz2 | patch -p0
#mv linux-2.4.26 linux-2.4.27
d.编译新内核替换旧内核
#cd linux-2.4.27;make menuconfig
#make dep bzImage modules modules_install install
<28>网络安全
包过滤(filter)
################################
例:
#iptables -F
#iptables -A INPUT -p tcp -dport 22 -p -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#iptables -L -n --line-number
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWORD DROP
#iptables-save > /etc/sysconfig/iptables或者service iptables save
################################
#iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --sport 53 -j ACCEPT
################################
#iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#^IN^OUT
################################
#iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
################################
#iptables -A INPUT -p tcp --dport 22 -j LOG --log-level 3 --logprefix "IPTABLES:"
#echo -e "n#log firewallnkern.=errtttttt/var/log/firewall.log" >> /etc/syslog.conf
#service syslog restart
################################
#echo 1 > /proc/sys/net/ipv4/ip_forward //打开转发链
#vi /etc/sysctl.conf //改为1,永远打开
#iptables -t nat -L -n
#iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to source 1.1.1.1
#iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE //伪装
<31>DNS服务器
<38>WEB服务器
LAMP的局限性
客户端向服务器提交数据不经过加密,容易被第三方窃取
Alias /doc "/usr/share/doc"
目录配置文件
虚拟主机配置
Errorlog logs/***.log
Customlog logs/***.access.log common
NameVirutalhost和Virtualhost 3处值一致
默认访问第一个虚拟主机
激活SSL模块
创建私钥和证书文件
#mkdir /etc/ssl.crt /etc/ssl.key
#openssl genrsa -out /etc/ssl.key/server.key 1024
#openssl req -new -x509 -key /etc/ssl.key/server.key -out /etc/ssl.crt/server.crt