通过iptables的recent模块保护某些私有服务
时间: 2010-02-05 - 分类: 操作系统, 热门 - 2 评论以前写过一篇《巧用Recent模块加固Linux安全》,后来想想,其实这个题目写得不好,不应该说是加固Linux的安全,应该是加固私有服务的安全
同样,这篇文章也是关于通过recent模块来保护私有服务的。
当前位置: 首页 >> Tag标签为 '安全'
黑莓上使用Keepass的经验
时间: 2009-09-28 - 分类: 杂项 - 无评论在购买黑莓手机前,就看好了Keepass 2.x能在该手机上使用,所以义无反顾的购买了一个黑莓。
当时安装的应该是“KeePassBB2 v 2.0 – Build 2.0.1309 – Released July 8 2009”这个版本,说实话一个密码保护软件应该不会有个太多的说法,所以感觉使用上应该不会有什么问题,所以也没有仔细阅读网站上的FAQ和相关的配置说明,在第一次使用的时候觉得限制特多,由于是在移动设备上使用,实现从简也是很正常的,所以对于打开速度很慢,无法使用pass key这些问题都想当然的认为是正常的。
其实Recent还可以这么用
时间: 2009-09-21 - 分类: 操作系统 - 无评论Recent这个模块还有一个好处就是可以在各个table中随便调用,如,某些事件可以在filter这个table中触发,然后再nat这个table中来检查。
这也是很艺术的配置:
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 80 -m recent --update --seconds 60 --name SSH --rsource -j DNAT --to-destination 192.168.1.1:8080
COMMIT
# Completed on Mon Sep 21 08:34:56 2009
# Generated by iptables-save v1.4.0 on Mon Sep 21 08:34:56 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
如果你访问该主机的80端口,默认访问的是该机器的web服务,但是在访问80端口之前先访问22端口,之后访问80端口就定向到别的机器了。
巧用Recent模块加固Linux安全
时间: 2009-09-21 - 分类: 操作系统, 热门 - 无评论众所周知,Linux可以通过编写iptables规则对进出Linux主机的数据包进行过滤等操作,在一定程度上可以提升Linux主机的安全 性,在新版本内核中,新增了recent模块,该模块可以根据源地址、目的地址统计最近一段时间内经过本机的数据包的情况,并根据相应的规则作出相应的决 策,详见:http://snowman.net/projects/ipt_recent/ Read the rest of this entry »