當陷入人為困境時,不要抱怨,只能默默地吸取教訓
一、iptables入門
當今黑客入侵電腦有很多種途徑,其中通過埠進行入侵比較普遍。特別是作為伺服器的計算機,關閉不必要的埠,這是最簡單的也是最常用的防禦黑入侵的做法。用Linux作為伺服器作業系統,使用Linux自帶的iptables可以實現這功能。
1、檢視一下iptables策略的組成
[[email protected] ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
得知, iptables 策略由3個部分組成:INPUT, FORWARD 和 OUTPUT
a.INPUT 網路資料包流向伺服器
b.OUTPUT 網路資料包從伺服器流出
c.FORWARD 網路資料包經伺服器路由
2、關閉策略
關閉所有的 INPUT FORWARD OUTPUT 只對某些埠開放。
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
用命令 iptables -L -n 檢視,得到:
[[email protected] ~]# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
Chain FORWARD(policy DROP)
target prot opt source destination
Chain OUTPUT(policy DROP)
target prot opt source destination
這樣的設定只是臨時的, 重啟伺服器還是會恢復原來沒有設定的狀態(policy ACCEPT),要想重啟後仍然生效需要
使用service iptables save 進行儲存,會提示儲存資訊到 /etc/sysconfig/iptables,所以我們可以開啟檔案檢視 vi /etc/sysconfig/iptables
DROP 可以這樣理解:
當INPUT =DROP,表示防火牆遇到資料就不接受它,不讓它進入伺服器
當OUTPUT=DROP,表示防火牆阻止從伺服器流出的資料
當FORWARD=DROP,表示伺服器不允許經伺服器路由
3、開啟INPUT策略
# iptables -P INPUT ACCEPT
# iptables -P FORWARD ACCEPT
# iptables -P OUTPUT ACCEPT
二、只開啟某個端口
在配置伺服器時候,通常是隻開啟某個特定的埠(服務需要的埠),關閉不需要的埠來提高伺服器的安全性。
下面就用埠22來舉個例子如何實現只允許埠22的訪問,其他埠全部都不能訪問的(埠22是用ssh軟體訪問Linux的埠)。
a、檢視當前伺服器埠開啟情況:
通過netstat -tnl 檢視當前伺服器打開了哪些埠
[[email protected] ~]# netstat -tnl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:2208 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:673 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:2207 0.0.0.0:* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 ::1:631 :::* LISTEN
開啟的埠挺多的,其中22(ssh)埠也是開啟的
b、檢視防火牆設定
通過命令:iptables -L -n 檢視,得知防火牆 INPUT FORWARD OUTPUT 三個部分全部是 ACCEPT 的,也就是沒有做任何限制
通過 SSH軟體來連結伺服器,可以成功連結上去。
c、關閉所有的埠
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
稍等會發現SSH連結斷開了,說明已經關閉了埠。
d、只打開22埠
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -L -n 檢視是否新增上去,
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
現在Linux伺服器只打開了22埠,用SSH測試,可以連結上去。
通過命令:service iptables save 進行儲存
備註:
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
-A :新增一條 INPUT 的規則
-p :指定是什麼協議 我們常用的tcp 協議,當然也有udp 例如53埠的DNS
--dport :目標埠 當資料從外部進入伺服器為目標埠
反之 資料從伺服器出去 則為資料來源埠 使用 --sport
-j :指定是 ACCEPT 接收 或者 DROP 不接收
相關推薦
當陷入人為困境時,不要抱怨,只能默默地吸取教訓
一、iptables入門 當今黑客入侵電腦有很多種途徑,其中通過埠進行入侵比較普遍。特別是作為伺服器的計算機,關閉不必要的埠,這是最簡單的也是最常用的防禦黑入侵的做法。用Linux作為伺服器作業系統,使用Linux自帶的iptables可以實現這功能。 1、
WinCE隱藏顯示工作列,當工作列隱藏時將其顯示,當工作列顯示時將其隱藏(FindWindow,ShowWindow,IsWindowVisible),
HANDLE hWndTaskBar = ::FindWindow(TEXT("HHTaskBar"), NULL); if(::IsWindowVisible(hWndTaskBar )==FALSE) { //如果工作列隱藏,就把工作列顯示出來 ::Show
當push跳轉時隱藏了tabBar,pop後tabBar消失的問題
ApplyViewController *apply = [[ApplyViewControlleralloc]initWithNibName:nil bundl
Java 爬蟲伺服器被遮蔽,不要慌,咱們換一臺伺服器
這是 Java 爬蟲系列博文的第四篇,在上一篇 Java 爬蟲遇上資料非同步載入,試試這兩種辦法! 中,我們從內建瀏覽器核心和反向解析法兩個角度簡單的聊了聊關於處理資料非同步載入問題。在這篇文章中,我們簡單的來聊一聊爬蟲時,資源網站根據使用者訪問行為遮蔽掉爬蟲程式及其對應的解決辦法。 遮蔽爬蟲程式是資源網站的
當你使用LINQ做底層時,最好設計一個工廠,不要把LINQ的動作暴露給業務層
handle ram tile div ++ space ner 數據庫名 string 1: using System; 2: using System.Collections.Generic; 3: using System.Linq; 4: usi
解決JSON Lib, XML轉JSON字串不要namespace,以及當xml中有Type屬性時轉換成json會丟失問題
XMLSerializer xmlSerializer = new XMLSerializer(); JSON json = xmlSerializer.read(xml); return json.toString(3); 以上程式碼在xmll轉成json字串後,
蟄伏--當你不夠強大時,就不要放棄努力
//NGUI............................................................ using System; using UnityEngine; using System.Collections; public clas
當你無法發現問題所在時,不要簡單地把程式碼或者資料還原
【場景】 這幾天有一位同事需要做與我一樣的功能,而這個功能是我已經開發好了的,他只需直接把我的程式碼拿去修改就可以。結果,我的程式碼可以正常執行,他的程式碼在開啟服務之後,控制檯就不斷有日誌輸出,開發環境進入了宕機狀態。 他花了很長的時間去尋找問題的來源,但
懷才當遇網-年輕時一味追求高工資,會給自己帶來什麽?
發展 市場 做到 年輕人 期貨 留下 人的 決定 這一 年輕時一味追求高工資會給自己帶來什麽?這樣有利嗎? 這是最近知乎上一個很火的問題,有支持年輕人追求高工資的,也有反對的,無論從那個角度去看這個問題都是值得我們深思的,選擇追求高薪或者不追求,都將對我們的職業規劃和職業生
當文字過長時裁剪(顯示省略號或只裁剪 用CSS方法,不用程序)
fire 省略號 fixed strong face con str 來源 type 原文發布時間為:2009-09-16 —— 來源於本人的百度文章 [由搬家工具導入]CSS中ellipsis()应用【转
導出excel時,跳轉新空白頁,不要跳轉怎麽改
頁面 iframe open() color one bsp pan nbsp 需要 導出excel的時候,偶爾會出現跳轉到一個新頁面再導出exceljs中用window.open()做跳轉 不想讓它跳轉到新頁面,需要加一個隱藏的iframe <iframe nam
ORA-03206,當表空間不夠時,如何以添加數據文件的方式擴展表空間
style 創建表空間 mage all 註意 flow ada -- 導入 準備導入一個數據庫,大約為33G,開始創建的空庫表空間為自增到20G,結果自然不夠,然後就開始自動擴展表空間大小 使用的如下語句 --自動擴展表空間大小 ALTER DATABASE DA
當故障來襲時,如何證明你的網絡沒問題
class 4.4 ping不通 上傳 bsp 公眾 最大 人的 eply 有人說網絡工程師是整個IT行業中最可能受氣的工種。其實這一點捷個本人也不否認,因為你管理的網絡,是所有服務器、終端相互通信的基礎。如果有電腦上網不正常,或者是訪問網絡中的某一臺服務器出現異常現象,所
spring boot加mybatis使用Map返回時,當值為空時屬性也會沒有(轉)
call pri per n-n spring fig setter 解決 strong 使用spring boot加mybatis時,設置Map返回,當值為空時屬性也會沒有,就會報錯 在application.properties中加入下面配置,將會解決這個問題。
快速冪取模(當數很大時,相乘long long也會超出的解決辦法)
結合 超出 但是 long 數字 也會 連續 return result 當幾個數連續乘最後取模時,可以將每個數字先取模,最後再取模,即%對於*具有結合律。但是如果當用來取模的數本身就很大,采取上述方法就不行了。這個時候可以借鑒快速冪取模的方法,來達到大數相乘取模的效果。
當虛擬機崩潰時,你要怎麽做
blog usr 硬盤容量 tails 鏡像 而是 font snapshot 啟動 使用虛擬機做嵌入式開發,千萬不要一整個盤掛載到/root,如果你這樣做了,這絕對是噩夢的伏筆。 IF( 你的虛擬機不幸崩潰了 ) { 第一步:不要慌張 當你的虛擬機崩潰無
style物件的使用,當滑鼠按下時背景顏色變為黃色,當滑鼠放開時變為藍色
<!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8" /> <meta name="viewport
[譯] 設計師的決策樹:當遇到豬隊友時,你需要一個系統來控制每個人
原文地址:A Decision Tree for Designers 原文作者:Cap Watkins 譯文出自:掘金翻譯計劃 本文永久連結:github.com/xitu/gold-m… 譯者:zhmhhu 校對者:calpa, Wangalan30
redis lpop key 當key不存在時,返回nil , 監測redis執行語句是否正常執行
Lpop key 返回值: 列表的頭元素。 當key 不存在時, 返回 nil . 需求: 開發在執行 lpop key 時, 出現問題 , 執行語句卡住,
自定義jqGrid編輯功能,當行獲取焦點時編輯,失去焦點時保存
rowkey table save 編輯功能 code com dpa ext turn 1 http://www.360doc.com/content/17/0719/15/9200790_672577533.shtml 2 /******************