1、防止入侵者对主机进行ping探测,可以禁止Linux主机对ICMP包的回应
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
回复回应
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables 防火墙上禁止ICMP应答
2、服务端口
关闭不必要的端口,时常检查网络端口情况
nmap 可以扫描端口
/usr/bin/nmap -sS -O -PT 127.0.0.1
阻止对主机端口的扫描
关闭不必要的服务和端口
为网络服务指定非标准的端口
开启防火墙,只允许授权用户访问相应的服务端口
3、拒绝攻击
消耗服务器可用资源的攻击方式
main()
{
while(1)
fork();
}
限制用户资源使用 /etc/security/limits.conf
软限制只是警告限制,超过了该值后系统会发出警告
硬限制是实际的限制
可以执行ulimit查看自己的资源限制情况
ulimit -a
4、使用安全的网络服务
telnet\ftp\pop\rsh\rlogin等传统的网络服务程序在本质上是不安全的,因为这些服务在网络上都是明文传送密码和数据,攻击者只要使用sniffer等工具就可以容易的截取口令
也容易受到“中间人”攻击(man in the middle)
5、增强Xinetd的安全
Xinetd是一个传统的网络守护进程,可以同时监听多个指定的端口,在接收用户的请求时,依据用户请求端口的不同,启动相应的网络服务进程来响应用户请求
Xinetd被称为超级服务器,像telnet\rlogin\rsh\rcp\tftp等网络服务就是通过它启动
为了减少系统潜在的漏洞,应该关闭xinetd中无用的网络服务
原文地址:http://blog.csdn.net/maserattikaka/article/details/41506425
