巧用Recent模塊加固Linux安全 - Linux系統(tǒng)相關 - ELM's Blog

jijo 2009-10-09

展開全文

巧用Recent模塊加固Linux安全

眾所周知，Linux可以通過編寫iptables規(guī)則對進出Linux主機的數(shù)據(jù)包進行過濾等操作，在一定程度上可以提升Linux主機的安全性，在新版本內(nèi)核中，新增了recent模塊，該模塊可以根據(jù)源地址、目的地址統(tǒng)計最近一段時間內(nèi)經(jīng)過本機的數(shù)據(jù)包的情況，并根據(jù)相應的規(guī)則作出相應的決策，詳見：http:///projects/ipt_recent/

1、通過recent模塊可以防止窮舉猜測Linux主機用戶口令，通?？梢酝ㄟ^iptables限制只允許某些網(wǎng)段和主機連接Linux機器的 22/TCP端口，如果管理員IP地址經(jīng)常變化，此時iptables就很難適用這樣的環(huán)境了。通過使用recent模塊，使用下面這兩條規(guī)則即可解決問題：
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
應用該規(guī)則后，如果某IP地址在一分鐘之內(nèi)對Linux主機22/TCP端口新發(fā)起的連接超過4次，之后的新發(fā)起的連接將被丟棄。

2、通過recent模塊可以防止端口掃描。
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP -A INPUT -m recent --set --name PORTSCAN --rsource -j DROP
應用該規(guī)則后，如果某個IP地址對非Linux主機允許的端口發(fā)起連接，并且一分鐘內(nèi)超過20次，則系統(tǒng)將中斷該主機與本機的連接。

詳細配置如下：

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [458:123843]-A INPUT -i lo -j ACCEPT -A INPUT -i tap+ -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A INPUT -m recent --set --name PORTSCAN --rsource -j DROP COMMIT