阿里云linux服務(wù)器上使用iptables設(shè)置安全策略的方法
公司的產(chǎn)品一直運(yùn)行在云服務(wù)器上,從而有幸接觸過(guò)aws的ec2,盛大的云服務(wù)器,最近準(zhǔn)備有使用阿里云的彈性計(jì)算(云服務(wù)器)。前兩種云服務(wù)器在安全策略這塊做的比較好,提供簡(jiǎn)單明了的配置界面,而且給了默認(rèn)的安全策略,反觀阿里云服務(wù)器,安全策略需要自己去配置,甚至centos機(jī)器上都沒(méi)有預(yù)裝iptables(起碼我們申請(qǐng)兩臺(tái)上都沒(méi)有),算好可以使用yum來(lái)安裝,安裝命令如下:成都服務(wù)器托管
?
1 | yum install-y iptables |
iptables安裝好后就可以來(lái)配置規(guī)則了。由于作為web服務(wù)器來(lái)使用,所以對(duì)外要開(kāi)放 80 端口,另外肯定要通過(guò)ssh進(jìn)行服務(wù)器管理,22 端口也要對(duì)外開(kāi)放,當(dāng)然最好是把ssh服務(wù)的默認(rèn)端口改掉,在公網(wǎng)上會(huì)有很多人試圖破解密碼的,如果修改端口,記得要把該端口對(duì)外開(kāi)發(fā),否則連不上就悲劇了。下面提供配置規(guī)則的詳細(xì)說(shuō)明:成都服務(wù)器托管
?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 | 第一步:清空所有規(guī)則當(dāng)Chain INPUT (policy DROP)時(shí)執(zhí)行/sbin/iptables-F后,你將和服務(wù)器斷開(kāi)連接所有在清空所有規(guī)則前把policy DROP該為INPUT,防止悲劇發(fā)生,小心小心再小心/sbin/iptables-P INPUT ACCEPT清空所有規(guī)則/sbin/iptables-F/sbin/iptables-X計(jì)數(shù)器置0/sbin/iptables-Z第二步:設(shè)置規(guī)則允許來(lái)自于lo接口的數(shù)據(jù)包,如果沒(méi)有此規(guī)則,你將不能通過(guò)127.0.0.1訪問(wèn)本地服務(wù),例如ping127.0.0.1/sbin/iptables-A INPUT -i lo -j ACCEPT 開(kāi)放TCP協(xié)議22端口,以便能ssh,如果你是在有固定ip的場(chǎng)所,可以使用 -s 來(lái)限定客戶端的ip/sbin/iptables-A INPUT -p tcp --dport 22 -j ACCEPT開(kāi)放TCP協(xié)議80端口供web服務(wù)/sbin/iptables-A INPUT -p tcp --dport 80 -j ACCEPT10.241.121.15是另外一臺(tái)服務(wù)器的內(nèi)網(wǎng)ip,由于之間有通信,接受所有來(lái)自10.241.121.15的TCP請(qǐng)求/sbin/iptables-A INPUT -p tcp -s 10.241.121.15 -j ACCEPT接受ping/sbin/iptables-A INPUT -p icmp -m icmp --icmp-type8 -j ACCEPT這條規(guī)則參看:http://www.netingcn.com/iptables-localhost-not-access-internet.html/sbin/iptables-A INPUT -m state --state ESTABLISHED -j ACCEPT屏蔽上述規(guī)則以為的所有請(qǐng)求,不可缺少,否則防火墻沒(méi)有任何過(guò)濾的功能/sbin/iptables-P INPUT DROP可以使用 iptables -L -n 查看規(guī)則是否生效 |
至此防火墻就算配置好,但是這是臨時(shí)的,當(dāng)重啟iptables或重啟機(jī)器,上述配置就會(huì)被清空,要想永久生效,還需要如下操作:成都服務(wù)器托管
?
1 2 3 4 5 | /etc/init.d/iptablessave 或service iptables save執(zhí)行上述命令可以在文件 /etc/sysconfig/iptables中看到配置 |
以下提供一個(gè)干凈的配置腳本:成都服務(wù)器托管
?
1 2 3 4 5 6 7 8 9 10 11 12 | /sbin/iptables-P INPUT ACCEPT/sbin/iptables-F/sbin/iptables-X/sbin/iptables-Z/sbin/iptables-A INPUT -i lo -j ACCEPT /sbin/iptables-A INPUT -p tcp --dport 22 -j ACCEPT/sbin/iptables-A INPUT -p tcp --dport 80 -j ACCEPT/sbin/iptables-A INPUT -p tcp -s 10.241.121.15 -j ACCEPT/sbin/iptables-A INPUT -p icmp -m icmp --icmp-type8 -j ACCEPT/sbin/iptables-A INPUT -m state --state ESTABLISHED -j ACCEPT/sbin/iptables-P INPUT DROP |
最后執(zhí)行 service iptables save ,先確保ssh連接沒(méi)有問(wèn)題,防止規(guī)則錯(cuò)誤,導(dǎo)致無(wú)法連上服務(wù)器,因?yàn)闆](méi)有save,重啟服務(wù)器規(guī)則都失效,否則就只有去機(jī)房才能修改規(guī)則了。也可以參考:ubuntu iptables 配置腳本來(lái)寫(xiě)一個(gè)腳本。
最后再次提醒,在清空規(guī)則之前一定要小心,確保Chain INPUT (policy ACCEPT)。
服務(wù)器之家補(bǔ)充阿里云的linux_drop_port.sh
?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 | #!/bin/bash##########################################Function: linux drop port#Usage: bash linux_drop_port.sh#Author: Customer Service Department#Company: Alibaba Cloud Computing#Version: 2.0#########################################check_os_release(){whiletruedoos_release=$(grep"Red Hat Enterprise Linux Server release"/etc/issue2>/dev/null)os_release_2=$(grep"Red Hat Enterprise Linux Server release"/etc/redhat-release2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"release 5">/dev/null2>&1thenos_release=redhat5echo"$os_release"elifecho"$os_release"|grep"release 6">/dev/null2>&1thenos_release=redhat6echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep"Aliyun Linux release"/etc/issue2>/dev/null)os_release_2=$(grep"Aliyun Linux release"/etc/aliyun-release2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"release 5">/dev/null2>&1thenos_release=aliyun5echo"$os_release"elifecho"$os_release"|grep"release 6">/dev/null2>&1thenos_release=aliyun6echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep"CentOS release"/etc/issue2>/dev/null)os_release_2=$(grep"CentOS release"/etc/*release2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"release 5">/dev/null2>&1thenos_release=centos5echo"$os_release"elifecho"$os_release"|grep"release 6">/dev/null2>&1thenos_release=centos6echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep-i "ubuntu"/etc/issue2>/dev/null)os_release_2=$(grep-i "ubuntu"/etc/lsb-release2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"Ubuntu 10">/dev/null2>&1thenos_release=ubuntu10echo"$os_release"elifecho"$os_release"|grep"Ubuntu 12.04">/dev/null2>&1thenos_release=ubuntu1204echo"$os_release"elifecho"$os_release"|grep"Ubuntu 12.10">/dev/null2>&1thenos_release=ubuntu1210echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep-i "debian"/etc/issue2>/dev/null)os_release_2=$(grep-i "debian"/proc/version2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"Linux 6">/dev/null2>&1thenos_release=debian6echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep"openSUSE"/etc/issue2>/dev/null)os_release_2=$(grep"openSUSE"/etc/*release 2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"13.1">/dev/null2>&1thenos_release=opensuse131echo"$os_release"elseos_release=""echo"$os_release"fibreakfibreakdone}exit_script(){echo-e "\033[1;40;31mInstall $1 error,will exit.\n\033[0m"rm-f $LOCKfileexit1}config_iptables(){iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROPiptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROPiptables -I OUTPUT 3 -p udp -j DROPiptables -nvL}ubuntu_config_ufw(){ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186ufwdeny out proto udp to anyufwstatus}####################Start####################check lock file ,one time only let thescript run one timeLOCKfile=/tmp/.$(basename$0)if[ -f "$LOCKfile"]thenecho-e "\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"exitelseecho-e "\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"touch$LOCKfilefi#check userif[ $(id-u) != "0"]thenecho-e "\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"rm-f $LOCKfileexit1fiecho-e "\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m"os_release=$(check_os_release)if[ "X$os_release"=="X"]thenecho-e "\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"rm-f $LOCKfileexit0
新聞名稱(chēng):阿里云linux服務(wù)器上使用iptables設(shè)置安全策略的方法
網(wǎng)頁(yè)URL:http://www.chinadenli.net/article38/pgpp.html 成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供電子商務(wù)、小程序開(kāi)發(fā)、Google、網(wǎng)站改版、網(wǎng)站設(shè)計(jì)、搜索引擎優(yōu)化 聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián) 猜你還喜歡下面的內(nèi)容 
|