服务器安全问题处理

linux 安全加固设置
【服务器安全问题处理】今天收到阿里云的邮件,一台linux服务器在荷兰被登录了。9.23分。我赶紧进去修改了下密码,
由于本公司又没专门的安全工程师,运维都是副业,主业都是开发,所以有些无可赖何,我进去把平常看到的可疑
进程都结束掉了
lsof -c进程名
Whereis 进程名
ls -al 进程名
设置白名单
几条iptables规则吧
iptables -A OUTPUT -o lo -j ACCEPT
允许本机访问本机

iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

允许主动访问本服务器的请求
iptables -A OUTPUT –p tcp –d 192.168.1.235 -jACCEPT

允许服务器主动访问的IP白名单
iptables -A DROP
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.10 -j ACCEPT

拒绝对外访问
一刀砍。不过被黑客进去过了 肯定是不能再用了
netstat -tlnp 查看占用端口
:INPUT ACCEPT [0:0]
# 该规则表示INPUT表默认策略是ACCEPT

:FORWARD ACCEPT [0:0]
# 该规则表示FORWARD表默认策略是ACCEPT

:OUTPUT ACCEPT [0:0]
# 该规则表示OUTPUT表默认策略是ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 意思是允许进入的数据包只能是刚刚我发出去的数据包的回应,ESTABLISHED:已建立的链接状态。RELATED:该数据包与本机发出的数据包有关。

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。

这个是iptables的默认策略,你也可以删除这些,另外建立符合自己需求的策略。




转载于:https://www.cnblogs.com/fangyuan303687320/p/5395300.html

    推荐阅读