- 在/etc/rc.d/rc.local最后添加 echo “1″ > /proc/sys/net/ipv4/icmp_echo_ignore_all 语句,将其值改为1后为禁止PING
将其值改为0后为解除禁止PING - 使用iptable最简单 0是echo-reply,8是echo-request禁止出去的icmp echo-request 意义不是很大
iptables -A OUTPUT -p icmp –icmp-type echo-request -j DROP
或者
iptables -A OUTPUT -p icmp –icmp-type 8 -j DROP允许客户端的ping
iptables -I INPUT -i eth0 -p icmp -s 0/0 -d 0/0 -j ACCEPT禁止客户端的ping
iptables -I INPUT -i eth0 -p icmp -s 0/0 -d 0/0 -j DROP
允许出去的ping 请求
SERVER_IP=”202.54.10.20″
iptables -A OUTPUT -p icmp –icmp-type 8 -s $SERVER_IP -d 0/0 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -p icmp –icmp-type 0 -s 0/0 -d $SERVER_IP -m state –state ESTABLISHED,RELATED -j ACCEPT
文章关键字 ‘安全’
在vps主机上配置防ping的方法
2009年02月25日,星期三使用DenyHosts阻止SSH暴力攻击
2009年01月6日,星期二概述: 现在的互联网非常不安全,很多人没事就拿一些扫描机扫描ssh端口,然后试图连接ssh端口进行暴力破解(穷举扫描),所以建议vps主机的空间,尽量设置复杂的ssh登录密码,关于如何配置安全的ssh服务,请查看:在vps主机配置安全ssh服务这篇文章,那么有什么办法设法阻止这些,就可以使用denyhosts这款软件了,DenyHosts是Python语言写的一个程序,它会分析SSHD的日志文件,当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽IP的功能。
DenyHosts官方网站为:http://denyhosts.sourceforge.net
目的: 阻止非授权的大量访问我们的ssh端口,造成负载过高
安装:
一、使用原代码安装
1、下载原文件且解压
wget http://downloads.sourceforge.net/denyhosts/DenyHosts-2.6.tar.gz tar zxvf DenyHosts-2.6.tar.gz cd DenyHosts-2.6
2、安装、配置和启动
python setup.py install默认是安装到/usr/share/denyhosts/目录的,进入相应的目录修改配置文件
cd /usr/share/denyhosts/ cp denyhosts.cfg-dist denyhosts.cfg cp daemon-control-dist daemon-control
默认的设置已经可以适合centos系统环境,你们可以使用vi命令查看一下denyhosts.cfg和daemon-control,里面有详细的解释
接着使用下面命令启动denyhosts程序
chown root daemon-control chmod 700 daemon-control ./daemon-control start
如果要使DenyHosts每次重起后自动启动还需做如下设置:
cd /etc/init.d ln -s /usr/share/denyhosts/daemon-control denyhosts chkconfig --add denyhosts chkconfig --level 2345 denyhosts on
或者修改/etc/rc.local文件:
echo "/usr/share/denyhosts/daemon-control start" >> /etc/rc.local
DenyHosts配置文件denyhosts.cfg说明:
SECURE_LOG = /var/log/secure #sshd日志文件,它是根据这个文件来判断的,不同的操作系统,文件名稍有不同。 HOSTS_DENY = /etc/hosts.deny #控制用户登陆的文件 PURGE_DENY = 5m #过多久后清除已经禁止的 BLOCK_SERVICE = sshd #禁止的服务名 DENY_THRESHOLD_INVALID = 1 #允许无效用户失败的次数 DENY_THRESHOLD_VALID = 10 #允许普通用户登陆失败的次数 DENY_THRESHOLD_ROOT = 5 #允许root登陆失败的次数 HOSTNAME_LOOKUP=NO #是否做域名反解 DAEMON_LOG = /var/log/denyhosts #DenyHosts的日志文件
更多的说明请查看自带的README文本文件。
二、使用yum命令安装
1、下载和安装EPEL RPM
cd /tmp wget http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm rpm -Uhv epel-release-5-3.noarch.rpm
2、使用yum命令安装denyhosts
yum install denyhosts主要配置文件/etc/denyhosts.cfg ,您可以看看,确保配置合适你的环境
3、添加系统启动自动运行
chkconfig --add denyhosts
chkconfig denyhosts on如何你想把某个ip或者ip段放入白名单,可以使用下列命令,这样就可以避免把自己的ip阻止了
echo '208.85.151.*' >> /var/lib/denyhosts/allowed-hosts
这样208.85.151.*就可以不受到此程序的约束,请根据自己的环境进行设置
4、最后启动服务
service denyhosts start
参考文件:
https://boxpanel.blueboxgrp.com/public/the_vault/index.php/Installing_DenyHosts
http://www.sofee.cn/blog/2006/10/22/51/
在vps主机配置反黑客程序
2009年01月5日,星期一在vps主机配置好web环境后,我们还需要配置监控这个vps主机的反黑客程序,比较有名的有:rkhunter和chkrootki
下面就讲讲如何在vps主机配置这两款程序
一、先安装rkhunter安装使用
1、登录上SSH,到rkhunter的主页找到最新版本的下载链接,用wget下载到服务器上;
wget http://jaist.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.2.tar.gz
2、解压并进入到解压的目录内(一定要进入到目录内才能安装)
tar -xzvf rkhunter-1.3.2.tar.gz
cd rkhunter-1.3.2
3、运行installer.sh进行安装,如下面命令即是安装到/usr/local下:
installer.sh --layout /usr/local --install
4、现在可以运行下列命令进行检查
/usr/local/bin/rkhunter -c
二、chkrootkit的安装使用:
1、chkrootkit的安装就更简单了,
yum install chkrootkit 2、运行chkrootkit
在vps主机配置安全ssh服务
2009年01月2日,星期五1、使用vps主机开通的邮件信息,使用root帐号登录vps主机,创建一个用于平常有的系统帐号
# adduser # passwd
2 、编辑这个/etc/sudoers文件,让刚才新建的系统帐号使用root访问
# echo " ALL=(ALL) ALL" >> /etc/sudoers3、 关闭root帐号登录ssh的权限
# echo "PermitRootLogin no" >> /etc/ssh/sshd_config4、重启sshd服务使其修改的配置生效
/etc/init.d/sshd restart
5、当然你也可以修改ssh服务的端口,只有编辑/etc/ssh/sshd_config把Port 22 修改为高端口,例如 50000