1、系统安装最小化

1）根据经验，选择安装包时应该按最小化原则，即不需要的或者不确定是否需要的就不安装，这样可以最大程度上确保系统安全。

2）如果安装过程落了部分包组或者其他伙伴安装时没选，再安装后可以按如下方式补上安装时未安装的包组：

yum groupinstall "Compatibility libraries" "Base" "Development tools"

yum groupinstall "debugging Tools" "Dial-up Networking Support"

可以通过yum groupinfo 包组查看具体安装的组件。

注意：不要使用yum的删除功能删除软件，会删除相关依赖，导致意外问题。

3） 安装系统补装工具命令

安装系统后还会有一些基本的工具没装，这时可以根据需求yum来安装下，啥时用啥时装也可。例如：

yum install tree nmap sysstat lrzsz dos2unix -y

如果需要更新补丁则执行

yum update



2、系统权限最小化

linux/unix是一个多用户、多任务的操作系统。

超级管理员(root)： root默认在unix/linux操作系统中拥有最高的管理权限。比喻：皇帝。

普通用户：管理员或者具备管理权限的用户创建的。权限：系统管理仅可以读、看，不能增、删、改。

权限越大，责任越大。

可使用如下命令添加一个普通用户账号，并为其设置口令：

[root@oldboy ~]# useradd luffy

[root@ oldboy ~]# passwd luffy ###问你新的密码，然后你输入 交互设置密码

Changing password for user luffy.

New password:

BAD PASSWORD: it is too simplistic/systematic #ç提示密码太简单了，但可以不理会。

BAD PASSWORD: is too simple

Retype new password:

passwd: all authentication tokens updated successfully.

提示：

非交互式设置密码：还可通过下面的命令一步到位地设置密码（其中，luffy为用户名，密码为123456）。

echo "123456"|passwd --stdin luffy && history -c

尝试切换用户角色，命令如下：

[root@ oldboy ~]# su - luffy <==由root管理员，切换到普通用户luffy

[luffy@ oldboy ~]whoami<==查看当前用户是什么luffy[luffy@oldboy ] su - root <==切回到root用户

Password:

说明：

1）超级用户root切换到普通用户下面，无需输入对应用户密码，这相当于“皇帝”去“大臣”家里。

2）普通用户切换到root或其他普通用户下，需要输入切换的对应用户密码。

3）普通用户的权限比较小，只能进行基本的系统信息查看等操作，无法更改系统配置和管理服务。

4）符号是普通用户的命令行提示符，#符号是超级管理员的提示符。示例如下： [luffy@ oldboy ~] #普通用户luffy对应的提示符

[root@ oldboy ~]# #超级管理员root对应的提示符

5）提示符@前面的字符代表当前用户（可用whoami查询），后面的为主机名（可用hostname查询），~所在的位置是窗口当前用户所在的路径。示例如下：

[luffy@ oldboy ~]#luffy为当前用户,Oldboy为主机名，~表示当前目录，即家目录。 6）Linux命令提示符由PS1环境变量控制。示例如下： [root@ oldboy ~]# echoPS1

[\u@\h \W]$

这里的PS1='[\u@\h \W]′，可以通过全局变量配置/etc/profile文件调整PS1=′[\u@\h\W\t] '。

注意：PS1必须大写的。

参数 含义

\d 代表日期，格式为weekday month date。

\H 完整的主机名称。

\h 仅取主机的第一个名字。

\t 显示时间为24小时格式，如HHMMSS。

\T 显示时间为12小时格式。

\A 显示时间为24小时格式HHMM。

\u 当前用户的账号名称。

\v BASH的版本信息。

\w 完整的工作目录名称。家目录会以~显示

\W 利用basename取得工作目录名称，所以只会列出最后一个目录

\# 下达的第几个命令

$ 提示字符，如果是root时，提示符为# ，普通用户则为变量（放东西查看变量的内容）PS1−−−变量的名字−−−−−−藏经阁里面的武功秘籍（葵花宝典）秘籍名字（书名）PS1---查看变量里面的内容---手端着书（葵花宝典） 看书的内容（读书） PS1=新的内容 ---向变量里面放入东西----修改书的内容（升级书） 欲练此功，必先自宫，若不自宫，也能成功。 linux变量名字（书名）大写的一般是自己用（linux环境变量），在哪里都可以用的变量



3、关闭SELinux        

SELinux（Security-Enhanced Linux）是美国国家安全局（NSA）对于强制访问控制的实现，这个功能让系统管理员又爱又恨，这里我们还是把它给关闭了吧，至于安全问题，后面通过其他手段来解决，这也是大多数生产环境的做法，如果非要开启也是可以的。

关闭方式如下

永久关闭selinux

# 备份

cp /etc/selinux/config /etc/selinux/config.bak

# sed修改，看看结果，不加-i

sed 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

# 确认并使用 sed -i 修改文件内容

sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

# 检查结果

grep "disabled" /etc/selinux/config

临时关闭selinux

setenforce 0

# 数字0表示Permissive，即给出警告提示，但不会阻止操作，相当于disabled。

# 数字1表示Enforcing，即表示SElinux为开启状态。

getenforce # 查看命令

命令说明：

setenforce：用于命令行管理SELinux的级别，后面的数字表示设置对应的级别。

getenforce：查看SELinux当前的级别状态。

提示：修改配置SElinux后，要想使其生效，必须要重启系统。因此，可配合使用setenforce 0这个临时使其关闭的命令，这样在重启前后都可以使得SElinux关闭生效了，也就是说无须立刻重启服务器了，在生产场景下Linux机器是不能随意重启的(不要给自己找任何理由重启)。



4、关闭iptables（C6）或Firewalld（C7）防火墙

关闭防火墙的目的是为了让初学者学习更方便，将来在学了iptables技术后可再统一开启。 在企业环境中，一般只有配置外网IP的linux服务器才需要开启防火墙，但即使是有外网IP，对于高并发高流量的业务服务器仍是不能开的，因为会有较大性能损失，导致网站访问很慢，这种情况下只能在前端加更好的硬件防火墙了。 关闭防火墙的具体操作过程如下：

CentOS 6.x

关闭防火墙

[root@oldboyedu ~]# /etc/init.d/iptables stop 

[root@oldboyedu ~]# /etc/init.d/iptables stop #<==重复执行下确认已关闭。

查看是否关闭

[root@oldboyedu ~]# /etc/init.d/iptables status 

iptables: Firewall is not running.

关闭开机自启动命令，前面已经关闭这里就无需执行。

[root@oldboyedu ~]# chkconfig iptables off 

[root@oldboyedu ~]# chkconfig --list|grep ipt

iptables 0:off 1:off 2:off 3:off 4:off 5:off 6:off

CentOS7.x

关闭防火墙

[root@oldboyedu ~]# systemctl stop firewalld

关闭开机自启动

[root@oldboyedu ~]# systemctl disable firewalld

查看防火墙状态

[root@oldboyedu ~]# systemctl is-active firewalld #是否正在运行

[root@oldboyedu ~]# systemctl is-enabled firewalld #是否开机自启动

关闭NetworkManager

[root@oldboyedu ~]# systemctl stop NetworkManager

[root@oldboyedu ~]# systemctl disable NetworkManager





5、更改SSH远程默认的22端口

sed -i 's#\#Port 22#Port 7777#g' /etc/ssh/sshd_config

service sshd restart



6、使用国内镜像做yum源

默认国外的yum源(软件仓库)比较慢，所以换成国内的。

备份

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

下载新的CentOS-Base.repo 到/etc/yum.repos.d/

CentOS 5

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo

或者

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo

CentOS 6

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

或者

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

CentOS 7

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

或者

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

之后运行yum makecache生成缓存，此步骤可以不执行。



7、epel源的安装

备份(如有配置其他epel源)

mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup

mv /etc/yum.repos.d/epel-testing.repo /etc/yum.repos.d/epel-testing.repo.backup

下载新repo 到/etc/yum.repos.d/

epel(RHEL 7)

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

epel(RHEL 6)

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

epel(RHEL 5)

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-5.repo

更换查看帮助的网站mirrors.aliyun.com



8、关于网络下载命令

curl

在Linux中curl是一个利用URL规则在命令行下工作的文件传输工具，可以说是一款很强大的http命令行工具。它支持文件的上传和下载，是综合传输工具，但按传统，习惯称url为下载工具。

常用参数

-o --output，把输出写到该文件中

-O --remote-name，把输出写到该文件中，保留远程文件的文件名

-I --head，只显示传输文档，经常用于测试连接本身

-s --silent，静默模式，不输出任何东西

-T --upload-file，上传文件

-V --version，显示版本信息

-f --fail，只输出错误信息

-# --progress-bar，用进度条显示当前的传送状态

-H --header，自定义标题传递到服务器

-v --verbose，详细显示请求报文结构和响应报文结构信息

wget 主要用于下载文件

wget支持HTTP，HTTPS和FTP协议，可以使用HTTP代理。所谓的自动下载是指，wget可以在用户退出系统的之后在后台执行。这意味这你可以登录系统，启动一个wget下载任务，然后退出系统，wget将在后台执行直到任务完成

wget 可以跟踪HTML页面上的链接依次下载来创建远程服务器的本地版本，完全重建原始站点的目录结构。这又常被称作”递归下载”。

常用参数

-V --version，显示 Wget 的版本信息并退出。

-h --help，打印此帮助。

-b --background，启动后转入后台。

-O --output-document=FILE，将文档写入 FILE。

-q --quiet，安静模式(无信息输出)。

-v --verbose，详尽的输出(此为默认值)。



9、安装常用软件

为了使用方便，可以安装一些常用的软件。

yum -y install tree nmap sysstat lrzsz dos2unix telnet bash-completion bash-completion-extras vim nc lsof net-tools rsync



10、升级具有典型漏洞的软件版本

诸如openssl、openssh、bash爆出很多软件漏洞，在企业场景需要进行修复漏洞操作，步骤如下：

首先查看相关软件的版本号。

[root@Oldboy ~]# rpm -qa openssl openssh bash

openssl-1.0.1e-30.el6.x86_64

bash-4.1.2-29.el6.x86_64

openssh-5.3p1-104.el6.x86_64

执行升级已知漏洞的软件版本到最新，命令如下：

[root@Oldboy ~]# yum install openssl openssh bash -y

[root@Oldboy ~]# rpm -qa openssl openssh bash

openssh-5.3p1-104.el6_6.1.x86_64

bash-4.1.2-29.el6.x86_64

openssl-1.0.1e-30.el6_6.5.x86_64



11、时间同步

echo '#Timing synchronization time' >/var/spool/cron/root

echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com &>/dev/null' >/var/spool/cron/root

crontab -l



12、加大文件描述

echo '* - nofile 65535 ' >>/etc/security/limits.conf 

tail -1 /etc/security/limits.conf



13、别名和环境变量优化

cat>>/etc/profile.d/color.sh<<EOF

alias ll='ls -l --color=auto --time-style=long-iso'

PS1='

\e[32;1m

[\u@\h \W]$

\e[0m

'

export HISTTIMEFORMAT='%F-%T '

EOF



14、内核优化

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

EOF

sysctl -p



15、修改主机名和IP脚本

[root@oldboy ~]# cat /server/scripts/hostname_ip.sh 

#!/usr/bin/sh

if [ # -ne 2 ];then   echo "/bin/sh0 hostname PartIP"

exit 1

fi

hostnamectl set-hostname $1

sed -i "s#100#$2#g" /etc/sysconfig/network-scripts/ifcfg-eth[01]

systemctl restart network



16、更改Linux特殊变量

临时生效：

export TMOUT=10        账号超时时间控制台变量（类似于Windows的锁屏）

export HISTSIZE=5          命令行历史记录数量（历史记录越少越好）

export HISTFILESIZE=5   命令行命令对应文件的记录数~/.bash_history

永久生效：

echo 'export TMOUT=300' >>/etc/profile

echo 'export HISTSIZE=5' >>/etc/profile

echo 'export HISTFILESIZE=5' >>/etc/profile

source /etc/profile



17、隐藏Linux版本信息

cat /etc/issue

>/etc/issue

>/etc/issue.net

这时候就没有任何版本信息了





18、如何防止显示中文乱码（该优化初期建议不优化，直接强制看英文）

此项优化为可选项，即调整Linux系统的字符集设置，那么，什么是字符集呢？

简单的说，字符集就是一套文字符号及其编码。目前Linux下常用的字符集有：

GBK：定长，双字节，不是国际标准，支持的系统不少，实际企业用的不多。

UTF-8：非定长，1~4字节，广泛支持，MYSQL也使用UTF-8，企业广泛使用。 可通过快捷的命令方式在/etc/sysconfig/i18n中添加如下内容，使其支持中文显示：

CentOS 6.x修过过程

[root@ oldboy ~]# echo LANG                ###查看系统当前的字符集 en_US.UTF-8 [root@ oldboy ~]# cat /etc/sysconfig/i18n   #####系统字符集配置文件的位置 LANG="en_US.UTF-8" SYSFONT="latarcyrheb-sun16" [root@Oldboy ~]# cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori  ####备份 [root@Oldboy ~]# echo 'LANG="zh_CN.UTF-8"'  >/etc/sysconfig/i18n ####修改配置文件 #→相当于用vi /etc/sysconfig/i18n 添加LANG="zh_CN.UTF-8"内容 [root@Oldboy ~]# source /etc/sysconfig/i18n #→使上文修改生效    ###让配置文件生效 [root@Oldboy ~]# echoLANG ###查看系统当前的字符集

zh_CN.UTF-8

CentOS 7.x修过过程

修改/etc/locale.conf这个文件

提示：

乱码的核心解决方法：

系统字符集(utf-8)

xshell软件的字符集保持一致(utf-8)

文件使用的字符集一致

zh_CN.GBK

注意“zh_CN.UTF-8”的大小写字母。

这个中文显示配置要跟你自己的SSH客户端的配置一致。



Linux基础优化与安全重点小结



不用root登录管理系统，而以普通用户登录通过sudo授权管理。

更改默认的远程连接SSH服务端口，禁止root用户远程连接，甚至要更改SSH服务只监听内网IP。

定时自动更新服务器的时间，使其和互联网时间同步。

配置yum更新源，从国内更新源下载安装软件包。

关闭SELinux及iptables（在工作场景中，如果有外部IP一般要打开iptables，高并发高流量的服务器可能无法开启）。

调整文件描述符的数量，进程及文件的打开都会消耗文件描述符数量。

定时自动清理邮件临时目录垃圾文件，防止磁盘的inodes数被小文件占满（注意Centos6和Centos5要清除的目录不同）。

精简并保留必要的开机自启动服务（如crond、sshd、network、rsyslog、sysstat）。

Linux内核参数优化/etc/sysctl.conf，执行sysctl -p生效。

更改系统字符集为“zh_CN.UTF-8”，使其支持中文，防止出现乱码问题。

锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab，处理以上内容后把chattr、lsattr改名为luffy，转移走，这样就安全多了。

清空/etc/issue、/etc/issue.net，去除系统及内核版本登录前的屏幕显示。

清除多余的系统虚拟用户账号。

为grub引导菜单加密码。

禁止主机被ping。

打补丁并升级有已知漏洞的软件。 新系统 yum –y install 已经在线上用的服务器 web服务器能够停止。

























 

OpenSSH



OpenSSH 是 SSH （Secure SHell） 协议的免费开源实现。SSH协议族可以用来进行远程控制， 或在计算机之间传送文件。而实现此功能的传统方式，如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的，并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具，用来加密远程控制和文件传输过程中的数据，并由此来代替原来的类似服务。



网络安全一刻也不能放松，为了系统安全尽量将 OPENSSH 升级到最新版本，目前最新版本为 8.2 P1，下面开始准备升级。

实验环境 CentOS 7.5
	
为了预防万一升级失败后，无法登陆远程主机的问题，需要先安装 、启动Telnet 服务，确保可以远程登录。
	
 
	
安装、配置 Telnet 以及超级守护进程 xinetd 服务
	
编辑 telnet 主配置文件 /etc/xinetd.d/telnet
	
vim /etc/xinetd.d/telnet


	service telnet

	{

	    disable = no

	    flags       = REUSE

	    socket_type = stream

	    wait        = no

	    user        = root

	    server      = /usr/sbin/in.telnetd

	    log_on_failure  += USERID

	}
	
配置telnet登录的终端类型，在 /etc/securetty 文件末尾增加一些pts终端

	vim /etc/securetty
pts/0

	pts/1

	pts/2

	pts/3
	
启动telnet服务

	systemctl start telnet.socket 


	查看服务状态

	systemctl status telnet.socket 


	查看侦听端口

	ss -atnl | grep 23 


	安装完成后，将xinetd服务加入开机自启动:

	systemctl enable xinetd.service


	将telnet服务加入开机自启动：

	systemctl enable telnet.socket








使用 telnet 测试登录






接下来开始升级 OPENSSH
	
首先在官网上下载最新版本的源码包
	
OPENSSH 源码包下载地址：https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/
	
OPENSSL 源码包下载地址：https://ftp.openssl.org/source/old/
	
wget https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.2p1.tar.gz
	
wget https://ftp.openssl.org/source/old/1.1.1/openssl-1.1.1c.tar.gz
	
接下来安装 openssh 和 openssl 依赖包

	yum -y install perl gcc gcc-c++ glibc make
	
yum -y group install 'Development Tools'
	
yum -y install pam-devel libselinux-devel zlib-devel openssl-devel
	

	
备份原先的 openssl 文件
	mv /usr/bin/openssl /usr/bin/openssl.old

	mv /usr/lib64/openssl /usr/lib64/openssl.old

	mv /usr/lib64/libssl.so /usr/lib64/libssl.so.old
	

	
解压 openssl 包，编译安装（需要 root 用户）
	tar xf openssl-1.1.1c.tar.gz
	
./config --prefix=/usr/local/openssl && make clean && make && make install





	
编译、安装无误后，下面开始配置 OPENSSL
	设置 openssl 命令的软链接

	ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

	ln -s /usr/local/openssl/include/openssl /usr/include/openssl

	ln -s /usr/local/openssl/lib/libssl.so /usr/lib64/libssl.so


	echo "/usr/local/openssl/lib" >> /etc/ld.so.conf

	ldconfig -v

	 

	openssl version




开始安装 openssh 前，先备份原先的 openssh 文件
	
mv /etc/ssh/* /bak/sshbak
	
tar xf openssh-8.2p1.tar.gz
	
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-md5-passwords --mandir=/usr/share/man --with-pam=enable && make clean && make && make install
	
echo $? --> 0 确保编译安装无误后，复制启动脚本和PAM验证文件
	
cp /home/gf/openssh/openssh-8.2p1/contrib/redhat/sshd.init /etc/init.d/sshd

	cp /home/gf/openssh/openssh-8.2p1/contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
	
编辑 /etc/ssh/sshd.conf 配置文件
	
Port 22

	PermitRootLogin no

	PasswordAuthentication yes

	UsePAM yes

	UseDNS no

	Subsystem    sftp    /usr/libexec/sftp-server
	
chmod +x /etc/init.d/sshd
	
把原先的 systemd 管理的 sshd 启动脚本文件删除或者移走

	mv  /usr/lib/systemd/system/sshd.service  /bak/sshbak

	mv  /usr/lib/systemd/system/sshd.socket  /bak/sshbak
	
重新加载服务配置文件后重启 sshd 服务
	
systemctl daemon-reload
	
systemctl restart sshd
	
chkconfig sshd on
	
重启确认无误后可以停掉 telnet 服务
	
systemctl disable telnet




使用 ssh 测试重新登录

防火墙的定义



防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。

防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。 

防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙的功能



1、入侵检测功能

网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。 [3] 

2、网络地址转换功能

利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。

3、网络操作的审计监控功能

通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。

4、强化网络安全服务

防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。 

IPTABLES

Iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。

如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。防火墙在做数据包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的数据包过滤表中，而这些表集成在 Linux 内核中。在数据包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter 和 iptables 组成。netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否则需要下载该工具并安装使用它。

可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作'target'（目标），也可以跳向同一个表内的用户定义的链。

TARGETS

防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配，那么下一条规则由目标值确定.该目标值可以是用户定义的链名，或是某个专用值，如ACCEPT[通过],DROP[删除],QUEUE[排队]，或者 RETURN[返回]。

ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链（的末端），或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。

TABLES

当前有三个表（哪个表是当前表取决于内核配置选项和当前模块）。

-t table

这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，（系统）将尝试（为该表）加载适合的模块。这些表如下：filter，这是默认的表，包含了内建的链INPUT（处理进入的包）、FORWARD（处理通过的包）和OUTPUT（处理本地生成的包）。nat，这个表被查询时表示遇到了产生新的连接的包，由三个内建的链构成：PREROUTING （修改到来的包）、OUTPUT（修改路由之前本地的包）、POSTROUTING（修改准备出去的包）。mangle 这个表用来对指定的包进行修改。它有两个内建规则：PREROUTING（修改路由之前进入的包）和OUTPUT（修改路由IPTABLES之前本地的包）。

OPTIONS

这些可被iptables识别的选项可以区分不同的种类。

COMMANDS

这些选项指定执行明确的动作：若指令行下没有其他规定，该行只能指定一个选项.对于长格式的命令和选项名，所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。

-A -append

在所选择的链末添加一条或更多规则。当源（地址）或者/与 目的（地址）转换为多个地址时，这条规则会加到所有可能的地址（组合）后面。

-D -delete

从所选链中删除一条或更多规则。这条命令可以有两种方法：可以把被删除规则指定为链中的序号（第一条序号为1），或者指定为要匹配的规则。

-R -replace

从选中的链中取代一条规则。如果源（地址）或者/与 目的（地址）被转换为多地址，该命令会失败。规则序号从1开始。

-I -insert

根据给出的规则序号向所选链中插入一条或更多规则。所以，如果规则序号为1，规则会被插入链的头部。这也是不指定规则序号时的默认方式。

-L -list

显示所选链的所有规则。如果没有选择链，所有链将被显示。也可以和z选项一起使用，这时链会被自动列出和归零。精确输出受其它所给参数影响。

-F -flush

清空所选链。这等于把所有规则一个个的删除。

--Z -zero

把所有链的包及字节的计数器清空。它可以和 -L配合使用，在清空前察看计数器，请参见前文。

-N -new-chain

根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。

-X -delete-chain

删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将试着删除每个非内建的链。

-P -policy

设置链的目标规则。

-E -rename-chain

根据用户给出的名字对指定链进行重命名，这仅仅是修饰，对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则，而且内建链和用户自定义链都不能是规则的目标。

-h Help.

帮助。给出当前命令语法非常简短的说明。

PARAMETERS

参数

以下参数构成规则详述，如用于add、delete、replace、append 和 check命令。

-p -protocal [!]protocol

规则或者包检查（待检查包）的协议。指定协议可以是tcp、udp、icmp中的一个或者全部，也可以是数值，代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议，而且这是缺省时的选项。在和check命令结合时，all可以不被使用。

-s -source [!] address[/mask]

指定源地址，可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边"1"的个数，因此，mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。

-d --destination [!] address[/mask]

指定目标地址，要获取详细说明请参见 -s标志的说明。标志 --dst 是这个选项的简写。

-j --jump target

-j 目标跳转

指定规则的目标；也就是说，如果包匹配应当做什么。目标可以是用户自定义链（不是这条规则所在的），某个会立即决定包的命运的专用内建目标，或者一个扩展（参见下面的EXTENSIONS）。如果规则的这个选项被忽略，那么匹配的过程不会对包产生影响，不过规则的计数器会增加。

-i -in-interface [!] [name]

i -进入的（网络）接口 [!][名称]

这是包经由该接口接收的可选的入口名称，包通过该接口接收（在链INPUT、FORWORD和PREROUTING中进入的包）。当在接口名前使用"!"说明后，指的是相反的名称。如果接口名后面加上"+"，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+"，那么将匹配任意接口。

-o --out-interface [!][name]

-o --输出接口[名称]

这是包经由该接口送出的可选的出口名称，包通过该口输出（在链FORWARD、OUTPUT和POSTROUTING中送出的包）那么将匹配所有任意接口。

[!] -f,--fragment

[!] -f --分片

这意味着在分片的包中，规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口（或者是ICMP类型的），这类包将不能匹配任何指定对他们进行匹配的规则。如果"!"说明用在了"-f"标志之前，表示相反的意思。

OTHER OPTIONS

其他选项

还可以指定下列附加选项：

-v --verbose

-v --详细

详细输出。这个选项让list命令显示接口地址、规则选项（如果有）和TOS（Type of Service）掩码。包和字节计数器也将被显示，分别用K、M、G（前缀）表示1000、1,000,000和1,000,000,000倍（不过请参看-x标志改变它），对于添加，插入，删除和替换命令，这会使一个或多个规则的相关详细信息被打印。

-n --numeric

-n --数字

数字输出。IP地址和端口会以数字的形式打印。默认情况下，程序试显示主机名、网络名或者服务（只要可用）。

-x -exact

-x -精确

扩展数字。显示包和字节计数器的精确值，代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。

--line-numbers

当列表显示规则时，在每个规则的前面加上行号，与该规则在链中的位置相对应。

MATCH EXTENSIONS

对应的扩展

iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包，而且他们大多数都可以通过在前面加上！来表示相反的意思。

tcp

当 --protocol tcp 被指定，且其他匹配的扩展未被指定时，这些扩展被装载。它提供以下选项：

--source-port [!] [port[:port]]

源端口或端口范围指定。这可以是服务名或端口号。使用格式端口：端口也可以指定包含的（端口）范围。如果首端口号被忽略，默认是"0"，如果末端口号被忽略，默认是"65535"，如果第二个端口号大于第一个，那么它们会被交换。这个选项可以使用 --sport的别名。

--destionation-port [!] [port:[port]]

目标端口或端口范围指定。这个选项可以使用 --dport别名来代替。

--tcp-flags [!] mask comp

匹配指定的TCP标记。第一个参数是我们要检查的标记，一个用逗号分开的列表，第二个参数是用逗号分开的标记表，是必须被设置的。标记如下：SYN ACK FIN RST URG PSH ALL NONE。因此这条命令：iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。

[!] --syn

只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求；例如，大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接，而出去的TCP连接不会受到影响。这等于 --tcp-flags SYN,RST,ACK SYN。如果"--syn"前面有"!"标记，表示相反的意思。

--tcp-option [!] number

匹配设置了TCP选项的。

udp

当protocol udp 被指定，且其他匹配的扩展未被指定时，这些扩展被装载，它提供以下选项：

--source-port [!] [port:[port]]

源端口或端口范围指定。详见 TCP扩展的--source-port选项说明。

--destination-port [!] [port:[port]]

目标端口或端口范围指定。详见 TCP扩展的--destination-port选项说明。

icmp

当protocol icmp被指定，且其他匹配的扩展未被指定时，该扩展被装载。它提供以下选项：

--icmp-type [!] typename

这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。

mac

--mac-source [!] address

匹配物理地址。必须是XX:XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWARD和INPUT链的包有效。

--to-destiontion [-][:port-port]

MASQUERADE

只用于nat表的POSTROUTING链。只能用于动态获取IP（拨号）连接：如果你拥有静态IP地址，你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像，当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址（以后所有建立的连接都将关闭）。它有一个选项：

--to-ports [-port>]

指定使用的源端口范围，覆盖默认的SNAT源地址选择（见上面）。这个选项只适用于指定了-p tcp或者-p udp的规则。

REDIRECT

只适用于nat表的PREROUTING和OUTPUT链，和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身（本地生成的包被安置为地址127.0.0.1）。它包含一个选项：

--to-ports []

指定使用的目的端口或端口范围：不指定的话，目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。

DIAGNOSTICS

诊断

不同的错误信息会打印成标准错误：退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2，其他错误返回代码为1。

BUGS

臭虫

Check is not implemented (yet).

检查还未完成。

COMPATIBILITY WITH IPCHAINS

与ipchains的兼容性

iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包，而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个；以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口；-o引用输出接口，两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时，iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆，所以以下选项作了不同的处理：

-j MASQ

-M -S

-M -L

在iptables中有几个不同的链。

limit

这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配，它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时，使用这个扩展包的规则将进行匹配.（除非使用了"!"标记）

--limit rate

最大平均匹配速率：可赋的值有'/second','/minute','/hour',or '/day'这样的单位，默认是3/hour。

--limit-burst number

待匹配包初始个数的最大值：若前面指定的极限还没达到这个数值，则概数字加1.默认值为5

multiport

这个模块匹配一组源端口或目标端口，最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。

--source-port [port[,port]]

如果源端口是其中一个给定端口则匹配

--destination-port [port[,port]]

如果目标端口是其中一个给定端口则匹配

--port [port[,port]]

若源端口和目的端口相等并与某个给定端口相等，则匹配。

mark

这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。

--mark value [/mask]

匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。

owner

此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。

--uid-owner userid

如果给出有效的user id，那么匹配它的进程产生的包。

--gid-owner groupid

如果给出有效的group id，那么匹配它的进程产生的包。

--sid-owner seessionid

根据给出的会话组匹配该进程产生的包。

state

此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。

--state state

这里state是一个逗号分割的匹配连接状态列表。可能的状态是：INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个ICMP错误。

unclean

此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。

tos

此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。

--tos tos

这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。

TARGET EXTENSIONS

iptables可以使用扩展目标模块：以下都包含在标准版中。

LOG

为匹配的包开启内核记录。当在规则中设置了这一选项后，linux内核会通过printk（）打印一些关于全部匹配包的信息（诸如IP包头字段等）。

--log-level level

记录级别（数字或参看 syslog.conf⑸）。

--log-prefix prefix

在纪录信息前加上特定的前缀：最多14个字母长，用来和记录中其他信息区别。

--log-tcp-sequence

记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。

--log-tcp-options

记录来自TCP包头部的选项。

--log-ip-options

记录来自IP包头部的选项。

MARK

用来设置包的netfilter标记值。只适用于mangle表。

--set-mark mark

REJECT

作为对匹配的包的响应，返回一个错误的包：其他情况下和DROP相同。

此目标只适用于INPUT、FORWARD和OUTPUT链，和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：

--reject-with type

Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项 echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。最后，选项tcp-reset可以用于在INPUT链中，或自INPUT链调用的规则，只匹配TCP协议：将回应一个TCP RST包。

TOS

用来设置IP包的首部八位tos。只能用于mangle表。

--set-tos tos

你可以使用一个数值型的TOS 值，或者用iptables -j TOS -h 来查看有效TOS名列表。

MIRROR

这是一个试验示范目标，可用于转换IP首部字段中的源地址和目标地址，再传送该包，并只适用于INPUT、FORWARD和OUTPUT链，以及只调用它们的用户自定义链。

SNAT

这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查，它包含选项：

--to-source [-][:port-port]

源端口中512以下的（端口）会被安置为其他的512以下的端口；512到1024之间的端口会被安置为1024以下的，其他端口会被安置为1024或以上。如果可能，端口不会被修改。

 

测试及应用

iptables命令选项输入顺序：

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

表名包括：

raw：高级功能，如：网址过滤。
	
mangle：数据包修改（QOS），用于实现服务质量。
	
net：地址转换，用于网关路由器。
	
filter：包过滤，用于防火墙规则。
规则链名包括：

INPUT链：处理输入数据包。
	
OUTPUT链：处理输出数据包。
	
PORWARD链：处理转发数据包。
	
PREROUTING链：用于目标地址转换（DNAT）。
	
POSTOUTING链：用于源地址转换（SNAT）。
动作包括：

accept：接收数据包。
	
DROP：丢弃数据包。
	
REDIRECT：重定向、映射、透明代理。
	
SNAT：源地址转换。
	
DNAT：目标地址转换。
	
MASQUERADE：IP伪装（NAT），用于ADSL。
	
LOG：日志记录。
查看当前系统iptables运行状态：



也可以使用 iptables -L -n 来查看



指定查看默认表格 filter



清空所有iptables规则 使用 iptables --flush 或者 iptables -F 这两条命令是等效的。



设置永久生效

当你删除、添加规则后，这些更改并不能永久生效，这些规则很有可能在系统重启后恢复原样。

保存iptables规则 



追加一条规则：仅允许SSH服务



拒绝所有其他数据包：



编辑 /etc/sysconfig/iptables 更改设置，首先默认拒绝所有链接，开放需要的链接：



重启 iptables 服务查看列表信息：



！注意：不要尝试在.bashrc或者.profile中执行以上命令，因为用户通常不是root，而且这只能在登录时加载iptables规则。

设置仅允许某一IP访问：



删除某一条规则，使用 --line-number 显示编号：



保存重启服务：



更改物理机IP地址为 192.168.10.254



无法登陆 10.4 



其他机器登录正常



 

安全运维定义

        信息系统安全运维指在特定的周期内，通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询，协助组织的系统管理人员进行信息系统的日常安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。

安全运维服务包括如下内容：

1) 确定安全运维所涉及的信息系统及关键技术设施；

2) 根据所约定的服务范围，执行首次技术设施安全评估，评估关键技术设施所存在的安全隐

患；

3) 根据首次技术设施安全评估的结果，制定加固方案，沟通并最终对关键技术设施进行安全

加固；

4) 此后定期执行技术设施安全评估，针对评估所发现的安全隐患，提出改进建议，并指导系

统管理人员进行安全加固；

5) 当被服务单位的主机或网络正遭到攻击或已经发现遭受入侵的迹象时，及时进行应急响应，

分析事故原因并防止损失扩大；

6) 在服务期内，及时跟踪并提供安全漏洞及补丁信息或相应安全建议；

7) 针对系统管理人员在日常维护时发现、产生的安全技术问题提供咨询服务。

安全运维流程



客户收益

清晰理解技术设施所面临的信息安全问题
	
前瞻性地处理技术设施所面临的安全问题
	
最大程度降低信息安全事件所带来的影响
	
集中精力维护信息系统的持续可用
	
提高技术人员对信息安全的认识