image=/boot/bzImage.nf label=linux-nf read-only root=/dev/hda5 (换成您系统的根所在的硬件路径) |
编辑完成以后,在shell中敲入命令lilo,安装新的内核到启动映像中。
重新启动系统(使用命令reboot,或halt -r)
在系统启动以后,您会看到LILO提出的提示符,此时按TAB键,然后会出现能够使用的启动内核,应该有linux-nf,他对应的内核就是/boot/bzImage.nf。直接敲入linux-nf,然后回车,系统就会使用bzImage.nf启动。
Iptables是Linux Netfilter框架的用户端程式,负责接收用户的命令,并且将用户命令添加到内核中。Iptables一般是个*.tar.gz的软件包,下载以后使用如下命令序列将其展开:
[test /root]# pwd /root [test /root]# tar zxvf iptables-2.6.tar.gz [test /root]# cd iptables-2.6 [test /root]# make [test /root]# make install |
好了,现在能够直接在命令行方式下使用该命令了。该命令的语法后面介绍。
Linux根据数据包在内核中的不同处理,将整个IP包在内核中的生存周期划分为三个:PREROUTING、FORWARD、POSTROUTING。其他更有两个LOCAL_INPUT和LOCAL_OUTPUT(一般简写成INPUT和OUTPUT),分别对应送入本机上层协议栈的数据包和本机发送出的数据包。假如想要保护本机的安全性,那么只需关注INPUT和OUTPUT方向的数据包就能够了。其他几个无需关心。
这五个方向对应着内核中五条不同的规则链和三个不同的规则表。
Linux中规则链被组织在三个不同的规则表中:Filter 、NAT、Mangle。其中Filter针对过滤系统,NAT针对地址转换系统,Mangle针对策略路由和特别应用。规则链分配如下:
Filter:INPUT、FORWARD、OUTPUT
NAT:PREROUTING、POSTROUTING
Mangle:PREROUTING、POSTROUTING
针对主机的安全性主要集中在Filter表中的INPUT和OUTPUT规则链,这两个关键字在添加规则的时候会使用到。
在内核编译了NetFilter系统以后,系统会自动建立这五个规则链和三个规则表。
我们在使用的时候主要要使用到的规则表是Filter表,规则链是INPUT和OUTPUT链。添加的主要规则都集中在这两个链上。用图示表示如下:
取消不必要的服务监听端口
使用Linux下的Setup命令,进入ASCI图像界面,限制主机提供的常用服务,例如FTP、Daytime、Echo、Telnet、WEB、syslog remote等等一系列无需的服务。
然后使用下列命令序列重启Xinetd:
[test /root]# cd /etc/init.d [test /root]# ./xinted restart |
使用netstat -na命令观察系统中是否有不期望的端口正在监听。假如自己需要什么服务,利用Setup工具打开服务,并且重启Xinetd就能够了。
假如没有不期望的端口被打开,能够进入下一步。
修改INPUT和OUTPUT规则链的默认策略
使用下列命令序列:
[test /root]# iptables -P INPUT DROP [test /root]# iptables -P OUTPUT DROP |
这样以来,任何未经同意的数据包都会被系统拒绝。
添加如下命令控制访问主机:
iptables -A INPUT -p PROTO -state ESTABLISHED ,RELATED -j ACCEPT |
本条命令的含义是凡是属于已建立连接的数据包,或关联性连接的数据包都允许通过。注意将命令行中的"PROTO"换成真正的协议名称tcp、 udp、 或 icmp
iptables -A INPUT -s A.B.C.D/32 -p PROTO -dport PORT -j ACCEPT |
这条命令的含义是允许从IP地址为A.B.C.D主机来的,协议为PROTO的IP包,访问本主机的PORT端口的数据包允许通过。例如能够将PORT换成80 ,表示WEB服务,换成22,表示SSH服务等等。注意将PROTO换成tcp或udp。
好了,只有经过上述命令添加的IP地址的主机,才能访问该主机。
为了防止IP地址冒充,我们能够将IP地址和MAC地址进行绑定,使用如下命令:
arp -s A.B.C.D aa:bb:cc:dd:ee:ff |
表示A.B.C.DIP地址对应的MAC地址是aa:bb:cc:dd:ee:ff。
上述命令完成以后,主机的安全访问就在NetFilter的控制之下了。
例如,允许10.0.0.41的主机访问该服务器的SSH服务,使用如下命令:
