《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —2.2.2 实际生产中的iptables脚本编写

华章计算机 发表于 2019/11/14 11:17:07 2019/11/14
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第2章,第2.2.2节,作者是胥峰。

2.2.2 实际生产中的iptables脚本编写

图2-1展示了netfilter钩子与iptables表和链的处理顺序,显示了其强大的处理功能。在实际生产中,使用比较多的是filter表,这个表用于对进入主机或者从主机发出的数据进行访问控制。在实践中,笔者建议使用iptables脚本来管理访问控制规则,而不是通过编辑和修改系统自带的/etc/sysconfig/iptables文件,这样做的好处是可以更加清晰地理解规则。

下面以代码清单2-1作为一个实际生产中的iptables脚本,讲解iptables的语法与使用的最佳实践。

代码清单2-1 实际生产中的iptables脚本

image.png

1)代码清单2-1中的规则9明确禁止了所有未被允许的网络访问。这是1.3.4节白名单机制原则的贯彻实践。

2)代码清单2-1中的规则11明确禁止了主机主动发出外部连接,这可以有效地防范类似“反弹Shell”的攻击。在很多情况下,当主机***客入侵后,其留下的后门并不以监听端口的形式接收外部连接,因为在这种情况下,监听很容易被识别出来,也很容易被外部网络设备的防火墙所截获并禁止;相反,这些后门会主动向黑客所控制的外部主机发起网络连接,把被入侵主机的Shell反弹到外部主机上,从而进行反向形式的控制。防止反弹Shell的最有效手段就是禁止本机主动向未被明确信任的外部主机发起连接。


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。