“ELM's log” 的评论 http://blog.cost.edu.cn/wenzk Just another Blog.cost.edu.cn Blogs weblog Fri, 30 Jul 2010 10:49:01 +0000 http://wordpress.org/?v=2.7 hourly 1 » 加强ssh服务器的安全@unixhater.com | UNIX痛恨者 关于 巧用Recent模块加固Linux安全 的评论 http://blog.cost.edu.cn/wenzk/archives/84/comment-page-1#comment-58 » 加强ssh服务器的安全@unixhater.com | UNIX痛恨者 Tue, 13 Oct 2009 15:43:04 +0000 http://blog.cost.edu.cn/wenzk/?p=84#comment-58 [...] 见http://blog.cost.edu.cn/wenzk/archives/84 [...] [...] 见http://blog.cost.edu.cn/wenzk/archives/84 [...]

]]> unixhater.com 关于 巧用Recent模块加固Linux安全 的评论 http://blog.cost.edu.cn/wenzk/archives/84/comment-page-1#comment-57 unixhater.com Mon, 12 Oct 2009 02:39:12 +0000 http://blog.cost.edu.cn/wenzk/?p=84#comment-57 哦,明白了,谢谢 哦,明白了,谢谢

]]> wenzk 关于 巧用Recent模块加固Linux安全 的评论 http://blog.cost.edu.cn/wenzk/archives/84/comment-page-1#comment-56 wenzk Sun, 11 Oct 2009 03:56:01 +0000 http://blog.cost.edu.cn/wenzk/?p=84#comment-56 <blockquote cite="#commentbody-55"> <strong><a href="#comment-55" rel="nofollow">unixhater.com</a> :</strong> >>攻击停止一分钟以上自动解封 这是哪条命令实现的,也是Recent模块吗?如果我要一天后解封应该怎么做? </blockquote> -A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP 把60改成60*60*24就可以啦

unixhater.com :
>>攻击停止一分钟以上自动解封
这是哪条命令实现的,也是Recent模块吗?如果我要一天后解封应该怎么做?

-A INPUT -m recent –update –seconds 60 –hitcount 20 –name PORTSCAN –rsource -j DROP
把60改成60*60*24就可以啦

]]> unixhater.com 关于 巧用Recent模块加固Linux安全 的评论 http://blog.cost.edu.cn/wenzk/archives/84/comment-page-1#comment-55 unixhater.com Sat, 10 Oct 2009 21:47:35 +0000 http://blog.cost.edu.cn/wenzk/?p=84#comment-55 >>攻击停止一分钟以上自动解封 这是哪条命令实现的,也是Recent模块吗?如果我要一天后解封应该怎么做? >>攻击停止一分钟以上自动解封
这是哪条命令实现的,也是Recent模块吗?如果我要一天后解封应该怎么做?

]]> wenzk 关于 巧用Recent模块加固Linux安全 的评论 http://blog.cost.edu.cn/wenzk/archives/84/comment-page-1#comment-43 wenzk Mon, 21 Sep 2009 00:48:58 +0000 http://blog.cost.edu.cn/wenzk/?p=84#comment-43 <blockquote cite="#commentbody-42"> <strong><a href="#comment-42" rel="nofollow">duanhaixin</a> :</strong> 的确很强大,是不是可以用做流量限制,比如类似cisco路由器CAR的功能? </blockquote> 配合TC应该是没有问题,起到流量分类的作用。 这个模块还有一个好处就是可以在各个table中随便调用,如,某些事件可以在filter这个table中触发,然后再nat这个table中来检查。 这也是很艺术的配置: *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] <code>-A PREROUTING -p tcp -m tcp --dport 80 -m recent --update --seconds 60 --name SSH --rsource -j DNAT --to-destination 192.168.1.1:8080</code> COMMIT # Completed on Mon Sep 21 08:34:56 2009 # Generated by iptables-save v1.4.0 on Mon Sep 21 08:34:56 2009 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] <code>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited</code> COMMIT 如果你访问该主机的80端口,默认访问的是该机器的web服务,但是在访问80端口之前先访问22端口,之后访问80端口就定向到别的机器了。

duanhaixin :
的确很强大,是不是可以用做流量限制,比如类似cisco路由器CAR的功能?

配合TC应该是没有问题,起到流量分类的作用。

这个模块还有一个好处就是可以在各个table中随便调用,如,某些事件可以在filter这个table中触发,然后再nat这个table中来检查。

这也是很艺术的配置:
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 80 -m recent --update --seconds 60 --name SSH --rsource -j DNAT --to-destination 192.168.1.1:8080
COMMIT
# Completed on Mon Sep 21 08:34:56 2009
# Generated by iptables-save v1.4.0 on Mon Sep 21 08:34:56 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

如果你访问该主机的80端口,默认访问的是该机器的web服务,但是在访问80端口之前先访问22端口,之后访问80端口就定向到别的机器了。

]]> duanhaixin 关于 巧用Recent模块加固Linux安全 的评论 http://blog.cost.edu.cn/wenzk/archives/84/comment-page-1#comment-42 duanhaixin Mon, 21 Sep 2009 00:35:06 +0000 http://blog.cost.edu.cn/wenzk/?p=84#comment-42 的确很强大,是不是可以用做流量限制,比如类似cisco路由器CAR的功能? 的确很强大,是不是可以用做流量限制,比如类似cisco路由器CAR的功能?

]]> mafish 关于 OpenSSH与Putty 的评论 http://blog.cost.edu.cn/wenzk/archives/58/comment-page-1#comment-41 mafish Mon, 14 Sep 2009 01:47:21 +0000 http://blog.cost.edu.cn/wenzk/archives/58#comment-41 很详细, 谢谢楼主了. 很详细, 谢谢楼主了.

]]> wenzk 关于 arping for windows 的评论 http://blog.cost.edu.cn/wenzk/archives/80/comment-page-1#comment-39 wenzk Sun, 16 Aug 2009 01:13:51 +0000 http://blog.cost.edu.cn/wenzk/?p=80#comment-39 <a href="#comment-37" rel="nofollow">@mystories</a> I'll test on VISTA,thx a lot @mystories
I’ll test on VISTA,thx a lot

]]> mystories 关于 arping for windows 的评论 http://blog.cost.edu.cn/wenzk/archives/80/comment-page-1#comment-38 mystories Sat, 15 Aug 2009 11:54:09 +0000 http://blog.cost.edu.cn/wenzk/?p=80#comment-38 My Windows is Vista My Windows is Vista

]]> mystories 关于 arping for windows 的评论 http://blog.cost.edu.cn/wenzk/archives/80/comment-page-1#comment-37 mystories Sat, 15 Aug 2009 11:53:16 +0000 http://blog.cost.edu.cn/wenzk/?p=80#comment-37 can't use? What happened? @echo off :loop ping -n 1 -w 500 %1 > nul for /f "tokens=1,2 delims=" %%i in ('arp -a') do if %%i==%1 echo Reply from %1 [%%j] arp -d goto loop can’t use? What happened?

@echo off
:loop
ping -n 1 -w 500 %1 > nul
for /f “tokens=1,2 delims=” %%i in (’arp -a’) do if %%i==%1 echo Reply from %1 [%%j]
arp -d
goto loop

]]>