网络安全与主机基本防护：限制端口、网络升级与SELinux

Linux内建的2个防火墙机制（第1、2层过滤）：
1：封包过滤式的netfilter防火墙
2:软件管控的TCP Wrappers防火墙

========================================

封包过滤防火墙：IP Filtering或Net Filter
Net Filter就是iptables这个软件所提供的防火墙功能
封包过滤：分析TCP/IP的封包表头来进行过滤

======================================

TCP Wrappers防火墙
通过netfilter之后，网络封包会开始接受Super daemons及TCP_Wrapper的检验，意思就是检验/etc/hosts.allow与/etc/hosts.deny的配置文件，该检验同样针对的是TCP的Header进行二次分析。

=================================================

服务（daemon）的基本功能（第3层过滤）
主要管理的是MAC,IP,Port等封包表头的信息，管控某些目录可以进入，某些目录无法使用，某些ip来源使用特定的服务，比如可以在httpd.conf配置文件内规范某些ip来源不能使用httpd这个服务来取得主机的资源。即使透过前2个内建防火墙机制的过滤，它依然无法取得主机的资源。

===================================================

SELinux对网络服务的细部权限控制（第4层）
对权限进一步的设定，SELinux针对网络服务的权限设定一些规则（policy），让程序能够进行的功能有限。

=================================================

分析登录档：/var/log/messages与/var/log/secure
系统监控：MRTG、logwatch
常见的攻击手法与相关保护
取得账号信息后猜密码—-建立严格密码设定规则、完善权限设定
利用系统的程序漏洞主动攻击（臭虫bug、安全问题Security）—–关闭不需要的网络服务、关闭不需要的软件功能
利用程序功能的被动攻击（弹出式窗口网站、提供软件自动下载安装功能）
蠕虫或木马的rootkit（取得root权限、自我复制、主机不间断发送封包向外攻击，网络带宽被吃光）
Ddos攻击法（Distributed Denial of Service）:分布式阻断服务攻击
SYN Flood

=====================================

关闭端口的方式是透过关闭网络服务
ACL权限设定
软件升级（RPM、Tarball、dpkg）
在线升级机制：yum、apt、you、urpmi

=================================

yum的使用：安装、软件群组、全系统更新
[root@localhost 6Server]# yum –help
已加载插件：refresh-packagekit, security
Usage: yum [options] COMMAND
List of Commands:
list 列出一个或一组软件包
search 在软件包详细信息中搜索指定字符串
info 显示关于软件包或组的详细信息
install 向系统中安装一个或多个软件包
update 更新系统中的一个或多个软件包

======================================

设定工作排程，Linux每天自动更新系统

==========================

限制联机监听端口（port）
端口数65536
TCP/UDP表头数据，Port占用16位
1-1024：root启动
1024-65536：client使用
服务、端口–/etc/services

========================================

观察Port的2个程序:netstat、nmap
列出在监听的网络服务：[root@localhost 6Server]# netstat –tunl
列出已联机的网络联机状态：[root@localhost 6Server]# netstat –tun
删除已建立或在监听当中的联机：[root@localhost 6Server]# netstat –tunp
[root@localhost 6Server]# kill -9 1866

==============================================
服务的启动与管理
stand alone与super daemon
stand alone启动的脚本/etc/init.d
super daemon启动的脚本/etc/xinetd.d
关闭：[root@localhost ~]# netstat -tnlp| grep 111
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1227/rpcbind
tcp 0 0 :::111 :::* LISTEN 1227/rpcbind
[root@localhost ~]# which rpcbind
/sbin/rpcbind
[root@localhost ~]# rpm -qf /sbin/rpcbind
rpcbind-0.2.0-11.el6.x86_64
[root@localhost ~]# rpm -qc rpcbind | grep init
/etc/rc.d/init.d/rpcbind
[root@localhost ~]# /etc/rc.d/init.d/rpcbind
Usage: /etc/rc.d/init.d/rpcbind {start|stop|status|restart|reload|force-reload|condrestart|try-restart}
[root@localhost ~]# /etc/rc.d/init.d/rpcbind stop
停止 rpcbind：

==========================================

预设启动的服务
Red hat开机流程管理
Run level 设定某些执行等级需要启动的服务，启动数据存在/etc/rc.d/rc[0-6].d目录
管理指令：chkconfig或Red hat系统的ntsysv