Linux 系统安全规范(2)

七.防火墙
一).软件:iptables
(二).  规则
1.加载重要的iptables 模块:ip_tables, iptable_filter, ip_conntrack,
ip_conntrack_ftp;
2.按网卡接口(eth0, eth1,…)和数据包类型(TCP,UDP,ICMP)
自定义规则集;
3.配置每个规则集的 policy为 ACCEPT,但一定要在每个规则集的末尾显式DROP任何匹配该规则集但不允许的数据包(iptables –A <rule-set name> -j DROP);
4.DROP 无效数据包,IP spoof 数据包;
5.只开放能满足业务需求的最少的端口;
(三).  配置
参考<< linux 系统规范 >> 10. 配置安全 3)防火墙;

八.入侵检测和防护
1.工具:OSSEC;
2.策略:在某台服务器上安装OSSEC HIDS 服务器,在需要作主机入侵检查和防护及文件完整性检测的服务器上安装OSSEC HIDS 代理,代理将相关信息发送到HIDS服务器,由服务器统一分析处理;
3.配置:参考<< HIDS OSSEC安装指南>>;

九.安全审计
---------------------------------------------------------------
审计对象          工具                     频率
-----------------------------------------------------------
Linux 系统        nmap                     1个月
Nessus                  3个月
自动日志分析      实时
人工日志分析     必要时
口令文件          John the ripper     3个月
APACHE          nikto                       6个月
Appscan                6个月
------------------------------------------------------------
注:新安装的服务器必须经过安全审计才允许投入产品环境;
新发布了应用后,必须立即进行安全审计;

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wzyyfs.html