Linux系统的安全机制分享(3)

修改/etc/fstab.只给分区必须的权限,像这样LABEL=/bakups /bakups ext3 nosuid,noexec 1 2.noexec表示不能在这个分区运行程序，nosuid不能使用nosuid的程序，根据情况自行设置其他分区，一般来说/tmp,/usr都要nosuid.到此我们做了一些基本的安全设置，当然你也可以考虑，比如启用wheel组，只能让wheel组的用户能够变为su但是一般来说管理员都不用考虑这些，因为只有你一人能够登录这台机器，：)，这些细节的设置我也会在下篇文章详细说明，应为毕竟这不是我这篇文章主要的东西。他们会同IDS等内容在下一篇文章详细呈现给大家。
5、防火墙设置
上面的基本安全设置做完了，那么接下来一个比较主要的安全就是防火墙，这是很重要的，如果你的设置没有作得很好，也许软件还有一些漏洞，但是防火墙设置得好的话，基本上可以帮你弥补这些问题，给大家一个基本的单个服务器的防火墙脚本，里面不包括端口转发，伪装等网关功能的内容，如果大家对这方面有兴趣，欢迎给我来信探讨
#!/bin/bash
#启用转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
#显示开始信息
echo "Start FireWall for this server..."
#清空目前的规则
iptables -F
#编辑默认策略为不能通过，数据接入链
iptables -P INPUT DROP
#转发链默认drop
iptables -P FORWARD DROP
#数据输出链默认drop
iptables -P OUTPUT DROP
#输出链允许源地址是xxx.xxx.xxx.xxx的数据输出，也可以指定网卡例： –i eth0
iptables -A OUTPUT -s xxx.xxx.xxx.xxx -j ACCEPT
#接入链允许端口为15818的源地址为xxx.xxx.xxx.xxx的数据通过
iptables -A INPUT -p tcp -d xxx.xxx.xxx.xxx --dport 15818 -j ACCEPT
#如果需要添加端口就在下面修改，xxx处添加端口号
#iptables -A INPUT -p tcp -d xxx.xxx.xxx.xxx --dport xxx -j ACCEPT
#允许所有udp包通过
iptables -A INPUT -d xxx.xxx.xxx.xxx -p udp -j ACCEPT
#限制ping包每一秒钟一个，10个后开始
iptables -A INPUT -p icmp -d xxx.xxx.xxx.xxx -m limit --limit 1/s --limit-burst 10 -j ACCEPT
#限制IP碎片，每秒钟只允许100个碎片，防止DoS攻击
iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT