近年来随着信息安全意识的增强,防止服务器遭受外部攻击已经成为许多公司部署系统IT安全的重要一环,今天这里我们来研究一下Linux权限限制的一些策略,其中就包括了控制端口号的权限。
首先,来看一下Linux端口号权限的一般控制策略,一般来讲一台Linux服务器会揭示出来至少1024个端口号,其中1-1023个为系统使用,只有1024以上的端口号才可以被使用者自由设置,大家可以用netstat命令查看端口号占用情况,使用i0pTables可以控制具体格接口的发起传输协议。
实际上,Linux系统提供以下几种方式可以限制端口号权限:
1、禁用IPTABLES规则
首先,可以通过使用iptables的INPUT规则完全禁止某些端口号的访问,比如:
iptables -A INPUT -p tcp --destination-port 22 -j DROP
禁止该服务器的SSH访问,同时也可以禁止多个端口号:
iptables -A INPUT -p tcp --destination-port 80,443,22 -j DROP
2、限流设置
其次,可以使用ipcalc进行限流。在iptables某个定向段的规则中,可以使用-m limit 参数限制某些端口号的流量,比如:
iptables -A INPUT -p tcp --destination-port 80 -m limit --limit 10/min -j ACCEPT
此处,控制对80端口号的最大单位秒限制10次,超过会被拒绝。
3、Port knocking
最后,也可以使用特殊的端口号访问技术,叫做Port Knocking,可以通过触发给定的端口号访问顺序来暗示验证服务器。在linux上,可以通过安装knockd 和 iptables 组合来实现:
iptables -A INPUT -p tcp --destination-port 8888 -j DROP
此处,将8888端口号都屏蔽掉,只有在正确的端口号访问顺序下,才能访问8888端口号。
以上就是Linux端口号权限限制策略研究,建议大家在使用LINUX服务器的时候,一定要控制好端口号权限,使其在最小限制的情况下来提供服务,以此来达到系统安全的目的。
香港服务器首选港服(Server.HK),2H2G首月10元开通。
港服(Server.HK)(www.IDC.Net)提供简单好用,价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。