阿里云linux服務器上使用iptables設置安全策略的方法
公司的產品一直運行在云服務器上,從而有幸接觸過aws的ec2,盛大的云服務器,最近準備有使用阿里云的彈性計算(云服務器)。前兩種云服務器在安全策略這塊做的比較好,提供簡單明了的配置界面,而且給了默認的安全策略,反觀阿里云服務器,安全策略需要自己去配置,甚至centos機器上都沒有預裝iptables(起碼我們申請兩臺上都沒有),算好可以使用yum來安裝,安裝命令如下:成都服務器托管
?
1 | yum install-y iptables |
iptables安裝好后就可以來配置規則了。由于作為web服務器來使用,所以對外要開放 80 端口,另外肯定要通過ssh進行服務器管理,22 端口也要對外開放,當然最好是把ssh服務的默認端口改掉,在公網上會有很多人試圖破解密碼的,如果修改端口,記得要把該端口對外開發,否則連不上就悲劇了。下面提供配置規則的詳細說明:成都服務器托管
?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 | 第一步:清空所有規則當Chain INPUT (policy DROP)時執行/sbin/iptables-F后,你將和服務器斷開連接所有在清空所有規則前把policy DROP該為INPUT,防止悲劇發生,小心小心再小心/sbin/iptables-P INPUT ACCEPT清空所有規則/sbin/iptables-F/sbin/iptables-X計數器置0/sbin/iptables-Z第二步:設置規則允許來自于lo接口的數據包,如果沒有此規則,你將不能通過127.0.0.1訪問本地服務,例如ping127.0.0.1/sbin/iptables-A INPUT -i lo -j ACCEPT 開放TCP協議22端口,以便能ssh,如果你是在有固定ip的場所,可以使用 -s 來限定客戶端的ip/sbin/iptables-A INPUT -p tcp --dport 22 -j ACCEPT開放TCP協議80端口供web服務/sbin/iptables-A INPUT -p tcp --dport 80 -j ACCEPT10.241.121.15是另外一臺服務器的內網ip,由于之間有通信,接受所有來自10.241.121.15的TCP請求/sbin/iptables-A INPUT -p tcp -s 10.241.121.15 -j ACCEPT接受ping/sbin/iptables-A INPUT -p icmp -m icmp --icmp-type8 -j ACCEPT這條規則參看:http://www.netingcn.com/iptables-localhost-not-access-internet.html/sbin/iptables-A INPUT -m state --state ESTABLISHED -j ACCEPT屏蔽上述規則以為的所有請求,不可缺少,否則防火墻沒有任何過濾的功能/sbin/iptables-P INPUT DROP可以使用 iptables -L -n 查看規則是否生效 |
至此防火墻就算配置好,但是這是臨時的,當重啟iptables或重啟機器,上述配置就會被清空,要想永久生效,還需要如下操作:成都服務器托管
?
1 2 3 4 5 | /etc/init.d/iptablessave 或service iptables save執行上述命令可以在文件 /etc/sysconfig/iptables中看到配置 |
以下提供一個干凈的配置腳本:成都服務器托管
?
1 2 3 4 5 6 7 8 9 10 11 12 | /sbin/iptables-P INPUT ACCEPT/sbin/iptables-F/sbin/iptables-X/sbin/iptables-Z/sbin/iptables-A INPUT -i lo -j ACCEPT /sbin/iptables-A INPUT -p tcp --dport 22 -j ACCEPT/sbin/iptables-A INPUT -p tcp --dport 80 -j ACCEPT/sbin/iptables-A INPUT -p tcp -s 10.241.121.15 -j ACCEPT/sbin/iptables-A INPUT -p icmp -m icmp --icmp-type8 -j ACCEPT/sbin/iptables-A INPUT -m state --state ESTABLISHED -j ACCEPT/sbin/iptables-P INPUT DROP |
最后執行 service iptables save ,先確保ssh連接沒有問題,防止規則錯誤,導致無法連上服務器,因為沒有save,重啟服務器規則都失效,否則就只有去機房才能修改規則了。也可以參考:ubuntu iptables 配置腳本來寫一個腳本。
最后再次提醒,在清空規則之前一定要小心,確保Chain INPUT (policy ACCEPT)。
服務器之家補充阿里云的linux_drop_port.sh
?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 | #!/bin/bash##########################################Function: linux drop port#Usage: bash linux_drop_port.sh#Author: Customer Service Department#Company: Alibaba Cloud Computing#Version: 2.0#########################################check_os_release(){whiletruedoos_release=$(grep"Red Hat Enterprise Linux Server release"/etc/issue2>/dev/null)os_release_2=$(grep"Red Hat Enterprise Linux Server release"/etc/redhat-release2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"release 5">/dev/null2>&1thenos_release=redhat5echo"$os_release"elifecho"$os_release"|grep"release 6">/dev/null2>&1thenos_release=redhat6echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep"Aliyun Linux release"/etc/issue2>/dev/null)os_release_2=$(grep"Aliyun Linux release"/etc/aliyun-release2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"release 5">/dev/null2>&1thenos_release=aliyun5echo"$os_release"elifecho"$os_release"|grep"release 6">/dev/null2>&1thenos_release=aliyun6echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep"CentOS release"/etc/issue2>/dev/null)os_release_2=$(grep"CentOS release"/etc/*release2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"release 5">/dev/null2>&1thenos_release=centos5echo"$os_release"elifecho"$os_release"|grep"release 6">/dev/null2>&1thenos_release=centos6echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep-i "ubuntu"/etc/issue2>/dev/null)os_release_2=$(grep-i "ubuntu"/etc/lsb-release2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"Ubuntu 10">/dev/null2>&1thenos_release=ubuntu10echo"$os_release"elifecho"$os_release"|grep"Ubuntu 12.04">/dev/null2>&1thenos_release=ubuntu1204echo"$os_release"elifecho"$os_release"|grep"Ubuntu 12.10">/dev/null2>&1thenos_release=ubuntu1210echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep-i "debian"/etc/issue2>/dev/null)os_release_2=$(grep-i "debian"/proc/version2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"Linux 6">/dev/null2>&1thenos_release=debian6echo"$os_release"elseos_release=""echo"$os_release"fibreakfios_release=$(grep"openSUSE"/etc/issue2>/dev/null)os_release_2=$(grep"openSUSE"/etc/*release 2>/dev/null)if[ "$os_release"] && [ "$os_release_2"]thenifecho"$os_release"|grep"13.1">/dev/null2>&1thenos_release=opensuse131echo"$os_release"elseos_release=""echo"$os_release"fibreakfibreakdone}exit_script(){echo-e "\033[1;40;31mInstall $1 error,will exit.\n\033[0m"rm-f $LOCKfileexit1}config_iptables(){iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROPiptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROPiptables -I OUTPUT 3 -p udp -j DROPiptables -nvL}ubuntu_config_ufw(){ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186ufwdeny out proto udp to anyufwstatus}####################Start####################check lock file ,one time only let thescript run one timeLOCKfile=/tmp/.$(basename$0)if[ -f "$LOCKfile"]thenecho-e "\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"exitelseecho-e "\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"touch$LOCKfilefi#check userif[ $(id-u) != "0"]thenecho-e "\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"rm-f $LOCKfileexit1fiecho-e "\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m"os_release=$(check_os_release)if[ "X$os_release"=="X"]thenecho-e "\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"rm-f $LOCKfileexit0
|