LINUX漏洞安全防护防火墙相关 风行天下

漏洞扫描

https://blog.csdn.net/e_Inch_Photo/article/details/79072360

 基本安全防范:

https://blog.csdn.net/holmofy/article/details/70185358       根据IP统计密码登陆次数

https://www.cnblogs.com/wuzhicms/p/6698330.html           30天内被修改的文件

CENTOS启用安全更新     https://linux.cn/article-8015-1.html

安全更新

yum --security upgrade     （centos6系统）

安全更新：参考https://www.wenjiwu.com/doc/cubnni.html

---

centos6 开启指定端口

我只打开22端口，看我是如何操作的，就是下面2个语句

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

https://www.cnblogs.com/zengweiming/p/6604424.html
比如：开启zabbix10050端口

[root@yao zabbix-3.2.6]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed Jun 27 16:49:52 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [64:6912]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 10050 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10050 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 10051 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10051 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT
# Completed on Wed Jun 27 16:49:52 2018
[root@yao zabbix-3.2.6]#

特别提示：很多网友把这两条规则添加到防火墙配置的最后一行，导致防火墙启动失败，正确的应该是添加到默认的22端口这条规则的下面

[root@zejin238 ~]# cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak #任何改动之前先备份，请保持这一优秀的习惯

*filter #代表接下来的配置都是在filter表上的。我们默认的配置都在filter表上的，当然还有其它表，如raw,mangle,nat

:INPUT DROP [8:632]   #代表filter表上默认的input chain为drop ，对应上面的命令iptables -P INPUT DROP，中括号里面的两个数字代表的是这条链上已经接受到的包的数量及字节数量[包的数量:包的总字节数]
:FORWARD DROP [0:0]   #代表filter表上默认的forward chain为drop ，对应上面的命令iptables -P FORWARD DROP，中括号里面的两个数字代表的是这条链上已经接受到的包的数量及字节数量[包的数量:包的总字节数]
:OUTPUT ACCEPT [4:416] #代表filter表上默认的forward chain为drop ，对应上面的命令iptables -P OUTPUT ACCEPT，中括号里面的两个数字代表的是这条链上已经接受到的包的数量及字节数量[包的数量:包的总字节数]

***********************************************************

[root@yao zabbix-3.2.6]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:10050
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:10050
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:10051
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:10051
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@yao zabbix-3.2.6]#

一、Centos6开放端口号的两种方式。

https://www.cnblogs.com/liuyiyuan/p/13681535.html

第一种  修改配置文件

执行命令：

vim /etc/sysconfig/iptables

添加一条开放端口配置，下图中框住的随便复制一条，然后修改成要开放的端口号，保存退出

 重启防护墙：

service iptables restart

第二种  iptables命令

执行命令添加开放端口：

iptables -I INPUT -p tcp --dport 8899 -j ACCEPT
service iptables status      #查看

 但是这种方式不会写入配置文件 /etc/sysconfig/iptables 中，重启系统会失效（重启防火墙服务也会失效）

可以再执行一次保存命令，将通过命令添加的开放端口保存到配置中：

service iptables save