Kloxo的设置技术贴-我的kloxo设置（2）

zch0071

Kloxo的设置技术贴-我个人的使用经验，觉得没有论坛上说的那么不堪（2）
上面说了kloxo的安装其他优化工具，现在我们来说说服务器的一些安全配置，关于iptables的设置，只是一些比较简单的设置，但是要记住，你的服务越少，端口越少那么你的系统漏洞就越少。
第一、删除多余的账号

1. userdel adm
   
2. userdel lp
   
3. userdel sync
   
4. userdel shutdown
   
5. userdel halt
   
6. userdel news
   
7. userdel uucp
   
8. userdel operator
   
9. userdel games
   
10. userdel gopher
    
11. userdel ftp
    
12. groupdel adm
    
13. groupdel lp
    
14. groupdel news
    
15. groupdel uucp
    
16. groupdel games
    
17. groupdel dip
    
18. groupdel pppusers

复制代码

第二、为自己添加一个常用账号

1. useradd 你的用户名  //添加新用户
   
2. passwd 你的用户名  //修改密码-要输入2遍
   
3. usermod -G10 你的用户名
   
4. 或者这个命令 usermod -G wheel 你的用户名    //将用户加入wheel组，允许使用 su – 命令提权成root

复制代码

第三、修改ssh的登录端口和登录方式，我采取的是密匙的方式登录，屏蔽root的登录，这方面网上有教程，大家自己去搜索，我这里就不多写了，打字其实也很累的。


第四、编辑“host.conf”文件(vi /etc/host.conf)加入下面这些行：

1. order bind,hosts
   
2. multi on
   
3. nospoof on

复制代码

第五、我们来修改iptables的规则这个是最重要的，事关服务器的安全。我先声明，我的系统是32位Centos5.5，规则也只是这个测试通过，运行良好。
首先输入

1. /sbin/iptables-save > /etc/sysconfig/iptables//叫以后的规则都从/etc/sysconfig/iptables引导

复制代码

打开iptables的配置文件:

1. vi /etc/sysconfig/iptables

复制代码

如果文件里有规则，那么清除掉iptables的规则，从新写上

1. # Firewall configuration written by system-config-securitylevel
   
2. # Manual customization of this file is not recommended.
   
3. *nat
   
4. :PREROUTING ACCEPT [0:0]
   
5. :POSTROUTING ACCEPT [0:0]
   
6. :OUTPUT ACCEPT [0:0]
   
7. -A POSTROUTING -s 192.168.0.2/10 -o eth0 -j MASQUERADE   //把ip段修改成你自己动态分配给主机客户机的ip段---vpn连接的客户机ip
   
8. COMMIT
   
9. ps:上面这个iptables规则是我vps安装pptpd的vpn的规则-大家如果vps安装了vpn，可以iptables设置这个规则，下面是kloxo的iptables规则
   
10. *filter
    
11. :INPUT ACCEPT [0:0]
    
12. :FORWARD ACCEPT [0:0]
    
13. :OUTPUT ACCEPT [0:0]
    
14. :RH-Firewall-1-INPUT - [0:0]
    
15. -A INPUT -j RH-Firewall-1-INPUT
    
16. -A FORWARD -j RH-Firewall-1-INPUT
    
17. -A RH-Firewall-1-INPUT -i lo -j ACCEPT
    
18. -A OUTPUT -o eth0 -p icmp -j ACCEPT                                        //
    
19. -A RH-Firewall-1-INPUT -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT    //这3个规则是防ping，不需要的可以删除
    
20. -A RH-Firewall-1-INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP    //
    
21. -A RH-Firewall-1-INPUT -p gre -j ACCEPT
    
22. -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
23. -A RH-Firewall-1-INPUT -m mac --mac-source 00:30:18:AD:FA:F4 -j ACCEPT   //这里是你客户机连接到vps的网卡地址，也就是这个网卡地址的数据通讯不过滤-大概是这样，我测试下来没问题。
    
24. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT    //这个是ssh的端口号，你如果修改了端口号，那么这里你修改你的ssh端口号
    
25. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT    //ftp的端口号   
    
26. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 7778 -j ACCEPT  //kloxo的端口号,你修改过端口号，这里也必须要改
    
27. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 7777 -j ACCEPT  //kloxo的端口号，你修改过端口号，这里也必须要改
    
28. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT   //网站的默认端口号
    
29. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 12345:45678 -j ACCEPT  //被动的ftp端口号，你在kloxo的ftp配置端口是什么，这里就是什么
    
30. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT  //数据库远程连接的端口号，可以删除，假如你要开启远程连接，这里就开端口
    
31. COMMIT

复制代码

以上是iptables的规则，保存之后
重启            service iptables restart
设置开机自动启动  chkconfig iptables on

这样机子基本上有了一定的安全保证。---本人原创，并测试完毕

[ 本帖最后由 zch0071 于 2010-11-22 23:27 编辑 ]

cnweb

哇 又來技術貼

walkman660

MARK~ 等下仔细看看，给你的第一帖评分了 ~

Globalization

再支持

zch0071

大家多多捧场，我就拿的出来这点东西 哈哈哈哈

Poison

支持

纯属偶然

继续支持

cnx

有空试试。

chijian

有空研究下

atbaidu

技术很好，好好学学