深入分析Linux防火墙

核心提示： 开机引导后恢复数据包过滤规则：用户在计算机重启动之后，必须恢复数据包过滤规则，深入分析Linux防火墙(6)，请按照下面的方法完成这项任务：先以root身份登录进入系统，再使用ipchains-restore脚本程序在某个文件中检索用户已经编写好的规则，这个文件限制了人们能够以根用户身份登

开机引导后恢复数据包过滤规则：用户在计算机重启动之后，必须恢复数据包过滤规则。请按照下面的方法完成这项任务：先以root身份登录进入系统，再使用ipchains-restore脚本程序在某个文件中检索用户已经编写好的规则，比如从文件/root/ipchains-settings 中恢复数据包过滤规则。如下所示，输入“ipchains-restore<>

如果要想实现代理防火墙功能，需要安装能够控制用户从某个网络的外部可以使用和不可以使用什么样的网络服务功能的软件。代理防火墙不允许有任何连接接入到它后面的机器上（当然也不是绝对的），不存在任何数据包过滤的效果，从接入连接的角度考虑，它就是一堵密不透风的砖墙。可以如下设置：

首先在/etc/inetd.conf文件中禁用任何你不打算使用的服务功能，方法是把它们改为注释语句（即在那些语句开头加上一个#符号）。任何一种服务都会为试图进入系统的那些人多打开一条通路，因此应该只使用你确实需要的服务。

接着编辑/etc/issue.net文件，删除其中关于在你的机器上运行的特定硬件和Linux发行版本的介绍信息。这些信息会在诸如Telnet之类的远程登录任务操作过程中显示在登录端的屏幕上。如果他们对屏幕上显示的安装方式熟悉的话，任何暴露了你机器上这些特殊信息的东西都会使那些试图闯入的人们了解应该去攻击哪些薄弱环节（如Sendmail8.7-8.8.2 for Linux这个漏洞）。

再接着把某些特殊的用户们分配到console用户组中，这样就是这帮人实际坐在服务器计算机前面时确实可以执行命令，但同时要禁止任何其他人调用这些命令。举例来说，如果需要强调安全性，那就应该只允许console用户组的成员可以挂装磁盘。

然后查看/etc/securetty文件，确定其中列出的设备都是真实存在的物理ttys（比如tty1到tty8）端口。这个文件限制了人们能够以根用户身份登录进入系统的位置。允许任何远端用户以根用户身份登录进入系统是极其危险的，因为这样做就为潜在的侵入者缩短了侵入超级用户帐户的过程。