计算机系统及信息安全问题是进入信息社会所必须解决的问题，大量Internet应用的出现使这一问题更加突出。近来，随着PIII的序列号和微软操作系统中后门密钥等事件的发生，使我们认识到信息安全“事关重大，刻不容缓”。从事计算机安全领域研究的沈昌祥院士指出：“信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国在奋力攀登的制高点。” 众所周知，我们的计算机系统和网络系统从硬件到软件大多是国外的产品，包括一些相关的安全产品。许多产品在设计时都会留有一些后门供产品测试，也...

作者: kenduest (小州) 防止 sync flood 攻击的设定: iptables -N synfoold iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset iptables -A INPUT -p tcp -m state --state NEW -j synfoold 这个方式对于一个很...

作者: kenduest (小州) 下面是我设定 iptables 的一些简单规则，可以参考一下。(与 NAT 无关喔) # 挂入相关 module modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc # 重设 iptables -F iptables -X iptables -F -t nat iptables -X -t mangle # 把 FORWARD 关闭 i...

作者: kenduest (小州) 常看到有人乱使用 port scan 软件，(ex:nmap) 来乱扫他人的 port， 实在很讨厌 @_@ 这里提供几个方式，透过 linux kernel 2.4 的新核心机制 + iptables 来进行一些设限: # NMAP FIN/URG/PSH iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP # Xmas Tree iptables -A INPUT -i eth0...

/proc/sys 网络安全选项的调整 · 让系统对 ping 没有反应 · 让系统对广播没有反应 · 取消 IP source routing · 开启 TCP SYN Cookie 保护 · 取消 ICMP 接受 Redirect · 开启错误讯息保护 · 开启 IP 欺骗保护 · 记录Spoofed Packets, Source Routed Packets, Redirect Packets Redhat 6.1 的做法: [root@deep /]# echo 1 > /proc/sys/n...

概述 UNIX的系统安全和系统管理员有很大的关系。安装越多的服务，越容易导致系统的安全漏洞。一些其它的操作系统，如：SCO，实际上更容易有安全漏洞，因为，为了更加“用户友好”，这些操作系统集成了更多的服务。 Linux本身是稳定和安全的，但是它可以以不同的形式发行。在安装Linux时候，最好先最小化安装，然后再加上必要的软件。这样可以减小某个程序出现安全隐患的可能。如果管理得好，Linux可以是最安全的系统。 如果在系统中有隐患存在，在网络上成千上万的自愿者就会指出隐患，并给出修正。大的公司，比如：商业...

Linux作为一种新近崛起的操作系统，由于其性能稳定，源码开放及价格方面的优势而逐渐被广大用户所接受。现在Linux的主要用武之地在于服务器领域，但是，经过适当的配置之后，它还可以担当互联网的物理基石——路由器这一重要角色。 路由器是通信子网中的通信节点，每个路由器都计算并维护一张路由表，并据此指导数据报前往最佳路径中的下一站，这便是所谓的路由。这样，经过互联网上所有路由器的通力合作，数据报就能够沿着一条“最佳”路径到达目的地。在GNU软件Zebra的协助下，我们可以将Linux机器打造成一台功能完备的...

在各种操作系统中，这两年的流行色是Linux。越来越多的主流数据库厂商将它们的产品移植到Linux操作系统平台。现在Linux平台上的数据库产品有Oracle for Linux、Sybase ASE for Linux、Informix for Linux等，它们都是自由软件。在这几种产品中，Sybase ASE是一个非常不错的选择。它紧凑的程序分发包里包含了全部的文档、数据库备份、监视等工具，同时它对系统的要求不高。它的安装、配置过程与其它产品相比也显得简单易行。 数据库应用采用客户端/服务器（C/...

在局域网环境中，如果有Cisco 路由器和Linux服务器。也许你需要利用Linux的TFTP服务去下载Cisco router配置文件 startup-config,在服务器上编辑后再上载到路由器，在实现中有一些特别注意的地方。 所用软硬件：Redhat Linux 5.2 ，Cisco 2501 路由器 1. 开启 Redhat Linux 服务器上的tftp服务，并指明下载目录/tmp。 [jephe@sh89 /etc]$ more inetd.conf | grep tftp tftp dgr...

在网上看到不少有关linux优化方面的好文章，在此我也不赘述这些文章了，我只想从我自己的体会来谈谈这方面的问题。 作为一个系统管理员，我下面说的都是基于服务器应用的linux来谈的，由于个人电脑上使用linux也许不是像服务器上一样，优先追求安全和稳定，因此个人电脑使用的朋友只做个参考吧。 本文提及的系统，如没有特别声明，均采用redhat公司的redhat linux系统。 关于优化 说起优化，其实最好的优化就是提升硬件的配置，例如提高cpu的运算能力，提高内存的容量，个人认为如果你考虑升级硬件的话，...

这篇文章的目的在于让读者对linux的安全配置有个大概的了解，呵呵，因为我也看过一些关于这方面的文章，说的太空了，呵呵其实我觉得linux机器要做一般的安全配置的话，分分钟就搞定了，嘿嘿 1，安装 安装的时候，大家都轻车熟路了，呵呵，首先，隔离网络进行系统安装，当然选择custom方式，安装你需要的软件包。 硬盘分区：如果用root分区纪录数据，如log文件和email，就可能因为拒绝服务产生大量日志或垃圾邮件。导致系统崩溃。所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出...

以太网上数据帧的监听剖析 以太网上的数据帧主要涉及Tcp/ip协议，针对以下几个协议的分析：IP,ARP,RARP,IPX,其中重点在于ip和 arp协议，这两个协议是多数网络协议的基础，因此把他们研究彻底，就对大多数的协议的原理和特性比较清楚了。由于各种协议的数据帧个不相同，所以涉及很多的数据帧头格式分析，接下来将一一描述。 在linux 下监听网络，应先设置网卡状态，使其处于杂混模式以便监听网络上的所有数据...