为您找到与linux安全配置相关的共200个结果:
在路由器上配置一个登录帐户
强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这样做,意味着你需要用户和口令来获得访问权。
除此之外,为用户名使用一个秘密口令,而不仅有一个常规口令。它用MD5加密方法来加密口令,并且大大提高了安全性。举例如下:
Router(config)# username root secret My$Password
在配置了用户名后,你必须启用使用该用户名的端口。举例如下: Router(config)# line con 0
Router(config-line)# login local
Router(config)# line aux 0
Router(config-line)# login local
Router(config)# line vty 0 4
Router(config-line)# login local
在路由器上设置一个主机名
我猜测路由器上缺省的主机名是router。你可以保留这个缺省值,路由器同样可以正常运行。然而,对路由器重新命名并唯一地标识它才有意 义。举例如下:
Router(config)# hostname Router-Branch-23
除此之外,你可以在路由器上配置一个域名,这样它就知道所处哪个DNS域中。举例如下:
Router-Branch-23(config)# ip domain name TechRepublic.com
为进入特权模式设置口令
当谈到设置进入特权模式的口令时,许多人想到使用enable password命令。然而,代替使用这个命令,我强烈推荐使用enable secret命令。
这个命令用MD5加密方法加密口令,所以提示符不以明文显示。举例如下:
Router(config)# enable secret My$Password
加密路由器口令
Cisco路由器缺省情况下在配置中不加密口令。然而,你可以很容易地改变这一点。举例如下:
Router(config)# service password-encryption
禁用Web服务
Cisco路由器还在缺省情况下启用了Web服务,它是一个安全风险。如果你不打算使用它,最好将它关闭。举例如下:
Router(config)# no ip http server
配置DNS,或禁用DNS查找
让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下,如果在特权模式下误输入了一个命令,路由器认为你试图Telnet到一个远程 主机。然而它对你输入的内容却执行DNS查找。
如果你没有在路由器上配置DNS,命令提示符将挂起直到DNS查找失败。由于这个原因,我建议使用下面两个方法中的一个。
一个选择是禁用DNS。做法是:
Router(config)# no ip domain-lookup
或者,你可以正确地配置DNS指向一台真实的DNS服务器。
Router(config)# ip name-server
配置命令别名
许多网络管理员都知道在路由器上配置命令的缩写(也就是别名)。举例如下:
Router(config)# alias exec s sh run
这就是说你现在可以输入s,而不必输入完整的show running-configuration命令。
设置路由器时钟,或配置NTP服务器
多数Cisco设备没有内部时钟。当它们启动时,它们不知道时间是多少。即使你设置时间,如果你将路由器关闭或重启,它不会保留该信息。
首先设置你的时区和夏令时。例子如下:
Router(config)# clock timezone CST -6
Router(config)# clock summer-time CDT recurring
然后,为了确保路由器的事件消息显示正确的时间,设置路由器的时钟,或者配置一个NTP服务器。设置时钟的例子如下:
Router# clock set 10:54:00 Oct 5 2005
如果你已经在网络中有了一个NTP服务器(或可以访问Internet的路由器),你可以命令路由器将之作为时间源。这是你最好的选择,当路由器启动时,它将通过NTP服务器设置时钟。举例如下:
Router(config)# ntp server 132.163.4.101
不让日志消息打扰你的配置过程
Cisco IOS中另一个我认为的小毛病就是在我配置路由器时,控制台界面就不断弹出日志消息(可能是控制台端口,AUX端口或VTY端口)。要预 防这一点,你可以这样做。
所以在每一条端口线路上,我使用日志同步命令。举例如下:
Router(config)# line con 0
Router(config-line)# logging synchronous
Router(config)# line aux 0
Router(config-line)# logging synchronous
Router(config)# line vty 0 4
Router(config-line)# logging synchronous
除此之外,你可以在端口上修改这些端口的执行超时时间。例如,我们假设你想禁用VTY线路上默认的十分钟超时时间。在线路配置模式下使用 exec-timeout 0 0命令,使路由器永不退出。
在路由器缓冲区或系统日志服务器中记录系统消息
捕获路由器的错误和事件以及监视控制台是解决问题的关键。默认情况下,路由器不会将缓冲的事件记录发送到路由器内存中。
然而,你可以配置路由器将缓冲的事件记录发送到内存。举例如下:
Router(config)# logging buffered 16384
你还可以将路由器事件发送到一个系统日志服务器。由于该服务器处在路由器外部,就有一个附加的优点:即使路由器断电也会保留事件记录 。
浏览量:3
下载量:0
时间:
如何配置 TCP/IP 安全,以下是以2000为准,XP和2K3同样,下面一起跟着小编为大家阅读。
IPSec提供三种主要加密方法,如下
数据加密标准 (DES 40位) - 该加密方法性能最好,但安全性较低。该 40位数据加密标准(Data Encryption Standard,简称DES)通常被称为 安全套接字层(Secure Sockets Layer,简称SSL)。适用于数据安全性要求较低的场合。
数据加密标准 (DES 56位) - 通过IPSec策略,可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法,它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了,仅用于传统的应用支持,有专门的硬件可以破译标准的 56位密钥。
3DES - IPSec策略可以选择一个强大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密钥,但使用了三个。结果3DES成为 168位加密算法,用于诸如美国政府这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。
浏览量:3
下载量:0
时间:
如今网络告诉发展以及普及,人们的生活已经离不开网络,那么不少人也会用到路由器,关于路由器,大家知道友讯无线网络安全怎么配置吗?读文网小编在这里为大家详细介绍。
通过对友讯无线网络安全进行配置,可以避免许多不必要的麻烦,具体设置步骤如下:
一、对友讯无线路由器进行加密
友讯无线路由器和无线网卡路由器之间的数据包传输是基于无线信号,存在着被监听的可能性,加密配置就是经过配置,将友讯无线路由器和网卡之间传输的数据包进行加密,这样可以使通信过程更加安全。
二、禁用SSID广播
友讯无线路由器配置为不广播SSID ,就可以在一定程度上避免那些没有权限的无线网卡知道无线路由器的存在,当然也就谈不上连结了,将SSID手工输入自己电脑的无线网卡,告知网卡按照输入的SSID去连结友讯无线路由器就可以了。
三、MAC地址过滤
在友讯无线路由器上选择允许下列列表中计算机访问网络,从DHCP客户端选择自己的计算机名称,点击﹤﹤,此计算机MAC地址就自动添加到列表里了,而其他计算机就会被阻止接入到友讯无线路由器。
每一片网卡都有一个唯一的标识参数,就是网卡MAC地址,在友讯无线路由器上设置自己无线网卡的MAC地址才可以连结。
友讯无线网络安全配置完毕,是不是觉得很简单呢!
浏览量:3
下载量:0
时间:
相信还有很多朋友对于dns优选是什么意思,有什么作用还不太清楚,简单来说,有的网页打开速度快,有的网页的打开速度慢,就和大家的DNS配置有关,下面读文网小编就为大家带来dns优选的配置方法,欢迎大家参考和学习。
1.打开你的360安全卫士,在右下方找到功能大全,
2.单击功能大全,会看到很多功能的,找到“DNS优化”,安装好后,单击“开始DNS优化”
3.安装好后,单击“开始DNS优化”
4.会自动选出两个最快的DNS进行配置,单击“立即启用”就可以了
浏览量:3
下载量:0
时间:
今天读文网小编就要为大家上一堂关于Linux系统安全配置的课,希望对此感兴趣或者要学这些命令的童鞋可以跟着小编往下看。
从计算机安全的角度看,世界上没有绝对密不透风、百分之百安全的计算机系统,Linux系统也不例外。采用以上的安全守则,虽然可以使Linux系统的安全性大大提高,使顺手牵羊型的黑客和电脑玩家不能轻易闯入,但却不一定能阻挡那些身怀绝技的武林高手,因此,企业用户还需要借助防火墙等其他安全工具,共同防御黑客入侵,才能确保系统万无一失。
浏览量:3
下载量:0
时间:
思科cisco公司已成为公认的全世界网络互联解决方案的领先厂商,其公司出产的一系列路由器更是引领世界,那么你知道cisco无线路由怎么进行安全配置吗?下面是读文网小编整理的一些关于cisco无线路由怎么进行安全配置的相关资料,供你参考。
先给一个环境
cisco路由器内网接口s1/0: 192.168.1.1 255.255.255.0
外网接口s1/1: 10.0.0.1 255.255.255.0
服务器ip:192.168.1.100
首先telnet到路由器上:
User Access Verification
Username: cisco #输入用户名
Password: #输入密码
Router>en #进入特权模式
Password: #输入特权模式密码
Router#conf t #进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #建立访问控制列表准备做nat转换
Router(config)#ip nat inside source list 1 interface s1/1 #建立NAT转换,将192.168.1.0的地址转换为接口s1/1的地址
Router(config)#int s1/0 #进入接口模式
Router(config-if)#ip nat inside #设定s1/0为NAT内部接口
Router(config-if)#int s1/1 #进入S1/1的接口模式
Router(config-if)#ip nat outside #设定S1/1为NAT外部接口
Router(config-if)#exit
Router(config)#
此时已经启用了NAT,内网可以上网了。
现在开始端口映射,让访问内网服务器:
Router(config)#ip nat inside source static tcp 192.168.1.100 5631 10.0.0.1 5631 extendable
Router(config)#ip nat inside source static tcp 192.168.1.100 5632 10.0.0.1 5632 extendable #因为10.0.0.1这个地址已经应用在s1/1接口上并做了NAT转换的地址,这里必须加上extendable这个关键字,否则报错。如果用另外的外网ip比如10.0.0.2,在这里就可以不加extendable。
现在外网的机器可以访问内网了。
命令show ip nat translations可以查看nat转换情况
show run也可以找到相关配置
Router(config)#exit #退出全局配置模式,到特权模式下使用show命令
Router#sho ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 10.0.0.1:23 192.168.1.100:23 --- ---
tcp 10.0.0.1:23 192.168.1.100:23 10.0.0.2:48268 10.0.0.2:48268
tcp 10.0.0.1:5631 192.168.1.100:5631 --- ---
tcp 10.0.0.1:5632 192.168.1.100:5632 --- ---
附:要删除哪条命令只要在命令前加 no 即可
补充: 你telnet的是5631端口,而服务器的telnet端口是23
你要telnet到服务器的5631端口就必须改服务器的telnet端口,在注册表改,服务器的防火墙也要打开相应端口。
如果你不改服务器端口也可以将5631的端口映射到服务器的23端口,命令如下:
Router(config)#ip nat inside source static tcp 192.168.1.100 23 10.0.0.1 5631 extendable
要先删掉5631到5631的映射,命令如下:
Router(config)#no ip nat inside source static tcp 192.168.1.100 5631 10.0.0.1 5631 extendable
不改服务器端口就必须将外网ip的5631端口映射到服务器的23端口。然后你telnet ip 5631 其实就是telnet服务器的23端口。
看过文章“cisco无线路由怎么进行安全配置”
浏览量:4
下载量:0
时间:
美国网件netgear公司拥有全球领先的企业网络解决方案,一直致力于网络技术创新,其生产的路由设备功能强大,那么你知道怎么配置netgear无线宽带路由器无线安全吗?下面是读文网小编整理的一些关于怎么配置netgear无线宽带路由器无线安全的相关资料,供你参考。
通过禁止无线设备的SSID的广播进行安全限制
1.1查看SSID
在WGR614配置界面左上方Setup大项下的Wireless Settings菜单:
点击它,查看当前无线网络的SSID号,如上图,SSID号为NETGEAR。使用NETGEAR管理工具和使用XP自带无线管理工具在搜索无线网络时候分别可以看到:
NETGEAR无线管理工具(只适合用于NETGEAR无线网卡):
为什么在电脑上可以看到呢?因为我们的路由器起用了无线网SSID的广播,下面,我们将它进行关闭。
1.2 关闭SSID广播
点击左下方Advance大项下的Wireless Settings菜单:
然后将‘Enable SSID Broadcast’前的选择去掉,再按‘Apply’。
之后我们再来查看一下,看看找的无线网络是什么:
NETGEAR工具:
NETGEAR的无线管理工具则看到SSID为空了,如果双击它,工具自动会切换到工具的‘Settings’菜单中,
你可以手工输入SSID:WGR614v6(大小写统一),然后连接,则会成功,否则,将连接不成功:
XP 自带无线管理工具:
然后点‘添加(A)’,填写入‘WGR614v6’(区分大小写),再按‘确定’,XP系统回到网络搜索界面:
点‘刷新网络列表’,则看见SSID为WGR614v6的无线网络,连接之即可。
2.通过无线网卡的MAC限制
MAC地址是网卡的物理地址,不管是有线、无线网卡都有全球唯一的MAC地址。
2.1 查看MAC地址
如果使用NETGEAR的管理工具,则可以轻松看到本网卡的MAC地址:
上图00:0F:B5:A6:C0:41为本网卡的MAC地址,如果是NETGEAR的无线网卡,在网卡的背面也有显示MAC地址的。
如果使用了XP自带无线管理工具,则需要在DOS窗口下查看:点‘开始’à‘运行’,输入cmd,然后‘确定’,在DOS窗口中输入命令:ipconfig /all
只需要找无线网络的信息则可,如上图,MAC地址为‘Physical Address’(物理地址)对应的: 00:0F:B5:A6:C0:41
记得,知道MAC地址后,将它抄下来。
2.2 起用MAC地址限制
在NETGEAR路由器管理菜单左下方的Advance大项中选择‘Wireless Settings’:
然后选择‘Setup Access List’按钮:
点‘Add’:
如果上面‘Available Wireless Cards’中有显示您的无线网卡的信息,则直接可以选择左边的小圆点选中,再点Add,否则则需要在‘Device Name’和MAC Address中分别填写电脑标识和无线网卡的MAC地址:
然后按‘Add’,界面回退回到上一级菜单,再将Turn Access Control On 选择上,然后按‘Apply’,那么之后只能是在该列表中记录了的无线电脑才可以连接该无线路由器了。
TOP
3、WEP加密
3.1配置无线路由器的WEP
在WGR614v6的Setup菜单中,选择‘Wireless Settings’:
选择‘WEP(Wired Equivalent Privacy)’:
在Passphrase中输入字符串,例子输入了’abcdefg’,然后按generate按钮,系统会生成四个WEP密钥,分别为Ke1/2/3/4。
如果使用NETGEAR的无线管理工具,则需要记得abcdefg就可以了,如果使用XP自带无线管理工具,则需要将Key1记录下来(通常使用Key1,当然Key2/3/4也可以使用)。
3.2使用NETGEAR管理工具连接WEP
当WEP设置完成后,使用NETGEAR无线管理工具查看可用网络:
看红色部分,显示WEP加密,强度为83%,双击该无线网络,NETGEAR工具会自动跳转到‘Settings’选择项让您输入WEP信息:
可以在‘Passphrase’中输入对于于刚才在路由器中设置WEP时候的信息:abcdefg,然后按应用,或者在‘Enter Key Manually’的Key1处输入抄下来的Key1也可以,然后按‘Apply’即可。
3.3 使用XP自带无线管理工具连接WEP
查看无线网络:
发现SSID为WGR614v6的无线网,但是起用了安全机制,双击该无线网络,或者连接:
系统回弹出一个窗口让您输入Key,你需要将刚才抄下来的Key1输入2次然后点连接即可;
4、WPA-PSK加密
4.1配置路由器的WPA-PSK加密
在WGR614v6的Setup菜单中,选择‘Wireless Settings’:
在选择WPA-PSK(Wi-Fi Protected Access Pre-Shared Key),然后在Passphrase输入密钥,此例输入:abcdefgh,最小8位,最大63位。
注意:有些无线网卡不支持WPA-PSK加密的;
4.2 使用NETGEAR无线管理工具连接WPA-PSK
查看无线网络:
连接该网络:
选择‘Advanced Security’:
输入abcdefgh,按‘OK’即可;
4.3XP自带无线管理工具连接WPA-PSK
查看无线网络状态:
连接该网络,
输入:abcdefgh,连接即可:
浏览量:3
下载量:0
时间:
思科依靠自身的技术和对网络经济模式的深刻理解,使他成为了网络应用的成功实践者之一,其出产的路由器也是全世界顶尖的,那么你知道如何配置思科路由器口令保障网络安全吗?下面是读文网小编整理的一些关于如何配置思科路由器口令保障网络安全的相关资料,供你参考。
用户模式
在用户模式中,显示的是路由器的基本接口信息。有人认为这种模式根本就没有用,因为这种模式中无法作出配置改变,用户也无法查看任何重要的信息。
特权模式
管理员可以在这种模式中查看和改变配置。笔者以为,在这个级别上,拥有一套口令集是绝对重要的。要从用户模式切换到特权模式,管理员需要键入enabel命令,并按下回车键:
Router> enable
Router#
全局配置模式
从特权模式下,我们现在可以访问全局配置模式。这里,我们可以作出改变影响整个路由器的运行,这些改变当然包括配置上的改变。作为管理员,我们需要更进一步,深入到路由器的命令中,对其配置作出合理的改变。
下面给出的是一个访问这种模式的例子:
Router# configure terminal
Router(config)#
正确配置五大口令
首先,要知道思科的IOS拥有五大口令,分别是控制台口令、AUX口令、VTY口令、Enable password口令、Enable secret口令。下面分别分析之。
控制台口令
如果用户没有在路由器的控制台上设置口令,其他用户就可以访问用户模式,并且,如果没有设置其它模式的口令,别人也就可以轻松进入其它模式。控制台端口是用户最初开始设置新路由器的地方。在路由器的控制台端口上设置口令极为重要,因为这样可以防止其它人连接到路由器并访问用户模式。
因为每一个路由器仅有一个控制台端口,所以你可以在全局配置中使用line console 0命令,然后再使用login和password命令来完成设置。这里password命令用于设置恰当的口令,如下所示:
Router# config t
Router(config)# line console 0
Router(config-line)# password SecR3t!pass
Router(config-line)# login
注意:最好设置复杂的口令避免被其他人猜测出来。
Aux(辅助端口)口令
这也是路由器上的一个物理访问端口,不过并非所有的路由器都有这个端口。因为Aux端口是控制台端口的一个备份端口,所以为它配置一个口令也是同样重要的。
Router# config t
Router(config)# line aux 0
Router(config-line)#password SecR3t!pass
Router(config-line)# login
(VTY)远程登录口令
虚拟终端连接并非是一个物理连接,而是一个虚拟连接。可以用它来telnet或ssh进入路由器。当然,你需要在路由器上设置一个活动的LAN或WAN接口以便于telnet工作。因为不同的路由器和交换机拥有不同的VTY端口号,所以你应当在配置这些端口之前查看有哪些端口。为此,可以在特权模式中键入line ?命令。下面给出一个配置VTY连接的例子:
Router# config t
Router(config)# line vty 0 4
Router(config-line)# password SecR3t!pass
Router(config-line)# login
Enable password-启用口令
enable password命令可以防止某人完全获取对路由器的访问权。Enable命令实际上可以用于在路由器的不同安全级别上切换(共有0-15等16个安全级别)。不过,它最常用于从用户模式(级别1)切换到特权模式(级别15)。事实上,如果你处于用户模式,而用户键入了enable命令,此命令将假定你进入特权模式。
如果要设置一个口令用于控制用户从用户模式转向特权模式,就要进入全局配置模式并使用enable password命令,如下所示:
Router# config t
Router(config)# enable password SecR3t!enable
Router(config)# exit
Enable password-启用口令
enable password命令可以防止某人完全获取对路由器的访问权。Enable命令实际上可以用于在路由器的不同安全级别上切换(共有0-15等16个安全级别)。不过,它最常用于从用户模式(级别1)切换到特权模式(级别15)。事实上,如果你处于用户模式,而用户键入了enable命令,此命令将假定你进入特权模式。
如果要设置一个口令用于控制用户从用户模式转向特权模式,就要进入全局配置模式并使用enable password命令,如下所示:
Enable password命令不好的一面是它容易被其他人猜测出来,这也正是我们需要使用enabel secret的原因。
Enable secret-启用加密
启用加密口令(enable secret password)与enable password 的功能是相同的。但通过使用“enable secret”,口令就以一种更加强健的加密形式被存储下来:
Router(config)# enable secret SecR3t!enable
在很多情况下,许多网络瘫痪是由于缺乏口令安全造成的。因此,作为管理员一定要保障正确设置其交换机和路由器的口令。
看过文章“如何配置思科路由器口令保障网络安全”
浏览量:4
下载量:0
时间:
Volans公司一直致力于提供智能易用的网络通讯产品与服务,其通过创新技术不断提升网络使用质量,那么你知道飞鱼星ASN安全联动防攻击如何配置吗?下面是读文网小编整理的一些关于飞鱼星ASN安全联动防攻击如何配置的相关资料,供你参考。
(一) 在交换机上启用联动功能
首先在交换机的系统工具》管理选项中启用勾选“启用联动功能”。
(二) 在路由器上配置安全联动
1、在路由器上启用安全联动功能
进路由器的配置界面,点击交换机安全联动》安全联动管理》安全联动配置,具体界面如下:
在路由器上启用安全联动配置保存之后,点击旁边的“注册交换机列表”,便出现如下的界面:
从图中可以看出,目前内网有一台型号为VS-5524GA的交换机在控制范围之类。
1、配置交换机的管理IP
点击上图中的“管理”,出现如下图所示的界面:
点击上图中的管理选项,便可在如下的界面中设置交换机的管理IP:
2、启用超级绑定/流控功能
在此启用手动绑定,具体界面如下:
在下图中绑定完内网所有计算机之后,再勾选上图中的禁止未被绑定主机通过。
3、开启网络防水墙并启用IP白名单,具体界面如下:
(三) 启用联动惩罚功能
根据需求,可适当开启联动惩罚功能,具体界面如下:
看过文章“飞鱼星ASN安全联动防攻击如何配置”
浏览量:3
下载量:0
时间:
思科公司制造的路由器、交换机和其他设备承载了全世界80%的互联网通信,成为了网络应用的成功实践者之一,那么你知道Cisco PIX防火墙及网络安全怎么配置吗?下面是读文网小编整理的一些关于Cisco PIX防火墙及网络安全怎么配置的相关资料,供你参考。
随着国际互连网的发展,一些企业建立了自己的INTRANET,并通过专线与INTERNET连通。为了保证企业内部网的安全,防止非法入侵,需要使用专用的防火墙计算机。路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来。只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。
大多数提供代理服务的专用防火墙机器是基于UNIX系统的,这些操作系统本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange,私有Internet交换)防火墙,它运行自己定制的操作系统,事实证明,它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络,如附图所示。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进行通信时,完成内部和外部地址之间的映射。
配置好PIX防火墙后,从外部世界看来,内部计算机好象就是直接连接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主机传送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的,PIX运行了代理ARP,代理ARP给外部网络层IP地址指定数据链路MAC地址,这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。大多数情况下,与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行操作,而不是在应用过程级(代理服务器则采用这种方法),PIX既可以跟踪UDP会话,也可以跟踪TCP连接。当一个计算机希望同外部计算机进行通信时,PIX记录下内部来源地址,然后从外部地址库分配一个地址,并记录下所进行的转换。这就是人们常说的有界NAT(stateful NAT),这样,PIX就能记住它在同谁进行交谈,以及是哪个计算机首先发起的对话。只有已被确认的来自外部网络的信息包才会运行,并进入内部网络。
不过,有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部地址硬编码一个外部地址,这个地址是不会过期的。在这种情况下,用到对目标地址和端口号的普通过滤。除非侵入PIX本身,外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下,恶意用户就无法从内部主机向内部网络实施攻击。
PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布,所以,入侵者已经有可能通过这种方法,控制住一个现成的TCP连接,然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点,入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的,因为每次初始化连接时,大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号,这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。
配置PIX防火墙是一个比较直接的工作,在提供相同级别的安全服务情况下,PIX的配置相比设置代理服务器要简单的多。从理论上讲,所需做的就是指定一个IP地址和一个用来对外部进行访问的地址库,一个针对内部连接的IP地址和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实际配置案例,供大家参考。因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
一.PIX 防火墙
ip address outside 131.1.23.2
https://设置PIX防火墙的外部地址
ip address inside 10.10.254.1
https://设置PIX防火墙的内部地址
global 1 131.1.23.10-131.1.23.254
https://设置一个内部计算机与INTERNET
上计算机进行通信时所需的全局地址池
nat 1 10.0.0.0
https://允许网络地址为10.0.0.0
的网段地址被PIX翻译成外部地址
static 131.1.23.11 10.14.8.50
https://网管工作站固定使用的外部地址为131.1.23.11
conduit 131.1.23.11514 udp
131.1.23.1 255.255.255.255
https://允许从RTRA发送到到
网管工作站的系统日志包通过PIX防火墙
mailhost 131.1.23.10 10.10.254.3
https://允许从外部发起的对
邮件服务器的连接(131.1.23.10)
telnet 10.14.8.50
https://允许网络管理员通过
远程登录管理IPX防火墙
syslog facility 20.7
syslog host 10.14.8.50
https://在位于网管工作站上的
日志服务器上记录所有事件日志
二.路由器RTRA
---- RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。
no service tcp small-servers
https://阻止一些对路由器本身的攻击
logging trap debugging
https://强制路由器向系统日志服务器
发送在此路由器发生的每一个事件,
包括被存取列表拒绝的包和路由器配置的改变;
这个动作可以作为对系统管理员的早期预警,
预示有人在试图攻击路由器,或者已经攻入路由器,
正在试图攻击防火墙
logging 131.1.23.11
https://此地址是网管工作站的外部地址,
路由器将记录所有事件到此
主机上enable secret quduwenxxxx
interface Ethernet 0
ip address 131.1.23.1 255.255.255.0
interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
https://保护PIX防火墙和HTTP/FTP
服务器以及防卫欺骗攻击(见存取列表)
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
https:// 禁止任何显示为来源于路由器RTRA
和PIX防火墙之间的信息包,这可以防止欺骗攻击
access-list 110 deny ip any host 131.1.23.2 log
https://防止对PIX防火墙外部接口的直接
攻击并记录到系统日志服务器任何企图连接
PIX防火墙外部接口的事件r
access-list 110 permit tcp any
131.1.23.0 0.0.0.255 established
https://允许已经建立的TCP会话的信息包通过
access-list 110 permit tcp any host 131.1.23.3 eq ftp
https://允许和FTP/HTTP服务器的FTP连接
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
https://允许和FTP/HTTP服务器的FTP数据连接
access-list 110 permit tcp any host 131.1.23.2 eq www
https://允许和FTP/HTTP服务器的HTTP连接
access-list 110 deny ip any host 131.1.23.2 log
https://禁止和FTP/HTTP服务器的别的连接
并记录到系统日志服务器任何
企图连接FTP/HTTP的事件
access-list 110 permit ip any 131.1.23.0 0.0.0.255
https://允许其他预定在PIX防火墙
和路由器RTRA之间的流量
line vty 0 4
login
password quduwenxxx
access-class 10 in
https://限制可以远程登录到此路由器的IP地址
access-list 10 permit ip 131.1.23.11
https://只允许网管工作站远程登录到此路由器,
当你想从INTERNET管理此路由器时,
应对此存取控制列表进行修改
三. 路由器RTRB
---- RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口.
logging trap debugging
logging 10.14.8.50
https://记录此路由器上的所有活动到
网管工作站上的日志服务器,包括配置的修改
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
https://允许通向网管工作站的系统日志信息
access-list 110 deny ip any host 10.10.254.2 log
https://禁止所有别的从PIX防火墙发来的信息包
access-list permit tcp host 10.10.254.3
10.0.0.0 0.255.255.255 eq smtp
https://允许邮件主机和内部邮件服务器的SMTP邮件连接
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
https://禁止别的来源与邮件服务器的流量
access-list deny ip any 10.10.254.0 0.0.0.255
https://防止内部网络的信任地址欺骗
access-list permit ip 10.10.254.0
0.0.0.255 10.0.0.0 0.255.255.255
https://允许所有别的来源于PIX防火墙
和路由器RTRB之间的流量
line vty 0 4
login
password quduwenxxx
access-class 10 in
https://限制可以远程登录到此路由器上的IP地址
access-list 10 permit ip 10.14.8.50
https://只允许网管工作站远程登录到此路由器,
当你想从INTERNET管理此路由器时,
应对此存取控制列表进行修改
---- 按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上。
看过文章“Cisco PIX防火墙及网络安全怎么配置”
浏览量:3
下载量:0
时间:
Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一,那么你知道apache安全配置吗?下面是读文网小编整理的一些关于apache安全配置的相关资料,供你参考。
2.1 目录泄露
Options -Indexes FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
在Indexes前加-或去掉
2.2 符号连接追踪
Options Indexes -FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
在FollowSymLinks前加-或去掉
2.3 Listen指令具体化
httpd.conf包含一个"Listen 80”指令。应将其改变为指定邦定的IP,如果在多IP的环境下尤其注意
2.4 版本泄露
在httpd.conf中添加:
ServerTokens ProductOnly
ServerSignature Off
2.5 运行权限
Apache在windows中的默认运行权限是系统权限,若黑客找到漏洞,就可以将整个服务控制,所以必须将Apache运行权限降到最低,这样可以避免发生安全事故
2.6 清除httpd.conf中默认的注释
在这400行中,只有一小部分是实际的Apache指令,其余的仅是帮助用户如何恰当地在httpd.conf中放置指令的注释。根据笔者的经验,这些注释有时起负面作用,甚至将危险的指令留存于文件中。笔者在所管理的许多 Apache服务器上将httpd.conf文件复制为其它的文件,如httpd.conf.orig等,然后完全清除多余的注释。文件变得更加容易阅读,从而更好地解决了潜在的安全问题或者错误地配置文件。
2.7 欺骗攻击者
修改版本名:
修改系统名:
2.8 apache解析漏洞:
Order Allow,Deny
Deny from all
2.9 apache设置上传目录无执行权限
关闭路径/www/home/upload的php解析:
Order allow,deny
Deny from all
2.10 apache限制目录
php_admin_value open_basedir /var/www
2.11 http 请求方法安全
OPTIONS 方法可以检测出当前资源可以请求的方法,关闭该方法的配置:
Deny from all
2.12 不允许访问指定扩展名
Order allow,deny
Deny from all
2.13 禁止访问某些指定目录
Order allow,deny
Deny from all
2.14 通过文件匹配进行禁止
Order allow,deny
Deny from all
2.15 禁止针对URL相对路径的访问
Order allow,deny
Deny from all
浏览量:3
下载量:0
时间:
奇虎360是由周鸿祎于2005年9月创立的以主营360杀毒为代表的免费网络安全平台和拥有问答等独立业务的公司。该公司主要依靠在线广告、游戏、互联网和增值业务创收。下面是读文网小编带来的关于360安全卫士安装好了在哪里查看本机配置的内容,欢迎阅读!
360致力于通过提供高品质的免费安全服务,为中国互联网用户解决上网时遇到的各种安全问题。面对互联网时代木马、病毒、流氓软件、钓鱼欺诈网页等多元化的安全威胁,360以互联网的思路解决网络安全问题。360是免费安全的首倡者,认为互联网安全像搜索、电子邮箱、即时通讯一样,是互联网的基础服务,应该免费的。
为此,360安全卫士、360杀毒等系列安全产品免费提供给中国数亿互联网用户。同时,360开发了全球规模和技术均领先的云安全体系,能够快速识别并清除新型木马病毒以及钓鱼、挂马恶意网页,全方位保护用户的上网安全。作为中国最大的互联网安全公司之一,360拥有国内规模领先的高水平安全技术团队,旗下360安全卫士、360杀毒、360安全浏览器、360安全桌面、360手机卫士等系列产品深受用户好评,使360成为无可争议的网络安全领先品牌。
据第三方数据统计,截止2012年9月,360的PC端产品和服务的月活跃数达到4.42亿,用户渗透率达到95%,是中国最大的互联网安全公司之一。使用360手机安全产品和服务的智能手机用户总数已达约1.49亿,约占中国智能手机安全产品市场70%的份额。360浏览器的月活跃用户数量为3.03亿,用户渗透率超过65%,在国产浏览器中处于领先地位。
360个性化起始页和其下属页面的日均独立访问用户为8900万人,日均点击量约为4.51亿次,是中国最大的导航起始页之一。2012年8月,360推出具有自主知识产权的搜索引擎服务,稳定拥有25%以上的市场份额,成为中国搜索市场的重要参与者,致力于共同建立一个安全的、有效竞争的搜索市场。
浏览量:2
下载量:0
时间:
奇虎360是由周鸿祎于2005年9月创立的以主营360杀毒为代表的免费网络安全平台和拥有问答等独立业务的公司。该公司主要依靠在线广告、游戏、互联网和增值业务创收。下面是读文网小编带来的关于360安全卫士有个能检测电脑配置的工具是什么的内容,欢迎阅读!
特供机模式是360为巩固其在移动互联网领域地位,推出的一种新的合作模式。操作方法是:首先选择一家具备手机生产制造能力的传统手机生产商,让他们拿出一款手机装上360定制的软件,通过360的渠道营销,具体的销售行为外包给电商网站,售后服务则是通过手机厂商的渠道完成。
2013年1月25日,新华网爆料360APP从“苹果应用程序商店”集体下架。仅有360云盘一款产品可以正常搜索下载。经苹果客服人员证实,确实已经无法下载360相关应用。
互联网巨头360强势回应“360浏览器盗窃淘宝客佣金”传闻,并首度承认名为“上海奇泰”是360运营淘宝客业务的实体公司。360通过官方微博阐述了自己的观点,指出360浏览器与淘宝客没有任何关系,因此不存在“劫持佣金”一说。
浏览量:2
下载量:0
时间:
奇虎360是由周鸿祎于2005年9月创立的以主营360杀毒为代表的免费网络安全平台和拥有问答等独立业务的公司。该公司主要依靠在线广告、游戏、互联网和增值业务创收。下面是读文网小编带来的关于用360安全卫士如何查看电脑配置的内容,欢迎阅读!
鲁大师(原名:Z武器)是新一代的系统工具。它能轻松辨别电脑硬件真伪,保护电脑稳定运行,清查电脑病毒隐患,优化清理系统,提升电脑运行速度。
2009年7月底,Z武器软件开发团队接到有关部门通知,根据相关法律法规,软件名称里不能出现“武器”二字。经过慎重考虑,在Z武器网站上贴出公告,决定正式将“Z武器”更名为“鲁大师”。
“鲁大师”作者鲁锦,当年凭借一款风靡一时的“Windows优化大师”,一举奠定其在国内软件业界的地位,被业内称为“中国优化第一人”。
浏览量:3
下载量:0
时间:
普联公司创建了享誉全国的知名网络与通信品牌tplink,其出产的路由器设备性价比极高,路由器作为网络的核心设备,它的性能及可扩展性对网络的升级及业务的快速部署起着至关重要的作用,那么你知道tp路由器wvr450g怎么配置网页安全吗?下面是读文网小编整理的一些关于tp路由器wvr450g配置网页安全的相关资料,供你参考。
某企业网络环境中,为了确保内部网络安全,需求如下:
1、禁止企业内部人员对网页内容的上传和网站、论坛等用户名密码的登录;
2、禁止企业内部人员从网页上下载exe, rar后缀的文件。
登录路由器的管理界面,点击 行为管控 >> 网页安全,勾选 启用网页安全功能,点击保存;在规则设置中,选择相应的地址组,勾选 禁止网页提交(禁止上传和网站、论坛等用户名密码的登录),填写需要过滤文件的扩展类型,设置完成后,点击 新增。如下图所示:
文件扩展名:即文件的类型,如压缩包rar、zip等,安装软件exe等。
至此,网页安全设置完成,局域网内的电脑在上网的过程中,将会按照上述的设置的规则使用网络。
看过文章“tp路由器wvr450g怎么配置网页安全”
浏览量:0
下载量:0
时间:
路由器作为网际互联设备,是连接内部可信网络和外部非信任网络的枢纽节点,路由器系统是国际互联网的主要组成部分,那么你知道volans路由器怎么配置asn安全联动吗?下面是读文网小编整理的一些关于volans路由器配置asn安全联动的相关资料,供你参考。
(一) 在交换机上启用联动功能
首先在交换机的系统工具》管理选项中启用勾选“启用联动功能”。
(二) 在路由器上配置安全联动
1、在路由器上启用安全联动功能
进路由器的配置界面,点击交换机安全联动》安全联动管理》安全联动配置,具体界面如下:
在路由器上启用安全联动配置保存之后,点击旁边的“注册交换机列表”,便出现如下的界面:
从图中可以看出,目前内网有一台型号为VS-5524GA的交换机在控制范围之类。
1、配置交换机的管理IP
点击上图中的“管理”,出现如下图所示的界面:
点击上图中的管理选项,便可在如下的界面中设置交换机的管理IP:
2、启用超级绑定/流控功能
在此启用手动绑定,具体界面如下:
在下图中绑定完内网所有计算机之后,再勾选上图中的禁止未被绑定主机通过。
3、开启网络防水墙并启用IP白名单,具体界面如下:
(三) 启用联动惩罚功能
根据需求,可适当开启联动惩罚功能,具体界面如下:
看过文章“volans路由器怎么配置asn安全联动”
浏览量:3
下载量:0
时间:
Windows Server 2003是大家最常用的服务器操作系统之一。windows2003的服务器安全性一直都是大家关心的问题,那么Win2003基本安全怎么配置呢?今天读文网小编与大家分享下Win2003基本安全配置的具体操作步骤,有需要的朋友不妨了解下。
更新系统补丁
装完系统后,配置了IIS,先不要着急的建站,先把系统安全补丁打上。
点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。
启动系统防火墙
开始菜单-设置-控制面板- 网络连接-本地连接-属性-高级-启用-高级-设置
服务-勾选FTP服务 web 服务 远程桌面 这几个选项 (也可以在例外 那一栏选择或添加) 这样一设置等于 服务器只开启了 21 80 3389 3个端口。
默认情况下会禁ping 如果要开启 服务旁边 ICMP 进入后勾起 第一项 允许传回响应即可
三.修改远程桌面端口
修改远程端口可以有效的防止长期被扫描,小工具修改不放心还是手动修改注册表吧
修改注册表.
开始--运行--regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:前一步 以开启了系统防火墙 现在改了默认3389 端口 防火墙里也要添加个 10000的端口 要不一旦生效 远程桌面就进不去了,
修改完毕.重新启动服务器.才会生效.这一步不需要着急重启。连接的时候在IP后面加个端口号就可以了如 192.168.2:10000
修改磁盘权限
所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限包括系统盘,WEB盘一般只要给Administrators权限即可,一般单个网站配独立用户这个后面再配。
系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将System32cmd.exe、format.com、ftp.exe转移到其他目录或更名
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。 删除c:inetpub目录
有部分软件可能需要Users 读取权限 才能运行这个根据软件安装目录设置 安装目录可以设置复杂点。
五.给每个独立网站创建独立用户
开始菜单-控制面板-管理工具-计数机管理-本地用户和用户组-用户组-单击右键创建组-web
回来用户-创建 如 web001 描述那些随便 密码复杂点 最好用记书本 复制下来先 因为等会还要用
打开IIS-以创建的站点 如web001-单击鼠标右键 属性 - 目录安全 - 编辑 -浏览-高级-选择你刚创建的那个用户 如web001 点确定-
复制之前的密码 一共要输入两次。OK 搞定
然后再回到IIS web001 右键 权限- 选择 创建的那个用户勾选权限 就ok了,这样就完成了 一个用户 对应一个站点的操作了。
浏览量:3
下载量:0
时间:
VPS(Virtual Private Server 虚拟专用服务器)技术,将一部服务器分割成多个虚拟专享服务器的优质服务。那么大家知道VPS怎么设置安全配置吗?读文网小编分享了VPS设置安全配置的方法,希望对大家有所帮助。
一、修改SSH端口
vi /etc/ssh/sshd_config
找到其中的#Port 22(第13行),去掉#,修改成Port 3333
使用如下命令,重启SSH服务,注:以后用新端口登陆。
service sshd restart
二、禁止ROOT登陆
先添加一个新帐号80st ,可以自定义:
useradd 80st
给weidao 帐号设置密码:
passwd 80st
仍旧是修改/etc/ssh/sshd_config文件,第39行:#PermitRootLogin yes,去掉前面的#,并把yes改成no,然后,重启SSH服务。以后,先使用weidao 登陆,再su root即可得到ROOT管理权限。
login as: 80st
weidao@ip password:*****
Last login: Tue Nov 22 15:18:18 2011 from 1.2.3.4
su root
Password:*********** #注这里输入ROOT的密码
三、使用DDos deflate简单防落CC和DDOS攻击
使用netstat命令,查看VPS当前链接确认是否受到攻击:
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
IP前面的数字,即为连接数,如果说正常网站,几十到一百都属于正常连接,但出现几百,或上千的就可以垦定这个IP与你的VPS之间可能存在可疑连接现象。
可以使用iptables直接BAN了这个IP的永久访问:
iptables -A INPUT -s 12.34.56.78 -j DROP
使用软件DDos deflate来自动检测并直接BAN掉的方法,首先要确认一下iptables服务状态,默认CENTOS就安装的,不看也行。
service iptables status
安装DDos deflat:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod +x install.sh
./install.sh
安装后需要修改/usr/local/ddos/ddos.conf,主要是APF_BAN=1要设置成0,因为要使用iptables来封某些可疑连接,注意EMAIL_TO=”root”,这样BAN哪个IP会有邮件提示:
##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list” //IP地址白名单
CRON=”/etc/cron.d/ddos.cron”//定时执行程序
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with –cron
##### option so that the new frequency takes effect
FREQ=1 //检查时间间隔,默认1分钟
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150 //最大连接数,超过这个数IP就会被屏蔽,一般默认即可
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1 //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。
##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1 //是否屏蔽IP,默认即可
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=”root”//当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱即可
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600 //禁用IP时间,默认600秒,可根据情况调整
四、使用iftop查看详细网络状况
安装IFTOP软件:
yum -y install flex byacc libpcap ncurses ncurses-devel libpcap-devel
wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
tar zxvf iftop-0.17.tar.gz
cd iftop-0.17
./configure
make && make install
安装后,使用iftop运行,查看网络情况。TX,发送流量;RX,接收流量;TOTAL,总流量;Cumm,运行iftop期间流量;peak,流量峰值;rates,分别代表2秒、10秒、40秒的平均流量。
快捷键:h帮助,n切换显示IP主机名,s是否显示本机信息,d是否显示远端信息,N切换端口服务名称,b切换是否时数流量图形条。
五、升级LNMP中的NGINX到最新版
现在最新版是0.8.53,如果以后出新版,只要更新版本号就可以,在SSH里运行:
wget http://www.nginx.org/download/nginx-0.8.53.tar.gz
tar zxvf nginx-0.8.53.tar.gz
cd nginx-0.8.53
./configure –user=www –group=www –prefix=/usr/local/nginx –with-http_stub_status_module –with-http_ssl_module –with-http_sub_module
make
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
cd objs/
cp nginx /usr/local/nginx/sbin/
/usr/local/nginx/sbin/nginx -t
kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`
kill -QUIT `cat /usr/local/nginx/logs/nginx.pid.oldbin`
/usr/local/nginx/sbin/nginx -v
cd ..
cd ..
rm -rf nginx-0.8.53
rm -rf nginx-0.8.53.tar.gz
六、常用netstat命令:
1.查看所有80端口的连接数
netstat -nat|grep -i “80″|wc -l
2.对连接的IP按连接数量进行排序
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
3.查看TCP连接状态
netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn
netstat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}’
netstat -n | awk ‘/^tcp/ {++state[$NF]}; END {for(key in state) print key,””,state[key]}’
netstat -n | awk ‘/^tcp/ {++arr[$NF]};END {for(k in arr) print k,””,arr[k]}’
netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn
netstat -ant | awk ‘{print $NF}’ | grep -v ‘[a-z]‘ | sort | uniq -c
4.查看80端口连接数最多的20个IP
netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -nr|head -n20
netstat -ant |awk ‘/:80/{split($5,ip,”:”);++A[ip[1]]}END{for(i in A) print A,i}’ |sort -rn|head -n20
5.用tcpdump嗅探80端口的访问看看谁最高
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F”.” ‘{print $1″.”$2″.”$3″.”$4}’| sort | uniq -c | sort -nr |head -20
6.查找较多time_wait连接
netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20
7.找查较多的SYN连接
netstat -an | grep SYN | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -nr | more
看过“VPS怎么设置安全配置”
浏览量:3
下载量:0
时间: