阿里云linux服务器上使用iptables设置安全策略的方法
公司的产品一直运行在云服务器上,从而有幸接触过aws的ec2,盛大的云服务器,最近准备有使用阿里云的弹性计算(云服务器)。前两种云服务器在安全策略这块做的比较好,提供简单明了的配置界面,而且给了默认的安全策略,反观阿里云服务器,安全策略需要自己去配置,甚至centos机器上都没有预装iptables(起码我们申请两台上都没有),算好可以使用yum来安装,安装命令如下:
yuminstall-yiptables
iptables安装好后就可以来配置规则了。由于作为web服务器来使用,所以对外要开放80端口,另外肯定要通过ssh进行服务器管理,22端口也要对外开放,当然最好是把ssh服务的默认端口改掉,在公网上会有很多人试图破解密码的,如果修改端口,记得要把该端口对外开发,否则连不上就悲剧了。下面提供配置规则的详细说明:
第一步:清空所有规则 当ChainINPUT(policyDROP)时执行/sbin/iptables-F后,你将和服务器断开连接 所有在清空所有规则前把policyDROP该为INPUT,防止悲剧发生,小心小心再小心 /sbin/iptables-PINPUTACCEPT 清空所有规则 /sbin/iptables-F /sbin/iptables-X 计数器置0 /sbin/iptables-Z 第二步:设置规则 允许来自于lo接口的数据包,如果没有此规则,你将不能通过127.0.0.1访问本地服务,例如ping127.0.0.1 /sbin/iptables-AINPUT-ilo-jACCEPT 开放TCP协议22端口,以便能ssh,如果你是在有固定ip的场所,可以使用-s来限定客户端的ip /sbin/iptables-AINPUT-ptcp--dport22-jACCEPT 开放TCP协议80端口供web服务 /sbin/iptables-AINPUT-ptcp--dport80-jACCEPT 10.241.121.15是另外一台服务器的内网ip,由于之间有通信,接受所有来自10.241.121.15的TCP请求 /sbin/iptables-AINPUT-ptcp-s10.241.121.15-jACCEPT 接受ping /sbin/iptables-AINPUT-picmp-micmp--icmp-type8-jACCEPT 这条规则参看:http://www.netingcn.com/iptables-localhost-not-access-internet.html /sbin/iptables-AINPUT-mstate--stateESTABLISHED-jACCEPT 屏蔽上述规则以为的所有请求,不可缺少,否则防火墙没有任何过滤的功能 /sbin/iptables-PINPUTDROP 可以使用iptables-L-n查看规则是否生效
至此防火墙就算配置好,但是这是临时的,当重启iptables或重启机器,上述配置就会被清空,要想永久生效,还需要如下操作:
/etc/init.d/iptablessave 或 serviceiptablessave 执行上述命令可以在文件/etc/sysconfig/iptables中看到配置
以下提供一个干净的配置脚本:
/sbin/iptables-PINPUTACCEPT /sbin/iptables-F /sbin/iptables-X /sbin/iptables-Z /sbin/iptables-AINPUT-ilo-jACCEPT /sbin/iptables-AINPUT-ptcp--dport22-jACCEPT /sbin/iptables-AINPUT-ptcp--dport80-jACCEPT /sbin/iptables-AINPUT-ptcp-s10.241.121.15-jACCEPT /sbin/iptables-AINPUT-picmp-micmp--icmp-type8-jACCEPT /sbin/iptables-AINPUT-mstate--stateESTABLISHED-jACCEPT /sbin/iptables-PINPUTDROP
最后执行serviceiptablessave,先确保ssh连接没有问题,防止规则错误,导致无法连上服务器,因为没有save,重启服务器规则都失效,否则就只有去机房才能修改规则了。也可以参考:ubuntuiptables配置脚本来写一个脚本。
最后再次提醒,在清空规则之前一定要小心,确保ChainINPUT(policyACCEPT)。
毛票票补充阿里云的linux_drop_port.sh
#!/bin/bash ######################################### #Function:linuxdropport #Usage:bashlinux_drop_port.sh #Author:CustomerServiceDepartment #Company:AlibabaCloudComputing #Version:2.0 ######################################### check_os_release() { whiletrue do os_release=$(grep"RedHatEnterpriseLinuxServerrelease"/etc/issue2>/dev/null) os_release_2=$(grep"RedHatEnterpriseLinuxServerrelease"/etc/redhat-release2>/dev/null) if["$os_release"]&&["$os_release_2"] then ifecho"$os_release"|grep"release5">/dev/null2>&1 then os_release=redhat5 echo"$os_release" elifecho"$os_release"|grep"release6">/dev/null2>&1 then os_release=redhat6 echo"$os_release" else os_release="" echo"$os_release" fi break fi os_release=$(grep"AliyunLinuxrelease"/etc/issue2>/dev/null) os_release_2=$(grep"AliyunLinuxrelease"/etc/aliyun-release2>/dev/null) if["$os_release"]&&["$os_release_2"] then ifecho"$os_release"|grep"release5">/dev/null2>&1 then os_release=aliyun5 echo"$os_release" elifecho"$os_release"|grep"release6">/dev/null2>&1 then os_release=aliyun6 echo"$os_release" else os_release="" echo"$os_release" fi break fi os_release=$(grep"CentOSrelease"/etc/issue2>/dev/null) os_release_2=$(grep"CentOSrelease"/etc/*release2>/dev/null) if["$os_release"]&&["$os_release_2"] then ifecho"$os_release"|grep"release5">/dev/null2>&1 then os_release=centos5 echo"$os_release" elifecho"$os_release"|grep"release6">/dev/null2>&1 then os_release=centos6 echo"$os_release" else os_release="" echo"$os_release" fi break fi os_release=$(grep-i"ubuntu"/etc/issue2>/dev/null) os_release_2=$(grep-i"ubuntu"/etc/lsb-release2>/dev/null) if["$os_release"]&&["$os_release_2"] then ifecho"$os_release"|grep"Ubuntu10">/dev/null2>&1 then os_release=ubuntu10 echo"$os_release" elifecho"$os_release"|grep"Ubuntu12.04">/dev/null2>&1 then os_release=ubuntu1204 echo"$os_release" elifecho"$os_release"|grep"Ubuntu12.10">/dev/null2>&1 then os_release=ubuntu1210 echo"$os_release" else os_release="" echo"$os_release" fi break fi os_release=$(grep-i"debian"/etc/issue2>/dev/null) os_release_2=$(grep-i"debian"/proc/version2>/dev/null) if["$os_release"]&&["$os_release_2"] then ifecho"$os_release"|grep"Linux6">/dev/null2>&1 then os_release=debian6 echo"$os_release" else os_release="" echo"$os_release" fi break fi os_release=$(grep"openSUSE"/etc/issue2>/dev/null) os_release_2=$(grep"openSUSE"/etc/*release2>/dev/null) if["$os_release"]&&["$os_release_2"] then ifecho"$os_release"|grep"13.1">/dev/null2>&1 then os_release=opensuse131 echo"$os_release" else os_release="" echo"$os_release" fi break fi break done } exit_script() { echo-e"\033[1;40;31mInstall$1error,willexit.\n\033[0m" rm-f$LOCKfile exit1 } config_iptables() { iptables-IOUTPUT1-ptcp-mmultiport--dport21,22,23,25,53,80,135,139,443,445-jDROP iptables-IOUTPUT2-ptcp-mmultiport--dport1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-jDROP iptables-IOUTPUT3-pudp-jDROP iptables-nvL } ubuntu_config_ufw() { ufwdenyoutprototcptoanyport21,22,23,25,53,80,135,139,443,445 ufwdenyoutprototcptoanyport1433,1314,1521,2222,3306,3433,3389,4899,8080,18186 ufwdenyoutprotoudptoany ufwstatus } ####################Start################### #checklockfile,onetimeonlyletthescriptrunonetime LOCKfile=/tmp/.$(basename$0) if[-f"$LOCKfile"] then echo-e"\033[1;40;31mThescriptisalreadyexist,pleasenexttimetorunthisscript.\n\033[0m" exit else echo-e"\033[40;32mStep1.Nolockfile,begintocreatelockfileandcontinue.\n\033[40;37m" touch$LOCKfile fi #checkuser if[$(id-u)!="0"] then echo-e"\033[1;40;31mError:Youmustberoottorunthisscript,pleaseuseroottoexecutethisscript.\n\033[0m" rm-f$LOCKfile exit1 fi echo-e"\033[40;32mStep2.BegentochecktheOSissue.\n\033[40;37m" os_release=$(check_os_release) if["X$os_release"=="X"] then echo-e"\033[1;40;31mTheOSdoesnotidentify,Sothisscriptisnotexecutede.\n\033[0m" rm-f$LOCKfile exit0 else echo-e"\033[40;32mThisOSis$os_release.\n\033[40;37m" fi echo-e"\033[40;32mStep3.Begentoconfigfirewall.\n\033[40;37m" case"$os_release"in redhat5|centos5|redhat6|centos6|aliyun5|aliyun6) serviceiptablesstart config_iptables ;; debian6) config_iptables ;; ubuntu10|ubuntu1204|ubuntu1210) ufwenable<<EOF y EOF ubuntu_config_ufw ;; opensuse131) config_iptables ;; esac echo-e"\033[40;32mConfigfirewallsuccess,thisscriptnowexit!\n\033[40;37m" rm-f$LOCKfile
上述文件下载到机器内部直接执行即可。