《利用iptables加固邮件服务系统安全》由会员分享,可在线阅读,更多相关《利用iptables加固邮件服务系统安全(10页珍藏版)》请在金锄头文库上搜索。
1、利用iptables加固邮件服务系统安全申继年;牛银岭;邢雪梅期刊名称】中国教育网络年(卷),期】2014(000)002【总页数】3页(P108-110) 【作 者】 申继年;牛银岭;邢雪梅【作者单位】 中国药科大学现代教育技术中心;赛尔网络有限公司河北分公司;中国 药科大学现代教育技术中心【正文语种】 中 文Linux系统是邮件系统的重要组成部分,Linux系统的安全对整个邮件系统的安全 起着至关重要的作用。目前,来自邮件服务操作系统层面主要面临威胁是 SSH 暴 力破解和DoS攻击。Linux系统属于开放源代码软件,具有稳定、安全、网络负载力强、占用硬件资源 少等技术特点。正是基于此,高
2、校中的大多数邮件系统部署在Linux平台之上。 笔者所在学校采用Coremail邮件系统,部署在Linux平台。为了方便调试,向外 网开放了 SSH服务。2013年伊始,邮件系统遭遇多次SSH暴力破解,造成邮件 服务多次故障。在考虑邮件服务调试和系统安全各因素的平衡后,笔者对邮件服务 器的安全策略进行了重新设计和实施。下面将对本校的安全策略的设计与实施进行 详细的介绍。禁用 root 用户通常为了管理维护的方便,一般使用root账户直接登录。SSH暴力破解正是利用 这一点,利用扫描软件对22端口进行弱口令扫描,主要是针对root账户进行猜 测。如果把root账户禁用,添加一个只有自己知道的账户
3、,那么针对root账号 的弱口令猜测的攻击就很大程度的避免了。1.新建用户useradd cpupasswd 密码2禁用root运行 vi /etc/ssh/sshd_config,找到#permitrootlogin yes 这行,把“#” 去掉, 修改“yes”为“no”,关闭并保存。3重启sshdservice sshd restart4登录先用putty利用新建用户登录,然后用su命令切换到root。更改SSH端口为非标准(22 )端口同样道理,为了避免入侵者针对22端口进行扫描,需要把SSH服务的22端口改 成非标准端口。1修改配置文件首先修改配置文件:vi /etc/ssh/ssh
4、d_ config,找到#Port 22 段,这里是标识 默认使用22端口,修改为如下:Port 22Port 50000然后保存退出。2重启服务执行/etc/init.d/sshd restart,这样SSH端口将同时工作与22和50000上。3. 修改防火墙现在编辑防火墙配置:vi /etc/ sysconfig/iptables,启用50000端口。执行/etc/init.d/iptables restart。4. 登录测试使用SSH工具连接50000端口,来测试是否成功。如果连接成功了,则再次编辑 sshd_config的设置,将里边的Port22删除即可。说明:之所以先设置成两个端口
5、,测试成功后再关闭一个端口,是为了方式在修改 conf的过程中,万一出现掉线、断网、误操作等未知情况时候,还能通过另外一 个端口连接上去调试以免发生连接不上必须派人去机房,导致问题更加复杂麻烦。 邮件服务常见服务及端口1.25 端口( SMTP)25端口为SMTP( Simple Mail Transfer Protocol,简单邮件传输协议)服务所 开放的,是用于发送邮件。如今绝大多数邮件服务器都使用该协议。当你给别人发送邮件时,你的机器的某个 动态端口(大于1024 )就会与邮件服务器的25号端口建立一个连接,你发送的 邮件就会通过这个连接传送到邮件服务器上,保存起来。2.109端口( P
6、OP2 )109 端 口是为 POP2( Post Office Protocol Version 2,邮局协议 2 )服务开放 的,是用于接收邮件的。3.110端口( POP3)110 端口是为 POP3 ( Post OfficeProtocol Version 3,邮局协议 3 )服务开放的, 是用于接收邮件的。4.143 端口( IMAP )143 端 口是为 IMAP (INTERNET MESSAGE ACCESS PROTOCOL )服务开放 的,是用于接收邮件的。目前POP3使用的比POP2广得多,POP2几乎被淘汰,也有某些服务器同时支 持POP2和POP3协议。客户端可以使
7、用POP3协议来访问服务端的邮件服务, 如今ISP的绝大多数邮件服务器都是使用POP3协议(极少用POP2协议)。在 使用邮件客户端程序的时候,会要求输入POP3服务器地址,默认情况下使用的 就是110端口。当你用邮件客户端(如Thunderbird、Foxmail、MSN、 Outlook Express以及各类邮件精灵)登录时,你的机器就会自动用机器的某一 个动态端口(大于1024 )连接邮件服务器的110端口,服务器就把别人给你发的 邮件(之前保存在邮件服务器上),发送到你机器,这样你就可以看到你客户端工 具上的收件箱里的新邮件了。IMAP协议,和POP3协议一样是用来接收邮件的,但是它
8、有它的特别和新颖之处, 它是面向用户的,它和POP3协议的主要区别是:用户可以不用把所有的邮件内 容全部下载,而是只下载邮件标题和发件人等基本信息,用户可以由标题等基本信 息,去决定是否下载邮件全文,用户可以通过客户端的浏览器直接对服务器上的邮 件进行操作(比如:打开阅读全文、丢进垃圾箱、永久删除、整理到某文件夹下、 归档、)。再简单来说就是:浏览器用的IMAP协议(143端口)来为你接收邮 件以及让你很方便的操作服务器上的邮件。邮件客户端用的POP3协议(110端 口)来为你接收邮件的全部信息和全文内容保存到你的本地机器成为一个副本,你 对邮件客户端上的副本邮件的任何操作都是在副本上,不干涉
9、邮件服务器上为你保 存的邮件原本。5.465 端口( SMTPS)465端口是为SMTPS( SMTP-over-SSL )协议服务开放的,这是SMTP协议基 于SSL安全协议之上的一种变种协议,它继承了 SSL安全协议的非对称加密的高 度安全可靠性,可防止邮件泄露。SMTPS和SMTP协议一样,也是用来发送邮件 的,只是更安全些,防止邮件被黑客截取泄露,还可实现邮件发送者抗抵赖功能。 防止发送者发送之后删除已发邮件,拒不承认发送过这样一份邮件。6.995 端口( P0P3S )995端口是为POP3S ( POP3-over-SSL )协议服务开放的,这是POP3协议基于 SSL安全协议之上
10、的一种变种协议,它继承了 SSL安全协议的非对称加密的高度 安全可靠性,可防止邮件泄露。POP3S和POP3协议一样,也是用来接收邮件的, 只是更安全些,防止邮件被黑客截取泄露,还可实现邮件接收方抗抵赖功能。防止 收件者收件之后删除已收邮件,拒不承认收到过这样一封邮件。7.993 端口( IMAPS)993端口是为IMAPS( IMAP-over-SSL )协议服务开放的,这是IMAP协议基于 SSL 安全协议之上的一种变种协议,它继承了 SSL 安全协议的非对称加密的高度 安全可靠性,可防止邮件泄露。IMAPS和IMAP协议一样,也是用来接收邮件的, 只是更安全些,防止邮件被黑客截取泄露,还
11、可实现邮件接收方抗抵赖功能。防止 收件者收件之后删除已收邮件,拒不承认收到过这样一封邮件。iptables 工作原理Linux在2.4之后的内核中,网络防火墙的操作工具名称是iptables。其最大优点 是它可以配置有状态的防火墙,有状态的防火墙能够指定并记住为发送或接收信息 包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定 新的信息包过滤时,防火墙所使用的这些状态信息可以增加其效率和速度。iptables是用来设置、维护和检查Linux内核的IP包过滤规则的。可以定义不同 的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则 列表,对对应的包进行匹
12、配:每条规则指定应当如何处理与之相匹配的包。这被称 作“target”(目标),也可以跳向同一个表内的用户定义的链。1.iptables缺省具有5条规则链,如图1所示。2.iptables缺省具有3个规则表。Filter :用于设置包过滤;NAT :用于设置地址转换;Mangle :用于设置网络流量整形等应用。3不同的规则表由不同的规则链组成。Filter:INPUT、FORWARD、OUTPUT;NAT:PREROUTING、POSTROUTING、OUTPUT;Mangle:PREROUTING、POSTROUTING、INPUT、OUTPUT 和 FORWARDiptables 中 dp
13、ort 和 sport 的区别Iptables涉及dport和sport,两者的区别如下:dport :目的端口; sport :来源端口。按照字面意思很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。 但是在使用的时候要分具体情况来对待,这个具体情况就是你的数据包的流动行为 方式(INPUT还是0UTPUT)。例 1 : iptables -A INPUT -p tcp -dport 53 -j ACCEPT注意里面的INPUT参数,代表这条数据包的进行的进入操作。那么这条数据包可以这么描述:1.这是一条从外部进入内部本地服务器的数据;2数据包的目的(dport)端口是53,就是要
14、访问本地的53端口;3.允许以上的数据行为通过; 总结:允许外部数据访问我的本地服务器53端口。例2: iptables -A INPUT -p tcp -sport 53 -j ACCEPT1.这是一条从外部进入内部本地服务器的数据;2数据包的来源端口是(sport) 53,就是对方的数据包是53端口发送过来的; 3.允许以上数据行为; 总结:允许外部的来自80端口的数据访问我的本地服务器。in put方式总结:dport指本地,sport指外部。如果你的数据包是(OUTPUT )行为,那么就是另外一种理解方式:例4: iptables -A OUTPUT -p tcp -dport 53
15、-j ACCEPT1.这是一条从内部出去的数据。2出去的目的(dport)端口是53。3.允许以上数据行为。总结:dport只外部,sport指本地,需要看iptables的数据方式(input or output)才能最终决定这条规则的理解。iptables的部署原则iptables的部署要一定要采用适当的原则。为保证邮件系统的正常运行,在进口(INPUT )务必打开 25、80、110、143、465、993、995、109 等端口,但在 出口( OUTPUT )不要做太多限制,以免影响服务器的正常访问。iptables的部署1清除原有规则iptables -Fiptables -X2.INPU规则iptables -A INPUT -s 202.119.191.194 -p tcp -dport 22 -j ACCEPTiptables -A INPUT -p tcp -dport 80 -j ACCEPTiptables -A INPUT -p tcp -sport 53 -j ACCEPTiptables -A INPUT -p udp -sport 53 -j ACCEPTiptables -A INPUT -p tcp -dport 25 -j ACCEPTiptables -A INPUT -p tcp -dport 110 -j ACCEPT
