该文档总结了分销商城的安全配置
利用aliyun云盾服务,防DDOS/CC攻击工具,linux自带的IPtables
服务器OS:CentOS 7
应用:mariadb-5.5,nginx-1.8,tomcat-8.0,php-5.6
系统补丁,应用漏洞补丁;处理方式:忽略/修复/验证
DDoS-Deflate是一款非常小巧的防御和减轻DDoS攻击的工具,它可以通过监测netstat来跟踪来创建大量互联网连接的IP地址信息,通过APF或IPTABLES禁止或阻档这些非常IP地址。
3.2.1 下载软件包
wget http://www.inetbase.com/scripts/ddos/install.sh
3.2.2 授权运行
chmod +x install.sh
./install.sh (默认安装位置为/usr/local/ddos)
3.2.3 配置文件
ddos.conf:DDoS-Deflate 的配置文件,其中配置防止ddos时的各种行为
ddos.sh:DDoS-Deflate 的主程序,使用shell编写的,整个程序的功能模块
Ignore.ip.list:白名单,该文件中的ip超过设定的连接数时,也不被 DDoS-Deflate 阻止
LICENSE:DDoS-Deflate 程序的发布协议
3.2.4 配置文件修改
此配置的结果为,在检测到同一IP150次以上的请求时,会自动把该IP地址添加到iptables阻止列表里面,生成一条规则
3.2.5 验证
为了方便验证,我们把NO_OF_CONNECTIONS=150改为3次;用xshell同时开三个以上的对话框
因为CentOS 7 采用的是firewalld防护墙方式;所以我们先要关闭此服务。
Systemctlstop firewalld.service
Sytemctldisable firewalld.service
安装iptables-services服务
清空默认规则并初始化
默认规则:
上面的规则意思是INPUT/FORWARD/OUTPUT默认为全部拒绝,;然后再开放想要允许的端口或IP;比较安全
规则设置:
允许192.168.1.0/24网段的主机访问22端口
允许访问web服务
第一条:允许本机回环接口
第二条:允许已建立的或相关连接通过
第三条:允许本机所有向外的通信
第四条:允许访问80端口
允许本地访问mysql,禁止外部访问
保存规则
Iptables-save> /etc/sysconfig/iptables
此安全配置严格按照生产坏境配置来的,可根据往后的情况进行修改/扩展;在iptables规则上的把控相对严格。需要注意点的一点是因为环境是LNTMP(nginx/tomcat/mysql/php)的,所以需要在iptables规则配置的时候考虑到nginx动静分离到php和tomcat上的端口号。
本文出自 “之乎者也” 博客,请务必保留此出处http://luoj5.blog.51cto.com/9389984/1831560
原文地址:http://luoj5.blog.51cto.com/9389984/1831560
