【文章內容簡介】 序 ?su su是用來改變當前用戶的 ID， 轉換成別的用戶。 su本身是沒有問題的，但是它會讓人養(yǎng)成不好的習慣。如果一個系統(tǒng)有多個管理員，必須都給他們 root的口令。 su的一個替代程序是 sudo 。 ?named named以前是以 root運行的 ； 只要用命令行 “ named u user name g group name” 讓 named以非 root的用戶運行 ； 現(xiàn)在絕大多數(shù) Linux的發(fā)行商都讓 named以普通用戶的權限運行。 八、 防火墻 ?防火墻是一套能夠在兩個或兩個以上的網(wǎng)絡之間，明顯區(qū)隔出實體線路聯(lián)機的軟硬件設備組合。被區(qū)隔開來的網(wǎng)絡，可以透過封包轉送技術來相互通訊，透過防火墻的安全管理機制，可以決定哪些數(shù)據(jù)可以流通，哪些資料無法流通，藉此達到網(wǎng)絡安全保護的目的。 ?iptables 指令語法： iptables [t table] mand [match] [j target/jump] 說明： * t 參數(shù)用來指定規(guī)則表，內建的規(guī)則表有三個，分別是： nat、 mangle 和 filter， 當未指定規(guī)則表時，則一律視為是 filter。 各個規(guī)則表的功能如下： nat 此規(guī)則表擁有 Prerouting 和 postrouting 兩個規(guī)則煉，主要功能為進行一對一、一對多、多對多等網(wǎng)址轉譯工作（ SNAT、 DNAT）， 由于轉譯工作的特性，需進行目的地網(wǎng)址轉譯的封包，就不需要進行來源網(wǎng)址轉譯，反之亦然，因此為了提升改寫封包的效率，在防火墻運作時，每個封包只會經(jīng)過這個規(guī)則表一次。如果我們把封包過濾的規(guī)則定義在這個數(shù)據(jù)表里，將會造成無法對同一封包進行多次比對，因此這個規(guī)則表除了作網(wǎng)址轉譯外，請不要做其它用途。 mangle 此規(guī)則表擁有 Prerouting、 FORWARD 和 postrouting 三個規(guī)則煉。 filter 這個規(guī)則表是預設規(guī)則表，擁有 INPUT、 FORWARD 和 OUTPUT 三個規(guī)則煉，這個規(guī)則表顧名思義是用來進行封包過濾的處理動作（例如： DROP、 LOG、 ACCEPT 或 REJECT）， 我們會將基本規(guī)則都建立在此規(guī)則表中。 八、 防火墻 常用命令列表： *命令 A, append 范例 iptables A INPUT ... 說明 新增規(guī)則到某個規(guī)則煉中，該規(guī)則將會成為規(guī)則煉中的最后一條規(guī)則。 *命令 D, delete 范例 iptables D INPUT dport 80 j DROP iptables D INPUT 1 說明 從某個規(guī)則煉中刪除一條規(guī)則，可以輸入完整規(guī)則，或直接指定規(guī)則編號加以刪除。 *命令 R, replace 范例 iptables R INPUT 1 s j DROP 說明 取代現(xiàn)行規(guī)則，規(guī)則被取代后并不會改變順序。 八、 防火墻 *命令 I, insert 范例 iptables I INPUT 1 dport 80 j ACCEPT 說明 插入一條規(guī)則，原本該位置上的規(guī)則將會往后移動一 個順位。 *命令 L, list 范例 iptables L INPUT 說明 列出某規(guī)則煉中的所有規(guī)則。 *命令 F, flush 范例 iptables F INPUT 說明 刪除某規(guī)則煉中的所有規(guī)則。 *命令 Z, zero 范例 iptables Z INPUT 說明 將封包計數(shù)器歸零。封包計數(shù)器是用來計算同一封包 出現(xiàn)次數(shù)，是過濾阻斷式攻擊不可或 缺的工具。 八、 防火墻 *命令 N, newchain 范例 iptables N allowed 說明 定義新的規(guī)則煉。 *命令 X, deletechain 范例 iptables X allowed 說明 刪除某個規(guī)則煉。 *命令 P, policy 范例 iptables P INPUT DROP 說明 定義過濾政策。 也就是未符合過濾條件之封包，預設的處理方式。 *命令 E, renamechain 范例 iptables E allowed disallowed 說明 修改某自訂規(guī)則煉的名稱。 八、 防火墻 常用封包比對參數(shù)： *參數(shù) p, protocol 范例 iptables A INPUT p tcp 說明 比對通訊協(xié)議類型是否相符，可以使用 ! 運算子進行反向比對，例如： p ! tcp ， 意思是指除 tcp 以外的其它類型，包含 udp、icmp ...等。如果要比對所有類型，則可以使用 all 關鍵詞，例如： p all。 *參數(shù) s, src, source 范例 iptables A INPUT s 說明 用來比對封包的來源 IP， 可以比對單機或網(wǎng)絡，比對網(wǎng)絡時請用數(shù)字來表示屏蔽，例如： s ， 比對 IP 時也可以使用 ! 運算子進行反向比對，例如： s ! 。 *參數(shù) d, dst, destination 范例 iptables A INPUT d 說明 用來比對封包的目的地 IP， 設定方式同上。 八、 防火墻 *參數(shù) i, ininterface 范例 iptables A INPUT i eth0 說明 用來比對封包是從哪片網(wǎng)卡進入，可以使用通配字符 + 來做大范圍比對，例如： i eth+ 表示所有的 ether 網(wǎng)卡，也可以使用 ! 運算子進行反向比對，例如： i ! eth0。 *參數(shù) o, outinterface 范例 iptables A FORWARD o eth0 說明 用來比對封包要從哪片網(wǎng)卡送出，設定方式同上。 *參數(shù) sport, sourceport 范例 iptables