lamp安全加固

apache方面:
1.修改banner
编译源代码，修改默认的banner
ServerTokens ProductOnly
ServerSignature Off
在apache的源码包中找到ap_release.h将
#define AP_SERVER_BASEPRODUCT “Apache”
修改为
#define AP_SERVER_BASEPRODUCT “Microsoft-IIS/6.0”
os/unix下的os.h文件
#define PLATFORM “Unix”
修改为
#define PLATFORM “Win32“
2.修改默认的http状态响应码404,503等默认页面
3.Apache的访问权限控制
htpasswd -b -c /(存放密码文件路径)/.htpasswd username password
Alias /hack “/var/www/html/hack/”
<Directory “/var/www/html/hack”>
authname “test”
authtype basic
authuserfile /var/www/html/hack/.htpasswd
require user kindle
</Directory>
4.关闭危险指令
清除FollowSymlinks指令
关闭索引目录
Options Indexes FollowSymLinks
关闭CGI执行程序
5.open_basedir 限制目录
用法:php_admin_value open_basedir /var/www
php_admin_value open_basedir 引起的上传文件失败解决方法
将上传文件的临时目录加入到php_admin_value open_basedir后面，最后看起来是这样的：
<VirtualHost *:80>
php_admin_value open_basedir “/usr/local/apache/htdocs/www/:/tmp/”
</VirtualHost>
注意：两个目录之间是冒号隔开。
把PHP脚本操作限制在web目录可以避免程序员使用copy函数把系统文件拷贝到web目录。 move_uploaded_file不受open_basedir的限制，所以不必修改php.ini里upload_tmp_dir的值。
6.掌握Apache的Order Allow Deny判断原则
1. 首先判断默认的；
2. 然后判断逗号前的；
3. 最后判断逗号后的；
4. 最终按顺序叠加而得出判断结果。
ex:
apache的php扩展名解析漏洞
<Files ~ ”.(php.|php3.)”>
Order Allow,Deny
Deny from all
</Files>
apache设置上传目录无执行权限
<Directory “/www/home/upload”>
<Files ~ “.php”>
Order allow,deny
Deny from all
</Files>
</Directory>
7.mod_rewrite重写URL
重写规则的作用范围
1．使用在Apache主配置文件httpd.conf中。
2．使用在httpd.conf里定义的配置中。
3．使用在基本目录的跨越配置文件.htaccess中。
1.url重定向80到443端口
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^/?(.*)$ https://www.kindle.com/$1 [L,R]
含义是这样的：为了让用户访问传统的http://转到https://上来，用了一下rewrite规则:
第一句：启动rewrite引擎
第二句：rewrite的条件是访问的服务器端口不是443端口
第三句：这是正则表达式，^是开头，$是结束，/?表示有没有/都可以（0或1个），(.*)是任何数量的任意字符
整句的意思是讲：启动rewrite模块，将所有访问非443端口的请求，url地址内容不 变，将http://变成https://
9.Speling模块去除url大小写
确认speling模块存在并已加载
启动speling
<Directory “/usr/local/downloads”>
CheckSpelling .
AllowOverride None
Order allow,deny
Allow from all
</Directory>
8. Limit模块限制IP连接数
下载模块 http://dominia.org/djao/limit/mod_limitipconn-0.04.tar.gz
安装:
tar zxvf mod_limitipconn-0.04.tar.gz
cd mod_limitipconn-0.04
make APXS=/usr/local/apache/bin/apxs   ß—–这里要按你自己的路径设置
make install APXS=/usr/local/apache/bin/apxs ß—–这里要按你自己的路径设置
编辑httpd.conf
添加
全局变量:
< IfModule mod_limitipconn.c >
< Location / >    # 所有虚拟主机的/目录
MaxConnPerIP 3      # 每IP只允许3个并发连接
NoIPLimit image/*   # 对图片不做IP限制
< /Location >
< Location /mp3 >   # 所有主机的/mp3目录
MaxConnPerIP 1          # 每IP只允许一个连接请求
OnlyIPLimit audio/mpeg video     # 该限制只对视频和音频格式的文件
< /Location >
< /IfModule >
9.让apache支持安全HTTPS协议
yum -y install mod_ssl
cd /etc/httpd/conf     进入HTTP服务器配置文件所在目录
rm -rf ssl.*/server.*   删除默认或残留的服务器证书相关文件
rpm -qa |grep openssl
openssl genrsa -out www.kindle.com.key 1024 建立服务器密钥
openssl req -new –key www.kindle.com.key -out www.kindle.com.csr 建立服务器公钥
openssl x509 -req -days 365 -in www.kindle.com.csr -signkey www.kindle.com.key -out www.kindle.com.crt 建立服务器证书
/etc/rc.d/init.d/httpd restart  重启服务
netstat -ntpl |grep 443
可以到http://www.startssl.com获 取合法证书(免费)
10.安装配置mod_security
下载：http://www.modsecurity.org/download/modsecurity-1.8.7.tar.gz
http://fedoranews.org/jorge/mod_security/mod_security.conf
安装：下载到/opt/soft目录下。
# tar –zxvf modsecurity-1.8.7.tar.gz
# cd modsecurity-1.8.7
#cd apache2
# /opt/apache/bin/ apxs -cia mod_security.c
#copy mod_security.conf /opt/apache/conf
配置：
在/opt/apache/conf/httpd.conf中添加下面一行：
Include conf/mod_security.conf
/opt/apache/bin/apachectl stop
/opt/apache/bin/apachectl startssl
更详细的mod_security的配置
http://www.modsecurity.org/docum … ultipage/index.html
Php方面:
1.打开php的安全模式
php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，同时把很多文件操作函数进行了权限控制，也不允许对 某些关键文件的文件，比如/etc/passwd但是默认的php.ini是没有打开安全模式的，我们把它打开：safe_mode = on
当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同组的用户也能够对文件进行访问。建议设置 为：safe_mode_gid = off
如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要对文件进行操作的时候。
2.安全模式下执行程序主目录
如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录:safe_mode_exec_dir = D:/usr/bin
一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，然后把需要执行的程序拷贝过去，比 如：safe_mode_exec_dir = D:/tmp/cmd
但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：
safe_mode_exec_dir = D:/usr/www
3.安全模式下包含文件
如果要在安全模式下包含某些公共文件，那么就修改一下选项：
safe_mode_include_dir = D:/usr/www/include/
其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。
4.控制php脚本能访问的目录
使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问.不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目 录：
open_basedir = /var/www/html
5.关闭危险函数
如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的 phpinfo()等函数，那么我们就可以禁止它们：
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作
disable_functions = phpinfo,exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source
以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，
就能够抵制大部分的phpshell了。
注:disable_classes可以禁用某些类，如果有多个用逗号分隔类名
6.关闭PHP版本信息在http头中的泄漏
我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：
expose_php = Off
比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。
7.关闭注册全局变量
在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册 为全局变量，就把注册全局变量选项关闭：
register_globals = Off
当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，那么就要用$_GET[‘var’]来进行获取，这个 php程序员要注意。
8.打开magic_quotes_gpc来防止SQL注入
SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini中有一个设置：
magic_quotes_gpc = Off
这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ‘ 转为 ’等，这对防止sql注射有重大作用。所以我们推荐设置为：
magic_quotes_gpc = On
9.错误信息控制
一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包 含php脚本当前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：
display_errors = Off
如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：
error_reporting = E_WARNING & E_ERROR
当然，我还是建议关闭错误提示。
10.错误日志
建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：
log_errors = On
同时也要设置错误日志存放的目录，建议根apache的日志存在一起：
error_log = D:/usr/local/apache2/logs/php_error.log
注意：给文件必须允许apache用户的和组具有写的权限。
11.关闭远程文件打开
allow_url_fopen = off
防止黑客远程远程包含漏洞
12.Php.ini包含补丁文件
在php.ini中引用。在配置文件内引用的话，将影响到所以的网站，包含所有页面
在php.ini中，找到此节：
; Automatically add files before or after any PHP document.
;auto_prepend_file = “phpids.php”
;auto_append_file = “alert.php”
默认是空，请添加所包含的文件。同时找到：
; UNIX: “/path1:/path2″
;include_path = “.:/php/includes”
;
; Windows: “path1;path2″
include_path = “.;F:PHPnowhtdocs”13.使用Suhosin保护PHP应用系统，具体参考http://www.hardened-php.net/suhosin/configuration.html
mysql方面:
1.修改root用户口令，删除空口令
缺省安装的MySQL的root用户是空密码的，为了安全起见，必须修改为强密码，所谓的强密码，至少8位，由字母、数字和符号组成的不规律密码。使用 MySQL自带的命令mysaladmin修改root密码，同时也可以登陆数据库，修改数据库mysql下的user表的字段内 容，修改方法如下所示：
# /usr/local/mysql/bin/mysqladmin -u root password “upassword” //使用mysqladmin
#mysql> use mysql;
#mysql> update user set password=password(‘upassword’) where user=’root’;
#mysql> flush privileges; //强制刷新内存授权表，否则用的还是在内存缓冲的口令
2.删除默认数据库和数据库用户
一般情况下，MySQL数据库安装在本地，并且也只需要本地的php脚本对mysql进行读取，所以很多用户不需要，尤其是默认安装的用户。MySQL初 始化后会自动生成空用户和test库，进行安装的测试，这会对数据库的安全构成威胁，有必要全部删除，最后的状态只保留单个root即可，当然以后根据需 要增加用户和数据库。
#mysql> show databases;
#mysql> drop database test; //删除数据库test
#use mysql;
#delete from db; //删除存放数据库的表信息，因为还没有数据库信息。
#mysql> delete from user where not (user=’root’) ; // 删除初始非root的用户
#mysql> delete from user where user=’root’ and password=”; //删除空密码的root，尽量重复操作
Query OK, 2 rows affected (0.00 sec)
#mysql> flush privileges; //强制刷新内存授权表。
3.改变默认mysql管理员帐号
4.关于密码的管理
密码是数据库安全管理的一个很重要因素，不要将纯文本密码保存到数据库中。如果你的计算机有安全危险，入侵者可以获得所有的密码并使用它们。相反，应使用 MD5()、SHA1()或单向哈希函数。也不要从词典中选择密码，有专门的程序可以破解它们，请选用至少八位，由字母、数字和符号组成的强密码。在存取 密码时，使用mysql的内置函数password（）的sql语句，对密码进行加密后存储。例如以下方式在users表中加入新用户。
#mysql> insert into users values (1,password(1234),’test’);
5.使用独立用户运行msyql
绝对不要作为使用root用户运行MySQL服务器。这样做非常危险，因为任何具有FILE权限的用户能够用root创建文件(例 如，~root/.bashrc)。mysqld拒绝使用root运行，除非使用–user=root选项明显指定。应该用普通非特权用户运行 mysqld。正如前面的安装过程一样，为数据库建立独立的linux中的mysql账户，该账户用来只用于管理和 运行MySQL。
要想用其它Unix用户启动mysqld，，增加user选项指定/etc/my.cnf选项文件或服务器数据目录的my.cnf选项文件中的 [mysqld]组的用户名。
#vi /etc/my.cnf
[mysqld]
user=mysql
该命令使服务器用指定的用户来启动，无论你手动启动或通过mysqld_safe或mysql.server启动，都能确保使用mysql的身份。也可以 在启动数据库是，加上user参数。
# /usr/local/mysql/bin/mysqld_safe –user=mysql &
作为其它linux用户而不用root运行mysqld，你不需要更改user表中的root用户名，因为MySQL账户的用户名与linux账户的用户 名无关。确保mysqld运行时，只使用对数据库目录具有读或写权限的linux用户来运行。
6.禁止远程连接数据库
在命令行netstat -ant下看到，默认的3306端口是打开的，此时打开了mysqld的网络监听，允许用户远程通过帐号密码连接数本地据库，默 认情况是允许远程连接数据的。为了禁止该功能，启动skip-networking，不监听 sql的任何TCP/IP的连接，切断远程访问的权利，保证安全性。假如需要远程管理数据库，可通过安装PhpMyadmin来实现。假如确实需要远程连 接数据库，至少修改默认的监听端口，同时添加防火墙规则，只允许可信任的网络的mysql监听端口的数据通过。
# vi /etc/my.cf
将#skip-networking注释去掉。
# /usr/local/mysql/bin/mysqladmin -u root -p shutdown //停止数据库
#/usr/local/mysql/bin/mysqld_safe –user=mysql & //后台用mysql用户启动mysql
7.限制连接用户的数量
数据库的某用户多次远程连接，会导致性能的下降和影响其他用户的操作，有必要对其进行限制。 可以通过限制单个账户允许的连接数量来实现，设置my.cnf文件的mysqld中的max_user_connections变量来完成。GRANT语 句也可以支持 资源控制选项来限制服务器对一个账户允许的使用范围。
#vi /etc/my.cnf
[mysqld]
max_user_connections 2
8.用户目录权限限制
默认的mysql是安装在/usr/local/mysql，而对应的数据库文件在/usr/local/mysql/var目录下，因此，必须保证该目 录不能让未经授权的用户访问后把数据库打包拷贝走了，所以要限制对该目录的访问。确保mysqld运行时，只使用对数据库目录具有读或写权限的linux 用户来运行。
# chown -R root  /usr/local/mysql/  //mysql主目录给root
# chown -R mysql.mysql /usr/local/mysql/var //确保数据库目录权限所属mysql用户
9.命令历史记录保护
数据库相关的shell操作命令都会分别记录在.bash_history，如果这些文件不慎被读取，会导致数据库密码和数据库结构等信息泄露，而登陆数 据库后的操作将记录在.mysql_history文件中，如果使用update表信息来修改数据库用户密码的话，也会被读取密码，因此需要删除这两个文 件，同时在进行登陆或备份数据库等与密码相关操作时，应该使用-p参数加入提示输入密码后，隐式输入密码，建议将以上文件置空。
# rm .bash_history .mysql_history  //删除历史记录
# ln -s /dev/null .bash_history   //将shell记录文件置空
# ln -s /dev/null .mysql_history  //将mysql记录文件置空
10.禁止MySQL对本地文件存取
在mysql中，提供对本地文件的读取，使用的是load data local infile命令，默认在5.0版本中，该选项是默认打开的，该操作令会利用MySQL把本地文件读到数据库中，然后用户就可以非法获取敏感信息了，假如 你不需要读取本地文件，请务必关闭。应该禁止MySQL中用“LOAD DATA LOCAL INFILE”命令。网络上流传的一些攻击方法中就有用它LOAD DATA LOCAL INFILE的，同时它也是很多新发现的SQL Injection攻击利用的手段！黑客还能通过使用LOAD DATALOCAL INFILE装载“/etc/passwd”进一个数据库表，然后能用SELECT显示它，这个操作对服务器的安全来说，是致命的。可以在my.cnf中 添加local-infile=0，或者加参数local-infile=0启动mysql。
#/usr/local/mysql/bin/mysqld_safe –user=mysql –local-infile=0 &
#mysql> load data local infile ’sqlfile.txt’ into table users fields terminated by ‘,’;
#ERROR 1148 (42000): The used command is not allowed with this MySQL version
–local-infile=0选项启动mysqld从服务器端禁用所有LOAD DATA LOCAL命令，假如需要获取本地文件，需要打开，但是建议关闭。
11.MySQL服务器权限控制
MySQL权限系统的主要功能是证实连接到一台给定主机的用户，并且赋予该用户在数据库上的SELECT、INSERT、UPDATE和DELETE等权 限（详见user超级用户表）。它的附加的功能包括有匿名的用户并对于MySQL特定的功能例如LOAD DATA INFILE进行授权及管理操作的能力。
管理员可以对user，db，host等表进行配置，来 控制用户的访问权限，而user表权限是超级用户权限。只把user表的权限授予超级用户如服务器或数据库主管是明智的。对其他用户，你应该把在user 表中的权限设成’N’并且仅在特定数据库的基础上授权。你可以为特定的数据库、表或列授 权，FILE权限给予你用LOAD DATA INFILE和SELECT … INTO OUTFILE语句读和写服务器上的文件，任何被授予FILE权限的用户都能读或写MySQL服务器能读或写的任何文件。(说明用户可以读任何数据库目录 下的文件，因为服务器可以访问这些文件）。 FILE权限允许用户在MySQL服务器具有写权限的目录下创建新文件，但不能覆盖已有文件在user表的File_priv设置Y或N。，所以当你不需 要对服务器文件读取时，请关闭该权限。
#mysql> load data infile ’sqlfile.txt’ into table loadfile.users fields terminated by ‘,’;
Query OK, 4 rows affected (0.00 sec) //读取本地信息sqlfile.txt’
Records: 4  Deleted: 0  Skipped: 0  Warnings: 0
#mysql> update user set File_priv=’N’ where user=’root’; //禁止读取权限
Query OK, 1 row affected (0.00 sec)
Rows matched: 1  Changed: 1  Warnings: 0
mysql> flush privileges; //刷新授权表
Query OK, 0 rows affected (0.00 sec)
#mysql> load data infile ’sqlfile.txt’ into table users fields terminated by ‘,’; //重登陆读取文件
#ERROR 1045 (28000): Access denied for user ‘root’@’localhost’ (using password: YES) //失败
# mysql> select * from loadfile.users into outfile ‘test.txt’ fields terminated by ‘,’;
ERROR 1045 (28000): Access denied for user ‘root’@’localhost’ (using password: YES)
为了安全起见，随时使用SHOW GRANTS语句检查查看谁已经访问了什么。然后使用REVOKE语句删除不再需要的权限。
12.使用chroot方式来控制MySQL的运行目录
Chroot是linux中的一种系统高级保护手段，它的建立会将其与主系统几乎完全隔离，也就是说，一旦遭到什么问题，也不会危及到正在运行的主系统。 这是一个非常有效的办法，特别是在配置网络服务程序的时候。
13.关闭对无关的Web程序访问的支持
如果不打算让Web访问使用MySQL数据库，没有提供诸如PHP这样的Web语言的时候，重新设置或编译你的PHP，取消它们对MySQL的默认支持。 假如服务器中使用php等web程序，试试用Web形式非法的请求，如果得到任何形式的MySQL错误，立即分析原因，及时修改Web程序，堵住漏洞，防 止MySQL暴露在web面前。
对于Web的安全检查，在MySQL官方文档中这么建议，对于web应用，至少检查以下清单：
试试用Web形式输入单引号和双引号(‘’’和‘”’)。如果得到任何形式的MySQL错误，立即分析原因。
试试修改动态URL，可以在其中添加%22(‘”’)、%23(‘#’)和%27(‘’’)。
试试在动态URL中修改数据类型，使用前面示例中的字符，包括数字和字符类型。你的应用程序应足够安全，可以防范此类修改和类似攻击。
试试输入字符、空格和特殊符号，不要输入数值字段的数字。你的应用程序应在将它们传递到MySQL之前将它们删除或生成错误。将未经过检查的值传递给 MySQL是很危险的！
将数据传给MySQL之前先检查其大小。
用管理账户之外的用户名将应用程序连接到数据库。不要给应用程序任何不需要的访问权限。
14.数据库备份策略
使用 mysqldump进行备份非常简单，如果要备份数据库” nagios_db_backup ”，使用命令，同时使用管道gzip命令对备份文件进行压缩，建议使用异地备份的形式，可以采用Rsync等方式，将备份服务器的目录挂载到数据库服务 器，将数据库文件备份打包在，通过crontab定时备份数据：
#!/bin/sh
time=`date +”(“%F”)”%R`
$/usr/local/mysql/bin/mysqldump -u nagios -pnagios nagios | gzip >/home/sszheng/nfs58/nagiosbackup/nagios_backup.$time.gz
# crontab -l
# m h  dom mon dow   command
00 00 * * * /home/sszheng/shnagios/backup.sh
恢复数据使用命令：
gzip -d nagios_backup.(2008-01-24)00:00.gz
nagios_backup.(2008-01-24)00:00
#mysql –u root -p nagios       <  /home/sszheng/nfs58/nagiosbackup/nagios_backup.(2008-01-24)12:00
15. Mysqld安全相关启动选项
–local-infile[={0|1}]
如果用–local-infile=0启动服务器，则客户端不能使用LOCAL in LOAD DATA语句。
–old-passwords
强制服务器为新密码生成短(pre-4.1)密码哈希。当服务器必须支持旧版本客户端程序时，为了保证兼容性这很有用。
(OBSOLETE) –safe-show-database
在以前版本的MySQL中，该选项使SHOW DATABASES语句只显示用户具有部分权限的数据库名。在MySQL 5.1中，该选项不再作为现在的 默认行为使用，有一个SHOW DATABASES权限可以用来控制每个账户对数据库名的访问。
–safe-user-create
如果启用，用户不能用GRANT语句创建新用户，除非用户有mysql.user表的INSERT权限。如果你想让用户具有授权权限来创建新用户，你应给 用户授予下面的权限：
mysql> GRANT INSERT(user) ON mysql.user TO ‘user_name’@’host_name’;
这样确保用户不能直接更改权限列，必须使用GRANT语句给其它用户授予该权限。
–secure-auth
不允许鉴定有旧(pre-4.1)密码的账户。
16.information_schema 安全
在用户角度来看，INFORMATION_SCHEMA只是一个以插件方式存在的存储引擎，编译安装的时候
–disable-information-schema 就行了
added TRIGGER_ACL check for I_S.TRIGGERS
http://bugs.mysql.com/bug.php?id=38837
http://bugs.mysql.com/bug.php?id=27629
Phpmyadmin里隐藏方法
$cfg[‘servers’][$i][‘hide_db’] = ‘information_schema’;
再用vsftpd结合pam_mysql基本上一个web服务器大致就完工了
Iptables方面:
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -i lo -j ACCEPT
iptables -P INTPUT DROP
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp -dport 80 -m recent -name BAD_HTTP_ACCESS -update -seconds 60 -hitcount 30 -j REJECT
iptables -A INPUT -p tcp -dport 80 -m recent -name BAD_HTTP_ACCESS -set -j ACCEPT
iptables -P OUTPUT DROP
iptables  -A OUTPUT -p tcp –sport 80 -j ACCEPT
iptables  -A OUTPUT -p tcp –sport 21 -j ACCEPT
iptables  -A OUTPUT -p tcp –sport 22 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -dport 80 -m recent -name BAD_HTTP_ACCESS -update -seconds 60 -hitcount 30 -j REJECT
iptables -A INPUT -p tcp -dport 80 -m recent -name BAD_HTTP_ACCESS -set -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
如果您还不放心的话，最后用各类安全扫描工具扫描下服务器是否存在其他漏洞