因为21现在手上的VPS数量比较乐观（不是壮观……），因此其中有专司VPN和谐的、SSH和谐的、第三方推和谐的等用途，当然，Mr. 21博客也在其中一个VPS上，用的LNMP包。

写这个话题的起因是这样的，在北山老卫大神的Q群里面，有人提到了想以SSH和谐帐号来换取一些东西，因此引发了21对此的讨论。我的主要观点是不支持这么做，因为不安全（可以参考《利用Linux内核的多个安全漏洞提权》，不过本文内容与此关系不大），加上之前帮番茄童鞋配置iptables，因此引发了21对SSH和谐主机安全方面的思考，其中的一方面就是用iptables来过滤不和谐的东西。

是这样的，因为做实验的这个VPS我只用于SSH和谐，并且一般和谐仅限于Web浏览及各种基于Web的应用，所以，以下策略仅开放SSH的22端口并对其它的东西做了相应的限制。

初始化防火墙

第一步，我们总是要把一些知道的和不知道的先通通打倒了再说，于是，请如此：

1
2
3
4
5
6
7
8
9

#清除现有的规则
~#: iptables -F
~#: iptables -X
~#: iptables -Z
 
#设定默认策略为丢弃包
~#: iptables -P FORWARD DROP
~#: iptables -P OUTPUT DROP
~#: iptables -P INPUT DROP

以上是一些初始化的动作，以下是具有具体功能的策略。

防火墙规则参考一

1
2
3
4
5
6
7
8
9
10
11
12
13
14

#允许本地回环
~#: iptables -A INPUT -i lo -p all -j ACCEPT
 
#允许22端口接受连接
~#: iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
#允许传入的数据包状态
~#: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#允许传出的数据包状态
~#: iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
#允许传入PING的ICMP包
~#: iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

这几条规则实现的效果是：

1. 22端口允许用户主动发起TCP连接，一般用于提供SSH服务，如果你的SSH端口不是22，请修改；
2. 其它端口需要ESTABLISHED、RELATED两种状态的数据包才能通过，而通常这两种状态的数据包在TCP协议上的定义是已经建立了连接的后续数据包，也就说，别人无法对你的任何端口主动发起连接，但是由你主动发起连接的数据包可以通过，比如说看网页的数据；
3. 包状态NEW允许SSH用户对外的主动发起连接；
4. 允许外部用户PING本机，这个嘛，方便自己测试，要不挂了都不知道。
5. 关于数据包状态，我是参考这里 http://liubin.blog.51cto.com/282313/110394 。

这样，虽然防住了外面进来的问题，但一定程度上来说，用户通过SSH登录以后就可以干他想干的事情了，对于应用的范围不能达到一个控制的目的，比如说，我前面提到的“一般和谐仅限于Web浏览及各种基于Web的应用”，是的，和谐嘛，也就是用这些了，顶天了再来个FTP或者跳板另外的SSH，于是，21便想到了稍微BT一点的限制，请看参考二。

防火墙规则参考二

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

#允许本地回环
~#: iptables -A INPUT -i lo -p all -j ACCEPT
 
#允许22端口的数据进出
~#: iptables -A INPUT -p tcp --dport 22 -j ACCEPT
~#: iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
#允许状态正常的数据包进入
~#: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#允许访问外部的80、81、8080、443等端口
~#: iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
~#: iptables -A OUTPUT -p tcp --dport 81 -j ACCEPT
~#: iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT
~#: iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
 
#允许UDP数据包外发，由于浏览器发起的是1024~65536之间的随机端口，无法限制为具体端口
~#: iptables -A OUTPUT -p udp -j ACCEPT
 
#允许PING测试的数据包进出
~#: iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
~#: iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

好吧，规则二实际上能实现跟规则一差不多的效果，就是让SSH和谐用户能正常浏览Web内容及使用Web应用，那区别在哪里呢？之前提到了规则一的SSH用户只要登录进系统，就可以对外发起任何连接了，而规则二只允许用户发起目标端口为80、81、8080、443(https)的TCP连接和任意UDP连接，这样就能有效的限制用户对于SSH的应用范围。

小结

基本上，两个规则都实现了主机仅提供SSH服务（参考一）用于浏览网页（参考二）的目的，并且使用iptables对服务器的其它端口都进行了一些屏蔽，同时提供两种规则方式来实现不同的需求，实际上仅仅这样还是不够的，因为让用户登录到shell里面毕竟还是有一定风险的，特别是一些弱密码的用户也有被暴力猜解的风险，我个人是使用fail2ban的方案来解决暴力猜解的问题，请参考《小内存优化VPS的LNMP及fail2ban配置》，同时还有denyhosts也是用于防止暴力猜解的，可以参考：《Linux VPS上DenyHosts阻止SSH暴力攻击》。

以上内容是21这两天闲来无事的个人研究成果，才疏学浅难免存在一些不合理或不够精简的地方，如果你有任何意见，请留言指教，谢谢。

-EOF-

——————–
参考引用：
1. Google: http://www.google.com/ncr
2. iptables 状态机制的描述：http://liubin.blog.51cto.com/282313/110394
3. 定制iptables防火墙策略：http://ailixing.blog.51cto.com/188828/37309

由于工作需要，
需要访问布置了RealVNC的一堆Windows服务器进行日常维护管理，
其中，服务器安装了RealVNC Enterprise Edition v4.3.2, 客户端为Ubuntu 8.10，

关于安装的VNC viewer，
可以说新立得里面有的，我全部都安装测试了，没有一个能用！

不论是直接执行还是通过“终端伺服器用户端”调用，
统统报告“No match security type”（没有匹配的安全类型），
头大了，
虽然可以通过RDP连接到终端桌面，但那是虚拟桌面，且服务器只布置了VNC，

经过翻阅新立得的程序说明和各类资料，
发现主要是协议问题，RFB的版本过低，新立得里的Viewer最高只能支持RFB 3.8，
但是RealVNC Enterprise Edition v4.3.2使用的是RFB 4.0，
问题知道了，但是哪里去找支持RFB 4.0的Viewer呢？又折腾了半天~

最终，在RealVNC网站找到二进制(bin)的客户端，
有各个OS的Viewer，包括Solaris, Windows, Linux etc, 就是不提供Source，

不过，好在问题解决了，
下载了对应的4.3.2的Viewer，并同时测试了最新的4.4.2的Viewer，
都支持RFB 4.0，OK，问题解决。

后来发现，
新立得里面提供的几个Viewer似乎是RealVNC释出的免费版本（Free edition）使用的源码，
而官方提供的最高版本为：VNC Free Edition 4.1。

结论：以后遇到高版本RFB的VNC Server，试试RealVNC最新的Viewer吧~

下载： http://www.realvnc.com/cgi-bin/download.cgi （填写表单后就出来了）

We’re happy to announce that a new version of WordPress is now available for download. This set of improvements and security fixes is in line with our commitment to maintaining an extremely stable 1.5 series. In addition to fixing a number of bugs and adding requested enhancements for plugin authors, this release also addresses all of the security issues that have been circulating the past few days.

This is a very straight-forward upgrade, you just need to upload the new files over the old, but as always the Codex is the best resource on upgrading.

哎，又见安全问题，不过，修了就好。
咱这小Blog也不会有人来黑着玩的，不像桑林志那么危险……
中午就给Upgrade了吧~~

顺带给WP的Newcomer说一下怎么升级，
一般人都害怕把制作的模板，插件什么的给弄丢了，关键还有数据库上的问题。

1. 下载1.5.2的包，解压了
2. 进入1.5.2的目录，删除wp-content目录
3. 进入wp-admin，删除install.php、install-helper.php、setup-config.php（import-*.php也可以选择删除，那些是用来导入其它Blog程序数据的）
4. 上传完以后，访问readme.html，执行Upgrade，升级完毕后，进入服务器FTP里面的wp-admin目录删除upgrade.php、upgrade-functions.php、upgrade-schema.php
5. 升级完毕（删除那些php文件属于安全范畴，也可以选择不删）

相关：
WordPress 1.5.2: http://wordpress.org/latest.tar.gz

文中提到：

分析认为，现在的“博客网站”主要有以下安全漏洞：
　　一是内容发布系统管理，基于博客倡导的自由化、个性化，只要用户进行身份认证便可以发放信息，以至于任何人都可利用内容发布嵌入恶意代码；
　　二是回帖，不少博客网站的个人博客不需要登录即可直接回复，且回帖内容也几乎没有任何审核，这比BBS更让黑客得心应手，黑客很有可能通过匿名回复将病毒链接在一个高访问量的个人博客后；
　　三是附加功能，追求与众不同是人的天性，不少博客为了吸引用户，在个人博客设置上增加了背景音乐等功能，这些高级功能一方面使博客变得更加丰富多彩，但另一方面无疑给了黑客另一个工具，黑客可以将这些功能作为病毒代码的替代品，植入木马也可做得更加隐蔽。

我认为：

1. 本来BLOG就是基于HTML的，只要HTML能做的事，在BLOG上自然也没问题。但是为什么你的浏览器就害怕恶意代码呢？
   因为你的浏览器不够安全，你的升级不够勤快，你的系统不够坚固，你的安全不够水平.. .. ..
   那能怪谁？只能怪你丫水平/运气都不好才会中招，我的系统用了半年，什么问题都没有.. .. ..
2. 我打赌这家伙肯定不懂“SNS”是个什么概念。
   作为一种开放/交流模式的BLOG，如果你需要验证、需要注册，那谁还光顾BLOG？BBS不就够用了吗？！
   至于所谓的“病毒连接”，如果单纯做一个LINKS，那只有笨蛋才会乱点，就算点进去了，也只有第一条描述的人才会中毒，而且回复是可以限制的，谁说用回复就可以使用全部HTML代码的？
   而且，个人主页就没这问题了吗？就算有，就算很严重，现在不也蓬勃发展么！
3. 说到这里了，发现这段就纯粹废话了，还是在重复第一条。所谓的什么背景音乐，一样是个人主页可以做到的，为什么不也提一下？再说了，还是那句话，能中毒的都是“因为你的浏览器不够安全，你的升级不够勤快，你的系统不够坚固，你的安全不够水平.. .. ..”
   更何况，如果一个站点有问题，那还有谁光顾？如果BLOG作得精彩，那谁舍得放木马？如果放了木马丢了用户，那那丫还开BLOG做什么？

所以，结论就是：文章的作者吃饱了撑的.. .. ..

最近云南这边据说要举办一个比赛，据说还有照顾的那种，不知道是不是欺骗学生感情，这次泼水节游7天假期，说是给我们这点时间，有点兴趣的弄点东西，获奖了高考就不愁了~
看了一下说明，说是叫“2005年中学生电脑制作比赛”，参赛的东西包括了一大堆，大家还是自己看吧~~嘿嘿~
参赛说明（DOC格式）