安全管理：Linux 下的白名单防护设置（linux白名单）

Linux 系统作为当今最受欢迎的服务器操作系统，服务器的安全性及时间反应性是系统正确运行的重要因素。白名单技术是目前安全管理的一种重要手段，它具有抗攻击性强，且反应速度快的特点，其原理是只允许经过列入白名单的应用程序及服务执行，并且高度定制、迅速、易维护等优点，对保证Linux系统的安全管理，起到仙那费重要的作用。

在Linux下的白名单设置实现的方法如下：

1. 配置系统加固：最好禁止root远程登录，缩短登录空间；使用安全管理工具，例如Tripwire或OSSEC；

2. 定义策略内容：列出系统中运行的需要白名单保护的程序及服务；

3. 白名单编写：可以使用如下代码：

#检查系统运行的程序
$ ps -ef

#在已运行的程序中排除不需要进行白名单保护的程序
$ grep -v 不需要白名单保护的程序名
#编写白名单
$ cat >> /etc/hosts.allow 
sshd : 白名单IP地址 
amazon-httpd: 白名单IP地址 
EOF

#编写黑名单
$ cat >> /etc/hosts.deny 
sshd : 黑名单IP地址 
amazon-httpd: 黑名单IP地址 
EOF

4. 开启iptables服务

安装iptables：

# Centos
$ yum install -y iptables-services

# Ubuntu
$ apt install iptables

允许指定的IP访问服务：

$ iptables -A INPUT -p tcp --dport 端口号 -s IP地址 -j ACCEPT 

禁止指定的IP访问服务：

$ iptables -A INPUT -p tcp --dport 端口号 -s IP地址 -j DROP

白名单设置可以对Linux系统进行严格的安全管理，但这种设置也有一定的局限性：一方面，要求系统的安全工程师具有较高的技术水平；另一方面，它只能限制访问IP，而无法限定网络中攻击方法等。因此，要想有效抵御网络安全风险，Linux系统护照需要同时采用其它手段如应用安全技术、主机安全防护技术等。