仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 469|回复: 8
打印 上一主题 下一主题

[其他Linux] 来一发Linux服务器平安必要注重到几点事项小结

[复制链接]
小妖女 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 11:45:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
使用gcc或g++进行编译,使用gdb进行调试;
①起首要包管本人的服务器的相对平安,root暗码我一样平常设置为28位以上,并且某些主要的服务器必需只要几团体晓得root暗码,这个依据公司权限来设置,假如有公司的体系办理员去职,root暗码必定要变动;玩linux久了的人都应当晓得,变动root暗码不会影响linux的crontab企图义务,而windows2003就纷歧样了,假如随便变动administrator暗码,会间接影响其企图义务运转。

②我的Nagios外网监控服务器,刚入手下手测试时取的暗码是redhat,放进公网一天就被人改了,忧郁逝世了;厥后情况部署成熟今后发明仍旧有很多外网ip在扫描和探索,看来不必点工具不可啊;呵呵,DenyHosts是用Python2.3写的一个程序,它会剖析/var/log/secure等日记文件,当发明统一IP在举行屡次SSH暗码实验时就会纪录IP到/etc/hosts.deny文件,从而到达主动屏障该IP的目标。
  DenyHosts官方网站为:http://denyhosts.sourceforge.net
  1、反省安装前提
  1、起首判别体系安装的sshd是不是撑持tcp_wrappers(默许都撑持)
  #ldd/usr/sbin/sshdlibwrap.so.0=>/usr/lib/libwrap.so.0(0x0046e000)
  2、判别默许安装的Python版本
  #python-VPython2.3.4
  2、已安装Python2.3以上版本的情形
  1、安装DenyHosts
  #cd/usr/local/src#wgethttp://jaist.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6.tar.gz#tarzxfDenyHosts-2.6.tar.gz#cdDenyHosts-2.6#pythonsetup.pyinstall
  程序剧本主动安装到/usr/share/denyhosts
  库文件主动安装到/usr/lib/python2.3/site-packages/DenyHosts
  denyhosts.py主动安装到/usr/bin
  2、设置启动剧本
  #cd/usr/share/denyhosts/#cpdaemon-control-distdaemon-control#chownrootdaemon-control#chmod700daemon-control#grep-v"^#"denyhosts.cfg-dist>denyhosts.cfg#videnyhosts.cfg
  依据本人必要举行响应的修正
  ----------------denyhosts.cfg------------------------SECURE_LOG=/var/log/secure#RedHat/FedoraCore剖析该日记文件#别的版本linux依据denyhosts.cfg-dist内提醒选择。PURGE_DENY=30m#过量久后扫除DENY_THRESHOLD_INVALID=1#同意有效用户(/etc/passwd未列出)登录失利的次数DENY_THRESHOLD_VALID=5#同意无效(一般)用户登录失利的次数DENY_THRESHOLD_ROOT=3#同意root登录失利的次数HOSTNAME_LOOKUP=NO#是不是做域名反解----------------denyhosts.cfg------------------------
  假如必要DenyHosts随体系重启而主动启动,还需做以下设置:
  #vi/etc/rc.local
  到场上面这条命令
  /usr/share/denyhosts/daemon-controlstart
  3、启动
  #/usr/share/denyhosts/daemon-controlstart
  假如要使DenyHosts每次重起后主动启动还需做以下设置:
  #cd/etc/init.d#ln-s/usr/share/denyhosts/daemon-controldenyhosts#chkconfig--adddenyhosts#chkconfig--level345denyhostson
  然后就能够启动了:
  servicedenyhostsstart
  DenyHosts设置文件:
  vi/etc/denyhosts.cfg
  SECURE_LOG=/var/log/secure#ssh日记文件,它是依据这个文件来判别的。
  HOSTS_DENY=/etc/hosts.deny#把持用户上岸的文件
  PURGE_DENY=5m#过量久后扫除已克制的
  BLOCK_SERVICE=sshd#克制的服务名
  DENY_THRESHOLD_INVALID=1#同意有效用户失利的次数
  DENY_THRESHOLD_VALID=10#同意一般用户上岸失利的次数
  DENY_THRESHOLD_ROOT=5#同意root上岸失利的次数
  HOSTNAME_LOOKUP=NO#是不是做域名反解
  DAEMON_LOG=/var/log/denyhosts#本人的日记文件
  ADMIN_EMAIL=yuhongchun027@163.com#办理员邮件地点,它会给办理员发邮件

③服务器上除root外,Linux用户越少越好;假如非要增加受权用户,请给他的上岸shell为nologin;停止未受权用户,按期反省体系有没有过剩的用户都是很需要的事情。

④剖析体系的日记文件,寻觅进侵者已经试图进侵体系的千丝万缕。last命令是别的一个能够用来查找非受权用户登录事务的工具
  lyycheepts/254.107.130.61.diMonMay2214:14stillloggedinlyycheepts/251.107.130.61.diThuMay1818:36-18:42(00:05)lyycheepts/261.130.107.51TueMay1614:21-14:39(00:18)rootpts/261.130.107.58SatMay1315:40-15:43(00:02)lyycheepts/2210.32.178.253FriMay1200:53-01:16(00:23)rootpts/258.107.130.61.diWedMay1015:33-15:35(00:01)rootpts/261.130.107.58TueMay914:58-15:07(00:08)rootpts/259.78.34.62SunMay707:40-07:45(00:05)lyycheepts/259.78.34.62SatMay623:50-00:27(00:37)lyycheepts/2222.64.24.144SatMay610:56-10:56(00:00)rootpts/2192.168.0.111SatMay600:01-00:02(00:01)lyycheepts/2222.64.22.144ThuMay412:41-12:43(00:0rootpts/259.78.34.62TueMay206:59-07:00(00:00)
  以下是一台呆板上的演示图:
  
  last命令输出的信息来自/var/log/wtmp。这个文件具体地纪录着每一个体系用户的会见举动。可是有履历的进侵者常常会删失落/var/log/wtmp以扫除本人不法举动的证据,可是这类扫除举动仍是会显露千丝万缕:在日记文件里留下一个没有加入操纵与之对应的登录操纵(由于在你删除wtmp的时分,你的登录纪录就没有了,可是你待会儿登出,体系仍是会把你记上去),不外再拙劣一点就用at大概cron等本人登出以后再删文件。(可是这类办法也仍是能够查,总之linux没有一种操纵是最强的,强到没有忽略。就像古龙的小说一样,没有一团体是世界第一。如许看起来才有劲)

⑤别的,能够用命令greperror/var/log/messages反省本人的服务器是不是存在着硬件破坏的情形。

⑥实验利用Chkrootkit使用程序对rootkit的踪影和特举行查找,从它的呈报平分析你的服务器否已传染木马。

⑦实验利用AIDE来反省文件体系的完全性。

⑧保举利用Snort主动检测进侵,它集成了同类软件中开始举行手艺,而且是开放源码的。

⑨以本人的邮件服务器举例申明,因为这是一个自力的服务器,以是前端并没安排硬件防火墙及Web防火墙,以是必定要开启iptables来防护,其/root/firewall.sh内容以下:
  #/bin/bashiptables-Fiptables-F-tnatiptables-Xiptables-PINPUTDROPiptables-POUTPUTACCEPTiptables-PFORWARDACCEP#loadconnection-trackingmodulesmodeprobeip_conntrackmodprobeiptable_natmodprobeip_conntrack_ftpmodprobeip_nat_ftpiptables-AINPUT-ilo-jACCEPTiptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-AINPUT-ptcp-mmultiport--dport80,443,25,465,110,995,143,993,587,465,22-jACCEPT
  在另外一台呆板上用扫描之王nmap举行扫描
  [root@mailpostfix]#nmap-P0-sS211.143.6.XStartingNmap4.11(http://www.insecure.org/nmap/)at2009-03-2916:21CSTInterestingportson211.143.6.X:Notshown:1668closedportsPORTSTATESERVICE22/tcpopenssh25/tcpopensmtp80/tcpopenhttp110/tcpopenpop3111/tcpopenrpcbind143/tcpopenimap443/tcpopenhttps465/tcpopensmtps587/tcpopensubmission993/tcpopenimaps995/tcpopenpop3s1014/tcpopenunknown
  lsof-i:1014,发明又是rpc.statd,这东东,每次用的端口都纷歧样啊;它不克不及准确处置SIGPID旌旗灯号,远程打击者可使用这个毛病封闭历程,举行回绝服务打击;发明rpc.statd是由服务nfslock开启,封闭它便可
  servicenfslockstopchkconfignfslockoff

⑩停失落一些体系不用要的服务,强化内核;多存眷下服务器的内核毛病,如今linux良多打击都是针对内核的,包管内核版本为2.6.9以上(不含2.6.9)。
尽我能力帮助他人,在帮助他人的同时你会深刻巩固知识。
小女巫 该用户已被删除
沙发
发表于 2015-1-18 08:05:26 | 只看该作者
通过一条缓慢的调制解调器线路,它也能操纵几千公里以外的远程系统。
飘灵儿 该用户已被删除
板凳
发表于 2015-1-25 19:35:24 | 只看该作者
以前觉得Linux就跟dos一样,全是用命令窗口,相对于窗口界面来说多麻烦呀。
谁可相欹 该用户已被删除
地板
发表于 2015-2-3 19:53:29 | 只看该作者
掌握硬件配置,如显卡,声卡,网卡等,硬件只要不是太老或太新一般都能被支持,作为一名Linux系统管理员建议多阅读有关硬件配置文章,对各种不支持或支持不太好的硬件有深刻的了解。
变相怪杰 该用户已被删除
5#
发表于 2015-2-9 05:23:06 | 只看该作者
最好先搜寻一下论坛是否有您需要的文章。这样可以获得事半功倍的效果。
冷月葬花魂 该用户已被删除
6#
发表于 2015-2-27 03:33:58 | 只看该作者
如果你想深入学习Linux,看不懂因为文档实在是太难了。写的最好的、最全面的文档都是英语写的,最先发布的技术信息也都是用英语写的。
爱飞 该用户已被删除
7#
发表于 2015-3-8 21:20:17 | 只看该作者
我们自学,就这个循环的过程中,我们学习了基本操作,用vi,shell,模拟内存的分配过程等一些OS管理。
分手快乐 该用户已被删除
8#
发表于 2015-3-16 18:04:23 | 只看该作者
这也正是有别的OS得以存在的原因,每个系统都有其自身的优点。?
活着的死人 该用户已被删除
9#
发表于 2015-3-23 00:46:25 | 只看该作者
一定要学好命令,shell是命令语言,命令解释程序及程序设计语言的统称,shell也负责用户和操作系统之间的沟通。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 17:11

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表