明明白白Linux效劳器——安篇(1)
安linuxunix生产效劳器言关重系统理员根功课文明明白白Linux效劳器系列第四篇面列切关Linux效劳器根设置力求简单语言说明Linux效劳器根底安设置尤适新手果Linux效劳器安更高求建议配合硬件防火墙进行操作
Linux效劳器硬件防护
工程实施中网站架设中发现防DDOS攻击SQL注入跨站脚蠕虫黑客扫描攻击等攻击效果错方案:
①华赛三层防火墙+天泰web防火墙
②Juniper系列防火墙
果LinuxFreeBSD前端硬件防护记开启iptablesipfw防火墙然防DDOS攻击安防护少作果windows2003效劳器建议开启带系统防火墙禁ping
建议采64位Linux操作系统CentOS 54果UNIX建议采FreeBSD 80(采64位)关注效劳器核漏洞现linux攻击针核保证核版269
二远程连接Linux效劳器
远程连接建议允许网进行ssh操作拒绝外网控制样做拟安(步操作配合公司网络工程师操作)
果非外网进行ssh操作建议正确配置xshellPutty等远程连接工具公钥私钥root密码般设置28位建议字母+数字组合p@sSw0rdyuhongchun027nagios某重效劳器必须知道root密码根公司权限设置果公司系统理员离职root密码定更改玩linux久应该知道更改root密码会影响linuxcrontab方案务〔windows2003样果意更改administrator密码会直接影响方案务运行〕
三Linux效劳器防ssh暴力破解
Nagios外网监控效劳器刚开始测试时取密码redhat放进公网天改郁闷死环境部署成熟发现然少外网ip扫描试探点工具行啊呵呵尝试家推荐DenyHostsPython23写程序会分析varlogsecure等日志文件发现IP进行屡次SSH密码尝试时会记录IPetchostsdeny文件达动屏蔽该IP目DenyHosts官方网站:
①检查安装条件
1首先判断系统安装sshd否支持tcp_wrappers〔默认支持〕
# ldd usrsbinsshd
libwrapso0 > usrliblibwrapso0 (0x0046e000)
2判断默认安装Python版
# python V
3已安装Python23版情况直接安装DenyHosts
# cd usrlocalsrc
# cd DenyHosts26
# python setuppy install
程序脚动安装usrsharedenyhosts
库文件动安装usrlibpython23sitepackagesDenyHosts
denyhostspy动安装usrbin
②设置启动脚
# cd usrsharedenyhosts
# cp daemoncontroldist daemoncontrol
# chown root daemoncontrol
# chmod 700 daemoncontrol
# grep v ^# denyhostscfgdist > denyhostscfg
# vi denyhostscfg
根需进行相应修改
denyhostscfg
SECURE_LOG varlogsecure
#RedHatFedora Core分析该日志文件
#版linux根denyhostscfgdist提示选择
PURGE_DENY 30m
#久
DENY_THRESHOLD_INVALID 1
#允许效户〔etcpasswd未列出〕登录失败次数
DENY_THRESHOLD_VALID 5
#允许效〔普通〕户登录失败次数
DENY_THRESHOLD_ROOT 3
#允许root登录失败次数
HOSTNAME_LOOKUPNO
#否做域名反解
果需DenyHosts系统重启动启动需做设置:
# vi etcrclocal
参加面条命令
usrsharedenyhostsdaemoncontrol start
③启动
# usrsharedenyhostsdaemoncontrol start
果DenyHosts次重起动启动需做设置:
# cd etcinitd
# ln s usrsharedenyhostsdaemoncontrol denyhosts
# chkconfig add denyhosts
# chkconfig level 345 denyhosts on
然启动:
service denyhosts start
DenyHosts配置文件:
vi etcdenyhostscfg
SECURE_LOG varlogsecure #ssh日志文件根文件判断
HOSTS_DENY etchostsdeny #控制户登陆文件
PURGE_DENY 5m#久已禁止
BLOCK_SERVICE sshd#禁止效劳名
DENY_THRESHOLD_INVALID 1#允许效户失败次数
DENY_THRESHOLD_VALID 10#允许普通户登陆失败次数
DENY_THRESHOLD_ROOT 5#允许root登陆失败次数
HOSTNAME_LOOKUPNO#否做域名反解
DAEMON_LOG varlogdenyhosts#日志文件
ADMIN_EMAIL yuhongchun027@163 #理员邮件址会理员发邮件
面全动载安装脚(推荐)然安装手动调整配置文件install_denyhostssh脚容
#binbash
cd usrlocalsrc
cd DenyHosts26
python setuppy install
cd usrsharedenyhosts
cp daemoncontroldist daemoncontrol
chown root daemoncontrol
chmod 700 daemoncontrol
grep v ^# denyhostscfgdist > denyhostscfg
echo usrsharedenyhostsdaemoncontrol start >>etcrclocal
cd etcinitd
ln s usrsharedenyhostsdaemoncontrol denyhosts
chkconfig add denyhosts
chkconfig level 345 denyhosts on
service denyhosts start
面hostsdeny例
Connection to 1921680154 closed
root@1921680154's password
Permission denied please try again
root@1921680154's password
Permission denied please try again
root@1921680154's password
Permission denied (publickeygssapiwithmicpassword)
出现行表示生效
明明白白Linux效劳器——安篇(2)
20210803 0917 抚琴煮酒 51CTO 评(3)
摘:系统安效劳器言关重LinuxUNIX生产效劳器言根安防护系统理员职责文列举Linux效劳器根底安设置尤适新手果Linux效劳器安更高求建议配合硬件防火墙进行操作
标签:Linux效劳器 Linux安
限时报名参加甲骨文全球会·2021·北京〞JavaOne甲骨文开发者会2021〞
四户理
效劳器root外Linux户越少越果非添加具root权限户建议etcsudoer里添加样防止家root户效劳器工作外作标准责界限做迹循(开发效劳器发生恶意更改root密码事情)果非添加授权户请登陆shellnologin终止未授权户定期检查系统余户sysadmin必工作
五日志文件
分析系统日志文件寻找入侵者试图入侵系统蛛丝马迹last命令外查找非授权户登录事件工具
lyychee pts2 5410713061 Mon May 22 1414 still logged in
lyychee pts2 5110713061 Thu May 18 1836 1842 (0005)
lyychee pts2 6113010751 Tue May 16 1421 1439 (0018)
root pts2 6113010758 Sat May 13 1540 1543 (0002)
lyychee pts2 21032178253 Fri May 12 0053 0116 (0023)
root pts2 5810713061di Wed May 10 1533 1535 (0001)
root pts2 6113010758 Tue May 9 1458 1507 (0008)
root pts2 59783462 Sun May 7 0740 0745 (0005)
lyychee pts2 59783462 Sat May 6 2350 0027 (0037)
lyychee pts2 2226424144 Sat May 6 1056 1056 (0000)
root pts2 1921680111 Sat May 6 0001 0002 (0001)
lyychee pts2 2226422144 Thu May 4 1241 1243 (0000)
root pts2 59783462 Tue May 2 0659 0700 (0000)
last命令输入信息varlogwtmp文件详细记录着系统户访问活动验入侵者会删掉varlogwtmp非法行证种行会露出蛛丝马迹:日志文件里留没退出操作应登录操作(删wtmp时候登录记录没会登出系统会记)高明点at者cron等登出删文件(种方法查总linux没种操作强强没纰漏)
六扫描王nmap发现效劳器漏洞
邮件效劳器举例说明系统默认策略INPUTDROPOUTPUTFORWARD链ACCEPT定义防火墙规rootfirewallsh放进开机脚里目录etcrcdrclocalrootfirewallsh
脚:
#binbash
iptables F
iptables F t nat
iptables X
iptables P INPUT DROP
iptables P OUTPUT ACCEPT
iptables P FORWARD ACCEP
#load connectiontracking modules
modeprobe ip_conntrack
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables A INPUT i lo j ACCEPT
iptables A INPUT m state state ESTABLISHEDRELATED j ACCEPT
iptables A INPUT p tcp m multiport dport804432546511099514399358746522 j ACCEPT
Starting Nmap 411 ( insecureorgnmap ) at 20210329 1621 CST
Interesting ports on 2111436X
Not shown 1668 closed ports
PORT STATE SERVICE
22tcp open ssh
25tcp open smtp
80tcp open
110tcp open pop3
111tcp open rpcbind
143tcp open imap
443tcp open s
465tcp open smtps
587tcp open submission
993tcp open imaps
995tcp open pop3s
1014tcp open unknown
lsof i1014发现rpcstatd东东次端口样啊正确处理SIGPID信号远程攻击者利漏洞关闭进程进行拒绝效劳攻击发现rpcstatd效劳nfslock开启关闭
service nfslock stop && chkconfig nfslock off
七监控效劳
果网站效劳器时发现登陆户系统进程数系统负载呢建议配置Nagios时监控Linux效劳器开启邮件短信报警条件话配置cacti监控效劳器持续时间段发数样更清楚解监控效劳器(Nginx带webstatus反映瞬间发值)
八iptables日志
果开启iptables防火墙建议日志放进varlogmessages利syslog日志放进单独日志文件然全面分析判断iptablesL命令vn作选项进行组合Lvn果列出防火墙详细规采iptables nv L
九网络监控
布署TCPDumpWireshark监控网络流量攻击检测果iptables作公司NAT路器建议安装NTOP监控网络流量分析具体网络包
十Snort
布署Snort动检测入侵Snort套免费型「IDS-入侵侦察系统」处入侵侦察规完全开放说针网路系统设计入侵侦察规尤方便CentOS系统中作附加软件已包含中
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
安linuxunix生产效劳器言关重系统理员根功课文明明白白Linux效劳器系列第四篇面列切关Linux效劳器根设置力求简单语言说明Linux效劳器根底安设置尤适新手果Linux效劳器安更高求建议配合硬件防火墙进行操作
Linux效劳器硬件防护
工程实施中网站架设中发现防DDOS攻击SQL注入跨站脚蠕虫黑客扫描攻击等攻击效果错方案:
①华赛三层防火墙+天泰web防火墙
②Juniper系列防火墙
果LinuxFreeBSD前端硬件防护记开启iptablesipfw防火墙然防DDOS攻击安防护少作果windows2003效劳器建议开启带系统防火墙禁ping
建议采64位Linux操作系统CentOS 54果UNIX建议采FreeBSD 80(采64位)关注效劳器核漏洞现linux攻击针核保证核版269
二远程连接Linux效劳器
远程连接建议允许网进行ssh操作拒绝外网控制样做拟安(步操作配合公司网络工程师操作)
果非外网进行ssh操作建议正确配置xshellPutty等远程连接工具公钥私钥root密码般设置28位建议字母+数字组合p@sSw0rdyuhongchun027nagios某重效劳器必须知道root密码根公司权限设置果公司系统理员离职root密码定更改玩linux久应该知道更改root密码会影响linuxcrontab方案务〔windows2003样果意更改administrator密码会直接影响方案务运行〕
三Linux效劳器防ssh暴力破解
Nagios外网监控效劳器刚开始测试时取密码redhat放进公网天改郁闷死环境部署成熟发现然少外网ip扫描试探点工具行啊呵呵尝试家推荐DenyHostsPython23写程序会分析varlogsecure等日志文件发现IP进行屡次SSH密码尝试时会记录IPetchostsdeny文件达动屏蔽该IP目DenyHosts官方网站:
①检查安装条件
1首先判断系统安装sshd否支持tcp_wrappers〔默认支持〕
# ldd usrsbinsshd
libwrapso0 > usrliblibwrapso0 (0x0046e000)
2判断默认安装Python版
# python V
3已安装Python23版情况直接安装DenyHosts
# cd usrlocalsrc
# cd DenyHosts26
# python setuppy install
程序脚动安装usrsharedenyhosts
库文件动安装usrlibpython23sitepackagesDenyHosts
denyhostspy动安装usrbin
②设置启动脚
# cd usrsharedenyhosts
# cp daemoncontroldist daemoncontrol
# chown root daemoncontrol
# chmod 700 daemoncontrol
# grep v ^# denyhostscfgdist > denyhostscfg
# vi denyhostscfg
根需进行相应修改
denyhostscfg
SECURE_LOG varlogsecure
#RedHatFedora Core分析该日志文件
#版linux根denyhostscfgdist提示选择
PURGE_DENY 30m
#久
DENY_THRESHOLD_INVALID 1
#允许效户〔etcpasswd未列出〕登录失败次数
DENY_THRESHOLD_VALID 5
#允许效〔普通〕户登录失败次数
DENY_THRESHOLD_ROOT 3
#允许root登录失败次数
HOSTNAME_LOOKUPNO
#否做域名反解
果需DenyHosts系统重启动启动需做设置:
# vi etcrclocal
参加面条命令
usrsharedenyhostsdaemoncontrol start
③启动
# usrsharedenyhostsdaemoncontrol start
果DenyHosts次重起动启动需做设置:
# cd etcinitd
# ln s usrsharedenyhostsdaemoncontrol denyhosts
# chkconfig add denyhosts
# chkconfig level 345 denyhosts on
然启动:
service denyhosts start
DenyHosts配置文件:
vi etcdenyhostscfg
SECURE_LOG varlogsecure #ssh日志文件根文件判断
HOSTS_DENY etchostsdeny #控制户登陆文件
PURGE_DENY 5m#久已禁止
BLOCK_SERVICE sshd#禁止效劳名
DENY_THRESHOLD_INVALID 1#允许效户失败次数
DENY_THRESHOLD_VALID 10#允许普通户登陆失败次数
DENY_THRESHOLD_ROOT 5#允许root登陆失败次数
HOSTNAME_LOOKUPNO#否做域名反解
DAEMON_LOG varlogdenyhosts#日志文件
ADMIN_EMAIL yuhongchun027@163 #理员邮件址会理员发邮件
面全动载安装脚(推荐)然安装手动调整配置文件install_denyhostssh脚容
#binbash
cd usrlocalsrc
cd DenyHosts26
python setuppy install
cd usrsharedenyhosts
cp daemoncontroldist daemoncontrol
chown root daemoncontrol
chmod 700 daemoncontrol
grep v ^# denyhostscfgdist > denyhostscfg
echo usrsharedenyhostsdaemoncontrol start >>etcrclocal
cd etcinitd
ln s usrsharedenyhostsdaemoncontrol denyhosts
chkconfig add denyhosts
chkconfig level 345 denyhosts on
service denyhosts start
面hostsdeny例
Connection to 1921680154 closed
root@1921680154's password
Permission denied please try again
root@1921680154's password
Permission denied please try again
root@1921680154's password
Permission denied (publickeygssapiwithmicpassword)
出现行表示生效
明明白白Linux效劳器——安篇(2)
20210803 0917 抚琴煮酒 51CTO 评(3)
摘:系统安效劳器言关重LinuxUNIX生产效劳器言根安防护系统理员职责文列举Linux效劳器根底安设置尤适新手果Linux效劳器安更高求建议配合硬件防火墙进行操作
标签:Linux效劳器 Linux安
限时报名参加甲骨文全球会·2021·北京〞JavaOne甲骨文开发者会2021〞
四户理
效劳器root外Linux户越少越果非添加具root权限户建议etcsudoer里添加样防止家root户效劳器工作外作标准责界限做迹循(开发效劳器发生恶意更改root密码事情)果非添加授权户请登陆shellnologin终止未授权户定期检查系统余户sysadmin必工作
五日志文件
分析系统日志文件寻找入侵者试图入侵系统蛛丝马迹last命令外查找非授权户登录事件工具
lyychee pts2 5410713061 Mon May 22 1414 still logged in
lyychee pts2 5110713061 Thu May 18 1836 1842 (0005)
lyychee pts2 6113010751 Tue May 16 1421 1439 (0018)
root pts2 6113010758 Sat May 13 1540 1543 (0002)
lyychee pts2 21032178253 Fri May 12 0053 0116 (0023)
root pts2 5810713061di Wed May 10 1533 1535 (0001)
root pts2 6113010758 Tue May 9 1458 1507 (0008)
root pts2 59783462 Sun May 7 0740 0745 (0005)
lyychee pts2 59783462 Sat May 6 2350 0027 (0037)
lyychee pts2 2226424144 Sat May 6 1056 1056 (0000)
root pts2 1921680111 Sat May 6 0001 0002 (0001)
lyychee pts2 2226422144 Thu May 4 1241 1243 (0000)
root pts2 59783462 Tue May 2 0659 0700 (0000)
last命令输入信息varlogwtmp文件详细记录着系统户访问活动验入侵者会删掉varlogwtmp非法行证种行会露出蛛丝马迹:日志文件里留没退出操作应登录操作(删wtmp时候登录记录没会登出系统会记)高明点at者cron等登出删文件(种方法查总linux没种操作强强没纰漏)
六扫描王nmap发现效劳器漏洞
邮件效劳器举例说明系统默认策略INPUTDROPOUTPUTFORWARD链ACCEPT定义防火墙规rootfirewallsh放进开机脚里目录etcrcdrclocalrootfirewallsh
脚:
#binbash
iptables F
iptables F t nat
iptables X
iptables P INPUT DROP
iptables P OUTPUT ACCEPT
iptables P FORWARD ACCEP
#load connectiontracking modules
modeprobe ip_conntrack
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables A INPUT i lo j ACCEPT
iptables A INPUT m state state ESTABLISHEDRELATED j ACCEPT
iptables A INPUT p tcp m multiport dport804432546511099514399358746522 j ACCEPT
Starting Nmap 411 ( insecureorgnmap ) at 20210329 1621 CST
Interesting ports on 2111436X
Not shown 1668 closed ports
PORT STATE SERVICE
22tcp open ssh
25tcp open smtp
80tcp open
110tcp open pop3
111tcp open rpcbind
143tcp open imap
443tcp open s
465tcp open smtps
587tcp open submission
993tcp open imaps
995tcp open pop3s
1014tcp open unknown
lsof i1014发现rpcstatd东东次端口样啊正确处理SIGPID信号远程攻击者利漏洞关闭进程进行拒绝效劳攻击发现rpcstatd效劳nfslock开启关闭
service nfslock stop && chkconfig nfslock off
七监控效劳
果网站效劳器时发现登陆户系统进程数系统负载呢建议配置Nagios时监控Linux效劳器开启邮件短信报警条件话配置cacti监控效劳器持续时间段发数样更清楚解监控效劳器(Nginx带webstatus反映瞬间发值)
八iptables日志
果开启iptables防火墙建议日志放进varlogmessages利syslog日志放进单独日志文件然全面分析判断iptablesL命令vn作选项进行组合Lvn果列出防火墙详细规采iptables nv L
九网络监控
布署TCPDumpWireshark监控网络流量攻击检测果iptables作公司NAT路器建议安装NTOP监控网络流量分析具体网络包
十Snort
布署Snort动检测入侵Snort套免费型「IDS-入侵侦察系统」处入侵侦察规完全开放说针网路系统设计入侵侦察规尤方便CentOS系统中作附加软件已包含中
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档