服務器安全與網絡安全監測
本文通過闡述linux的基礎安全知識,服務器安全基礎,是近身防衛、是末端攔截,必須重視。
一,服務器安全方面
1.1 關閉不需要的系統服務
對於服務器來說,運行的服務越多,安全隱患越多,必須關閉不用的系統服務,提升系統安全性。
建議保留的服務有,crond sshd network rsyslog xinetd iptables sysstat
chkconfig|awk '{print "chkconfig",$1,"off"}'|bash
chkconfig|egrep "crond|sshd|network|rsyslog|sysstat|iptables" |awk '{print "chkconfig",$1,"on"}'|bash
1.2 刪除不用的用戶禁止某些用戶登錄
userdel test01
groupdel test01
usermod -s /sbin/nologin test02 #禁止登錄
1.3 密碼安全認證
使用RSA密鑰認證登錄
將本機的pub內容拷貝到服務器的./ssh/authorized_keys中
1.4 控制sudo權限的使用
test01 ALL = NOPASSWD: /etc/init.d/mysqld restart
test02 ALL = (ALL) NOPASSWD: ALL #形同root 謹慎使用
1.5 修改系統信息文件
/etc/issue /etc/issue.net /etc/redhat-release 記錄了操作系統和版本號 可以刪除或者修改
/etc/motd 系統公告信息,可以填入一些警告信息,警告震懾非法登陸者
1.6 禁用Control+Alt+Delete
centos5 打開/etc/inittab 註釋掉 ca::ctrlaltdel:/sbin/shutdown -t3 -r now 這一行,然後執行 telinit q
centos6 打開/etc/init/control-alt-delete.conf 註釋掉exec /sbin/shutdown -r now "Control-Alt-Delete pressed"
centos7 刪除文件:/usr/lib/systemd/system/ctrl-alt-del.target即可,然後執行init q
2.1 開啟ssh認證登陸
設置配置:禁root登陸 開啟RSA密鑰認證 限制登陸次數 禁用DNS反向解析等
2.2 history命令記錄詳細用戶、IP、時間
編輯/etc/bashrc 或者編輯/etc/profile 添加修改用戶IP時間的程序語句
2.3 開啟設置iptables和tcp_wrappers
iptables配置方法http://blog.51cto.com/superleedo/1886999
tcp_wrappers配置 是通過修改/etc/hosts.allow /etc/hosts.deny
service: host [action]
sshd: 192.168.1.13
系統執行判斷的順序是先allow文件後deny文件
3.1 文件系統安全鎖定
lsattr 查看文件屬性
chattr +i /etc/passwd 設定文件不能刪除修改重命名
chattr +a /etc/passwd 設定文件只能添加內容,不能刪除
3.2 查找修改系統不安全權限
查找任何用戶都有寫權限的文件或目錄
find / -type f -perm -2 -o -perm -20 |xargs ls -al
find / -type d -perm -2 -o -perm -20 |xargs ls -ld
檢查具有s位權限的文件程序,去除不必要的s位權限
find / -type f -perm -4000 -o -perm -2000 -print |xargs ls -al
檢查suid和sgid文件,保存檢查結果以便日後系統檢查
find / -user root -perm -2000 -print -exec md5sum {} \;
find / -user root -perm -4000 -print -exec md5sum {} \;
檢查沒有屬主文件,添加屬主
find / -nouser -o -nogroup
3.3 修改掛載目錄權限,限制tmp的執行權限
編輯/etc/fstab
/dev/tmps /tmp ext4 defaults,nosuid,noexec,rw 0 0
3.4 配置yum源
配置阿裏的yum源或者centos社區的源
3.5 安裝入侵檢測工具(文件級別,內核級別入侵,重裝系統)
chkrootkit
RKHunter 建議用這個
3.6 收到入侵攻擊處理流程
切斷網絡--查找攻擊源---分析入侵路徑原因---備份數據---重裝系統---修復漏洞---恢復數據及網絡
查找攻擊源:受到攻擊--檢查應用程序--校驗命令md5sum--斷網分析--系統日誌應用日誌查找攻擊源--日誌文件用戶文件密碼文件歷史記錄--查看異常進程--查看異常pid對應的程序
二 網絡安全監測
網絡監測工具iftop
iftop是一個時時網卡流量監控工具,類似top命令,它可以監控指定網卡的時時流量、端口連接信息、反向解析ip等。對於網絡故障流量異常監測很有效
常用命令 iftop -P -i em1
網絡監控分析工具Ntop(停止更新)——》Ntopng(主推版本)
可以監控龐大的服務器網絡,監控流量、端口、路由、服務、帶寬、時間等
ntopng依賴redis 啟動時候需要同時啟動redis,啟動後可以通過web方式訪問(3000端口)admin:admin
常用命令 ntop -i em1 -L -d
ntopng 主要通過界面時時監控流量
網絡性能評估工具iperf
iperf是一個基於TCP/IP和UDP/IP的網絡性能檢測工具用於測量網絡帶寬和質量,丟包率、網絡延遲等
常用命令 iperf -c 192.168.1.13
網絡探測工具nmap
nmap用於網絡發現、端口掃描、系統及版本檢測,應用及版本檢測
常用命令 nmap -T4 -A -v 192.168.1.13
端口掃描 nmap -sU -sS -F 192.168.1.13
版本檢測 nmap -sV 192.168.1.13
系統檢測 nmap -O --osscan-guess 192.168.1.13
網絡檢測安全工具的具體安裝使用,可以查找相應的文章以及官網指導。
服務器安全與網絡安全監測