文章偏向运维安全多些,不会很具体,主要是关键词总结,以CentOS为例:
0x01物理防护
1.引导grub.conf添加密码
titlexxxlinuxserver
root(hd0,0)
password123321//易启动时被看到明文
titlexxxlinuxserver
root(hd0,0)
password–md5$1$xxxxxxxxxxxxxxx//推荐配置
MD5使用grub-md5-crypt123321生成
2.使用vlock锁屏安全
3.BIOS设置密码,并关闭U口
0x02实时监控
查询系统端口及服务状态
netstat-tnl
查看端口对应server
lsof-i:22//查看22端口对应sshd服务
查询服务运行级别
chkconfig–list
GUI设置服务命令
ntsysv
调整服务运行级别
以kudzu服务为例//检测硬件更换服务
chkconfig–level3kzdzuon
chkconfig–level2345kzdzuoff
top监控运行状态
who、w查看online账户信息
iostat监控磁盘I/O情况
meminfo、free内存信息
uptime开机时间
tcpdump-ieth0
tcpdump-ieth0tcpdump-ieth0dsthosthostname
tcpdumptcpport80host210.27.xx.xx
搭建配置Nagios对服务器服务进行全面的监控
0x03日志分析
日志配置文件/etc/syslog.conf
默认位置均在
ar/log目录
mail电子邮件sendmail,qmail等信息
news新闻组服务器
user一般和户信息
syslog内部log信息
auth也是用户登入的信息,安全性和验证性的日志
uucp全称是UNIX-TO-UNIXCOPYPROTOCOL的信息
日志级别:
emerg系统已经不可用,级别为紧急
alert警报,需要立即处理和解决
crit既将发生,得需要预防。事件就要发生
warnig警告。
err错误信息,普通的错误信息
notice提醒信息,很重要的信息
info通知信息,属于一般信息
debug调试类信息
*记录所有的信息,并发到所给所有的用户
ar/log
cure登陆进系统的记录
包括sshdtelnetpop等
工具推荐:
http://swatch.sourceforge.net/
0x04文件权限
查找suid程序
find/-perm-4000–ls
查找Sgid程序
find/-perm-2000–ls
查找t权限位程序(因为只对目录有效,查看目录既可)
find/-typed-perm-1000-ls
目录的t属性,设置了目录的T属性后1000,由只有该目录的所有者及root才能删除该目录,如/tmp目录就是drwxrwxrwt
chattr+i防删除
chattr-i取消防删
可安装第三方app防止root取消反删除属性
lsattr查询属性
0x05安全配置
安全配置mysql、nginx、php、apache、snmp等服务
sshd服务
/etc/ssh/sshd_config
修改端口、设置仅允许某些账户登录
防止爆破:fail2bandenyhosts等
ssh-keygen-trsa生成公私钥、通过证书免密码认证登录
web服务(apache为例)
修改默认的Banner
修改默认的HTTP状态响应码404,503等默认页面
访问特殊目录需要密码.htaccess
关闭索引目录options-Includes
关闭CGI执行程序options–ExecCGI
查看和关闭一些系统模块httpd–l列举
设置允许执行目录权限
dns服务
无dns服务则绑定安全dns,开放dns服务禁用域传送等
ftp服务
大多运行vsftpd、主要防范
1.远程溢出(更新程序)
2.本地提权
3.暴力破解
4.sniffer
如非必要、可使用sftp传输文件
限制用户的访问目录
chroot_list_enable=YES
chroot_list_file=/etc
sftpd.chroot_list
伪装vsftpd为MicrosoftFTPService
只允许特定用户登陆
/etc/pam.d/ftp
Sense=allowfile=/etc/ftpusers
防爆破:
fail2ban
pptp(vpn)服务
防范中间人攻击及vpn密码弱/口/令
0x06防火墙配置
除去硬件防火墙:Cisco公司的PIX系列、
Juniper的Netscreen、
H3C的Secpath
大多数使用iptables软件防火墙
Iptables–AINPUT–pimcp–j
Drop(丢弃)
ACCPET(接受)
REJECT(弹回)
LOG(日志)
IPTABLES–t
表明
分三类natfilteter(默认)mangle(服务质量等)
Iptables
-A增加一个规则
-D删除规则
-R替换(指定行上替换)
-I插入
-L显示所有规则
-F删除所有规则
-P默认策略
–line-numbers显示行号
-p指定使用的协议
!号排除
—-dst目的地址
–in-interface选择网卡
–fragment数据包分段
–sport源端口
–dport目的端口
–state状态(RELATED,ESTABLISHED)
demo::防ping
Iptables–AINPUT–pimcp–jDROP
demo::限制某端口
iptables–AINPUT–ptcp–d192.168.0.1–dport21–jDROP
0x07定时备份
应该备份的目录
/home
/etc
ar/spool/mail
/usr/local
网站内容
数据库备份
demo::备份硬盘
ddif=/dev
a1|gzip>data1.gz
恢复硬盘
gzip–dcdata1.gz|ddof=/dev
a1
demo::tar备份目录
Tarcvzf-/home>/tmp/backup.tgz
创建一个根目录的备份包
Tar–zcvpf/home/fullbackup.tar.gz/–exclude=/mnt/*–exclude=/proc/*
demo::增量备份
tar–gsnapshot–czvfaa.tar.gz
ar
变化后再增量备份
tar–gsnapshot–czvfaa.tar.gz.1
ar
demo::mysqldump备份整个数据库
Mysqldump–uroot–p–optdatabase>backupfile.sql
恢复数据库
Mysql–uroot–pdatabase<backupfile.sql
0x08其他参考
pam模块
cdn加速设置:squid/Haproxy/
varnish
更新kernel/app
