知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 安全资讯

Linux运维安全小结

发布时间:2014-07-15 11:50:30作者:知识屋

文章偏向运维安全多些,不会很具体,主要是关键词总结,以CentOS为例:
0x01  物理防护
1.引导grub.conf 添加密码
title xxx linux server
        root (hd0,0)
        password 123321 //易启动时被看到明文
title xxx linux server
        root (hd0,0)
        password --md5 $1$xxxxxxxxxxxxxxx //推荐配置

MD5使用grub-md5-crypt 123321 生成
2.使用vlock锁屏安全
3.BIOS设置密码,并关闭U口
 

0x02  实时监控
查询系统端口及服务状态
netstat -tnl
查看端口对应server
lsof -i :22 //查看22端口对应sshd服务
查询服务运行级别
chkconfig --list
GUI设置服务命令
ntsysv
调整服务运行级别
以kudzu服务为例//检测硬件更换服务
chkconfig --level 3 kzdzu on
chkconfig --level 2345 kzdzu off
top监控运行状态
who 、w 查看online账户信息
iostat监控磁盘 I/O情况
meminfo、free 内存信息
uptime 开机时间
tcpdump -i eth0 
tcpdump -i eth0 src host hostname
tcpdump -i eth0 dst host hostname
tcpdump tcp port 80 host 210.27.xx.xx
搭建配置Nagios对服务器服务进行全面的监控

0x03  日志分析
日志配置文件/etc/syslog.conf
默认位置均在/var/log目录
mail 电子邮件 sendmail,qmail等信息
news 新闻组服务器
user 一般和户信息
syslog 内部log信息
auth 也是用户登入的信息,安全性和验证性的日志
uucp 全称是UNIX-TO-UNIX COPY PROTOCOL的信息
日志级别:
emerg 系统已经不可用,级别为紧急
alert 警报,需要立即处理和解决
crit 既将发生,得需要预防。事件就要发生
warnig 警告。
err 错误信息,普通的错误信息
notice 提醒信息,很重要的信息
info 通知信息,属于一般信息
debug 调试类信息
* 记录所有的信息,并发到所给所有的用户
/var/log/secure登陆进系统的记录
   包括sshd telnet pop等 
工具推荐:
http://swatch.sourceforge.net/

0x04  文件权限
查找suid程序
find / -perm -4000 –ls
查找Sgid程序
find / -perm -2000 –ls
查找t权限位程序(因为只对目录有效,查看目录既可)
find / -type d -perm -1000 -ls
目录的t属性,设置了目录的T属性后1000,由只有该目录的所有者及root才能删除该目录,如/tmp目录就是drwxrwxrwt
chattr +i 防删除
chattr -i 取消防删
可安装第三方app防止root取消反删除属性
lsattr 查询属性

0x05  安全配置
安全配置mysql、nginx、php、apache、snmp等服务
sshd服务
/etc/ssh/sshd_config
修改端口、设置仅允许某些账户登录
防止爆破:fail2bandenyhosts等
ssh-keygen -t rsa 生成公私钥、通过证书免密码认证登录
web服务(apache为例)
修改默认的Banner
修改默认的HTTP状态响应码404,503等默认页面
访问特殊目录需要密码.htaccess
关闭索引目录 options -Includes
关闭CGI执行程序options –ExecCGI
查看和关闭一些系统模块 httpd –l列举
设置允许执行目录权限
dns服务
无dns服务则绑定安全dns,开放dns服务禁用域传送等
ftp服务
大多运行vsftpd、主要防范
1.远程溢出(更新程序)
2.本地提权
3.暴力破解
4.sniffer
如非必要、可使用sftp传输文件
限制用户的访问目录
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
伪装vsftpd为Microsoft FTP Service
只允许特定用户登陆
/etc/pam.d/ftp
Sense=allow file=/etc/ftpusers
防爆破:
fail2ban
pptp(vpn)服务
防范中间人攻击及vpn密码弱口令

0x06  防火墙配置
除去硬件防火墙:Cisco公司的PIX系列、
Juniper的Netscreen、
H3C 的Secpath
大多数使用iptables软件防火墙
Iptables –A INPUT –p imcp –j 
Drop(丢弃)
ACCPET(接受)
REJECT(弹回)
LOG(日志)
IPTABLES –t
表明
分三类nat filteter(默认) mangle(服务质量等)
Iptables 
-A 增加一个规则
-D 删除规则
-R 替换(指定行上替换)
-I 插入
-L 显示所有规则
-F 删除所有规则
-P 默认策略
--line-numbers显示行号
-p 指定使用的协议
!号排除
--src 源IP地址
--dst 目的地址
--in-interface 选择网卡
--fragment 数据包分段
--sport 源端口
--dport 目的端口
--state 状态(RELATED,ESTABLISHED)
demo::防ping
Iptables –A INPUT –p imcp –j DROP
 
 
demo::限制某端口
iptables –A INPUT –p tcp –d 192.168.0.1 –dport 21 –j DROP
 
 

0x07  定时备份
应该备份的目录
/home
/etc
/var/spool/mail
/usr/local
网站内容
备份

demo::备份硬盘
dd if=/dev/hda1 | gzip > data1.gz
恢复硬盘
gzip –dc data1.gz | dd of=/dev/hda1

demo::tar备份目录
Tar cvzf - /home > /tmp/backup.tgz
创建一个根目录的备份包
Tar –zcvpf /home/fullbackup.tar.gz / --exclude=/mnt/* --exclude=/proc/*

demo::增量备份
tar –g snapshot –czvf aa.tar.gz /var
变化后再增量备份
tar –g snapshot –czvf aa.tar.gz.1 /var

demo::dump备份整个数据库
Mysqldump –uroot –p –opt database >backupfile.sql
恢复数据库
Mysql –uroot –p database <backupfile.sql

0x08  其他参考
pam模块
cdn加速设置:squid/Haproxy/
varnish
更新kernel/app
文章发布于剑魄琴心; 转载请保留原文链接:http://upker.net/?post=21
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜