纯净之家 - 专门提供Windows系统下载网站!

Linux运维安全总结

来源: 未知 发布时间:2017-06-09 13:07 浏览数:

  •  文章偏向运维安全多些,不会很具体,主要是关键词总结,以CentOS为例:
    0x01  物理防护
    1.引导grub.conf 添加密码
    title xxx linux server
            root (hd0,0)
            password 123321 //易启动时被看到明文
    title xxx linux server
            root (hd0,0)
            password --md5 $1$xxxxxxxxxxxxxxx //推荐配置

    MD5使用grub-md5-crypt 123321 生成
    2.使用vlock锁屏安全
    3.BIOS设置密码,并关闭U口
     

    0x02  实时监控
    查询系统端口及服务状态
    netstat -tnl
    查看端口对应server
    lsof -i :22 //查看22端口对应sshd服务
    查询服务运行级别
    chkconfig --list
    GUI设置服务命令
    ntsysv
    调整服务运行级别
    以kudzu服务为例//检测硬件更换服务
    chkconfig --level 3 kzdzu on
    chkconfig --level 2345 kzdzu off
    top监控运行状态
    who 、w 查看online账户信息
    iostat监控磁盘 I/O情况
    meminfo、free 内存信息
    uptime 开机时间
    tcpdump -i eth0 
    tcpdump -i eth0 src host hostname
    tcpdump -i eth0 dst host hostname
    tcpdump tcp port 80 host 210.27.xx.xx
    搭建配置Nagios对服务器服务进行全面的监控

    0x03  日志分析
    日志配置文件/etc/syslog.conf
    默认位置均在ar/log目录
    mail 电子邮件 sendmail,qmail等信息
    news 新闻组服务器
    user 一般和户信息
    syslog 内部log信息
    auth 也是用户登入的信息,安全性和验证性的日志
    uucp 全称是UNIX-TO-UNIX COPY PROTOCOL的信息
    日志级别:
    emerg 系统已经不可用,级别为紧急
    alert 警报,需要立即处理和解决
    crit 既将发生,得需要预防。事件就要发生
    warnig 警告。
    err 错误信息,普通的错误信息
    notice 提醒信息,很重要的信息
    info 通知信息,属于一般信息
    debug 调试类信息
    * 记录所有的信息,并发到所给所有的用户
    ar/logcure登陆进系统的记录
       包括sshd telnet pop等 
    工具推荐:
    http://swatch.sourceforge.net/

    0x04  文件权限
    查找suid程序
    find / -perm -4000 –ls
    查找Sgid程序
    find / -perm -2000 –ls
    查找t权限位程序(因为只对目录有效,查看目录既可)
    find / -type d -perm -1000 -ls
    目录的t属性,设置了目录的T属性后1000,由只有该目录的所有者及root才能删除该目录,如/tmp目录就是drwxrwxrwt
    chattr +i 防删除
    chattr -i 取消防删
    可安装第三方app防止root取消反删除属性
    lsattr 查询属性

    0x05  安全配置
    安全配置mysql、nginx、php、apache、snmp等服务
    sshd服务
    /etc/ssh/sshd_config
    修改端口、设置仅允许某些账户登录
    防止爆破:fail2ban\denyhosts等
    ssh-keygen -t rsa 生成公私钥、通过证书免密码认证登录
    web服务(apache为例)
    修改默认的Banner
    修改默认的HTTP状态响应码404,503等默认页面
    访问特殊目录需要密码.htaccess
    关闭索引目录 options -Includes
    关闭CGI执行程序options –ExecCGI
    查看和关闭一些系统模块 httpd –l列举
    设置允许执行目录权限
    dns服务
    无dns服务则绑定安全dns,开放dns服务禁用域传送等
    ftp服务
    大多运行vsftpd、主要防范
    1.远程溢出(更新程序)
    2.本地提权
    3.暴力破解
    4.sniffer
    如非必要、可使用sftp传输文件
    限制用户的访问目录
    chroot_list_enable=YES
    chroot_list_file=/etcsftpd.chroot_list
    伪装vsftpd为Microsoft FTP Service
    只允许特定用户登陆
    /etc/pam.d/ftp
    Sense=allow file=/etc/ftpusers
    防爆破:
    fail2ban
    pptp(vpn)服务
    防范中间人攻击及vpn密码弱/口/令

    0x06  防火墙配置
    除去硬件防火墙:Cisco公司的PIX系列、
    Juniper的Netscreen、
    H3C 的Secpath
    大多数使用iptables软件防火墙
    Iptables –A INPUT –p imcp –j 
    Drop(丢弃)
    ACCPET(接受)
    REJECT(弹回)
    LOG(日志)
    IPTABLES –t
    表明
    分三类nat filteter(默认) mangle(服务质量等)
    Iptables 
    -A 增加一个规则
    -D 删除规则
    -R 替换(指定行上替换)
    -I 插入
    -L 显示所有规则
    -F 删除所有规则
    -P 默认策略
    --line-numbers显示行号
    -p 指定使用的协议
    !号排除
    --src 源IP地址
    --dst 目的地址
    --in-interface 选择网卡
    --fragment 数据包分段
    --sport 源端口
    --dport 目的端口
    --state 状态(RELATED,ESTABLISHED)
    demo::防ping
    Iptables –A INPUT –p imcp –j DROP
     
     
    demo::限制某端口
    iptables –A INPUT –p tcp –d 192.168.0.1 –dport 21 –j DROP
     
     

    0x07  定时备份
    应该备份的目录
    /home
    /etc
    ar/spool/mail
    /usr/local
    网站内容
    数据库备份

    demo::备份硬盘
    dd if=/deva1 | gzip > data1.gz
    恢复硬盘
    gzip –dc data1.gz | dd of=/deva1

    demo::tar备份目录
    Tar cvzf - /home > /tmp/backup.tgz
    创建一个根目录的备份包
    Tar –zcvpf /home/fullbackup.tar.gz / --exclude=/mnt/* --exclude=/proc/*

    demo::增量备份
    tar –g snapshot –czvf aa.tar.gz ar
    变化后再增量备份
    tar –g snapshot –czvf aa.tar.gz.1 ar

    demo::mysqldump备份整个数据库
    Mysqldump –uroot –p –opt database >backupfile.sql
    恢复数据库
    Mysql –uroot –p database <backupfile.sql

    0x08  其他参考
    pam模块
    cdn加速设置:squid/Haproxy/
    varnish
    更新kernel/app 
    本文来自系统大全为您提供如需转载请注明!推荐win10下载
  • 文章偏向运维安全多些,不会很具体,主要是关键词总结,以CentOS为例: 0x01物理防护 1.引导grub.conf添加密码 titlexxxlinuxserver root(hd0,0) password123321//易启动时被看到明文 titlexxxlinuxserver




  •   关于我们   商务合作   版权声明   网站地图
  • 主页为大家提供一个绿色的平台 Copyright © 2013-2018

    纯净之家提供的系统下载均来源于互联网,如有侵犯您的版权,请联系:455378652@qq.com 我们将第一时间处理。

    豫ICP备17024709号-4