Linux运维安全总结下载
文章偏向运维安全多些,不会很具体,主要是关键词总结,以CentOS为例:
0x01 物理防护
1.引导grub.conf 添加密码
title xxx linux server
root (hd0,0)
password 123321 //易启动时被看到明文
title xxx linux server
root (hd0,0)
password –md5 $1$xxxxxxxxxxxxxxx //推荐配置
MD5使用grub-md5-crypt 123321 生成
2.使用vlock锁屏安全
3.BIOS设置密码,并关闭U口
0x02 实时监控
查询系统端口及服务状态
netstat -tnl
查看端口对应server
lsof -i :22 //查看22端口对应sshd服务
查询服务运行级别
chkconfig –list
GUI设置服务命令
ntsysv
调整服务运行级别
以kudzu服务为例//检测硬件更换服务
chkconfig –level 3 kzdzu on
chkconfig –level 2345 kzdzu off
top监控运行状态
who 、w 查看online账户信息
iostat监控磁盘 I/O情况
meminfo、free 内存信息
uptime 开机时间
tcpdump -i eth0
tcpdump -i eth0 tcpdump -i eth0 dst host hostname
tcpdump tcp port 80 host 210.27.xx.xx
搭建配置Nagios对服务器服务进行全面的监控
0x03 日志分析
日志配置文件/etc/syslog.conf
默认位置均在
ar/log目录
mail 电子邮件 sendmail,qmail等信息
news 新闻组服务器
user 一般和户信息
syslog 内部log信息
auth 也是用户登入的信息,安全性和验证性的日志
uucp 全称是UNIX-TO-UNIX COPY PROTOCOL的信息
日志级别:
emerg 系统已经不可用,级别为紧急
alert 警报,需要立即处理和解决
crit 既将发生,得需要预防。事件就要发生
warnig 警告。
err 错误信息,普通的错误信息
notice 提醒信息,很重要的信息
info 通知信息,属于一般信息
debug 调试类信息
* 记录所有的信息,并发到所给所有的用户
ar/log
cure登陆进系统的记录
包括sshd telnet pop等
工具推荐:
http://swatch.sourceforge.net/
0x04 文件权限
查找suid程序
find / -perm -4000 –ls
查找Sgid程序
find / -perm -2000 –ls
查找t权限位程序(因为只对目录有效,查看目录既可)
find / -type d -perm -1000 -ls
目录的t属性,设置了目录的T属性后1000,由只有该目录的所有者及root才能删除该目录,如/tmp目录就是drwxrwxrwt
chattr +i 防删除
chattr -i 取消防删
可安装第三方app防止root取消反删除属性
lsattr 查询属性
0x05 安全配置
安全配置mysql、nginx、php、apache、snmp等服务
sshd服务
/etc/ssh/sshd_config
修改端口、设置仅允许某些账户登录
防止爆破:fail2bandenyhosts等
ssh-keygen -t rsa 生成公私钥、通过证书免密码认证登录
web服务(apache为例)
修改默认的Banner
修改默认的HTTP状态响应码404,503等默认页面
访问特殊目录需要密码.htaccess
关闭索引目录 options -Includes
关闭CGI执行程序options –ExecCGI
查看和关闭一些系统模块 httpd –l列举
设置允许执行目录权限
dns服务
无dns服务则绑定安全dns,开放dns服务禁用域传送等
ftp服务
大多运行vsftpd、主要防范
1.远程溢出(更新程序)
2.本地提权
3.暴力破解
4.sniffer
如非必要、可使用sftp传输文件
限制用户的访问目录
chroot_list_enable=YES
chroot_list_file=/etc
sftpd.chroot_list
伪装vsftpd为Microsoft FTP Service
只允许特定用户登陆
/etc/pam.d/ftp
Sense=allow file=/etc/ftpusers
防爆破:
fail2ban
pptp(vpn)服务
防范中间人攻击及vpn密码弱/口/令
0x06 防火墙配置
除去硬件防火墙:Cisco公司的PIX系列、
Juniper的Netscreen、
H3C 的Secpath
大多数使用iptables软件防火墙
Iptables –A INPUT –p imcp –j
Drop(丢弃)
ACCPET(接受)
REJECT(弹回)
LOG(日志)
IPTABLES –t
表明
分三类nat filteter(默认) mangle(服务质量等)
Iptables
-A 增加一个规则
-D 删除规则
-R 替换(指定行上替换)
-I 插入
-L 显示所有规则
-F 删除所有规则
-P 默认策略
–line-numbers显示行号
-p 指定使用的协议
!号排除
—-dst 目的地址
–in-interface 选择网卡
–fragment 数据包分段
–sport 源端口
–dport 目的端口
–state 状态(RELATED,ESTABLISHED)
demo::防ping
Iptables –A INPUT –p imcp –j DROP
demo::限制某端口
iptables –A INPUT –p tcp –d 192.168.0.1 –dport 21 –j DROP
0x07 定时备份
应该备份的目录
/home
/etc
ar/spool/mail
/usr/local
网站内容
数据库备份
demo::备份硬盘
dd if=/dev
a1 | gzip > data1.gz
恢复硬盘
gzip –dc data1.gz | dd of=/dev
a1
demo::tar备份目录
Tar cvzf – /home > /tmp/backup.tgz
创建一个根目录的备份包
Tar –zcvpf /home/fullbackup.tar.gz / –exclude=/mnt/* –exclude=/proc/*
demo::增量备份
tar –g snapshot –czvf aa.tar.gz
ar
变化后再增量备份
tar –g snapshot –czvf aa.tar.gz.1
ar
demo::mysqldump备份整个数据库
Mysqldump –uroot –p –opt database >backupfile.sql
恢复数据库
Mysql –uroot –p database
cdn加速设置:squid/Haproxy/
varnish
更新kernel/app 本文来自系统大全为您分享如需转载请注明!推荐win10下载
下载仅供下载体验和测试学习,不得商用和正当使用。