Linux运维安全总结
0x01 物理防护
1.引导grub.conf 添加密码
title xxx linux server
root (hd0,0)
password 123321 //易启动时被看到明文
title xxx linux server
root (hd0,0)
password --md5 $1$xxxxxxxxxxxxxxx //推荐配置
MD5使用grub-md5-crypt 123321 生成
2.使用vlock锁屏安全
3.BIOS设置密码,并关闭U口
0x02 实时监控
查询系统端口及服务状态
netstat -tnl
查看端口对应server
lsof -i :22 //查看22端口对应sshd服务
查询服务运行级别
chkconfig --list
GUI设置服务命令
ntsysv
调整服务运行级别
以kudzu服务为例//检测硬件更换服务
chkconfig --level 3 kzdzu on
chkconfig --level 2345 kzdzu off
top监控运行状态
who 、w 查看online账户信息
iostat监控磁盘 I/O情况
meminfo、free 内存信息
uptime 开机时间
tcpdump -i eth0
tcpdump -i eth0 tcpdump -i eth0 dst host hostname
tcpdump tcp port 80 host 210.27.xx.xx
搭建配置Nagios对服务器服务进行全面的监控
0x03 日志分析
日志配置文件/etc/syslog.conf
默认位置均在
mail 电子邮件 sendmail,qmail等信息
news 新闻组服务器
user 一般和户信息
syslog 内部log信息
auth 也是用户登入的信息,安全性和验证性的日志
uucp 全称是UNIX-TO-UNIX COPY PROTOCOL的信息
日志级别:
emerg 系统已经不可用,级别为紧急
alert 警报,需要立即处理和解决
crit 既将发生,得需要预防。事件就要发生
warnig 警告。
err 错误信息,普通的错误信息
notice 提醒信息,很重要的信息
info 通知信息,属于一般信息
debug 调试类信息
* 记录所有的信息,并发到所给所有的用户
包括sshd telnet pop等
工具推荐:
http://swatch.sourceforge.net/
0x04 文件权限
查找suid程序
find / -perm -4000 –ls
查找Sgid程序
find / -perm -2000 –ls
查找t权限位程序(因为只对目录有效,查看目录既可)
find / -type d -perm -1000 -ls
目录的t属性,设置了目录的T属性后1000,由只有该目录的所有者及root才能删除该目录,如/tmp目录就是drwxrwxrwt
chattr +i 防删除
chattr -i 取消防删
可安装第三方app防止root取消反删除属性
lsattr 查询属性
0x05 安全配置
安全配置mysql、nginx、php、apache、snmp等服务
sshd服务
/etc/ssh/sshd_config
修改端口、设置仅允许某些账户登录
防止爆破:fail2bandenyhosts等
ssh-keygen -t rsa 生成公私钥、通过证书免密码认证登录
web服务(apache为例)
修改默认的Banner
修改默认的HTTP状态响应码404,503等默认页面
访问特殊目录需要密码.htaccess
关闭索引目录 options -Includes
关闭CGI执行程序options –ExecCGI
查看和关闭一些系统模块 httpd –l列举
设置允许执行目录权限
dns服务
无dns服务则绑定安全dns,开放dns服务禁用域传送等
ftp服务
大多运行vsftpd、主要防范
1.远程溢出(更新程序)
2.本地提权
3.暴力破解
4.sniffer
如非必要、可使用sftp传输文件
限制用户的访问目录
chroot_list_enable=YES
chroot_list_file=/etc
伪装vsftpd为Microsoft FTP Service
只允许特定用户登陆
/etc/pam.d/ftp
Sense=allow file=/etc/ftpusers
防爆破:
fail2ban
pptp(vpn)服务
防范中间人攻击及vpn密码弱/口/令
0x06 防火墙配置
除去硬件防火墙:Cisco公司的PIX系列、
Juniper的Netscreen、
H3C 的Secpath
大多数使用iptables软件防火墙
Iptables –A INPUT –p imcp –j
Drop(丢弃)
ACCPET(接受)
REJECT(弹回)
LOG(日志)
IPTABLES –t
表明
分三类nat filteter(默认) mangle(服务质量等)
Iptables
-A 增加一个规则
-D 删除规则
-R 替换(指定行上替换)
-I 插入
-L 显示所有规则
-F 删除所有规则
-P 默认策略
--line-numbers显示行号
-p 指定使用的协议
!号排除
-- --dst 目的地址
--in-interface 选择网卡
--fragment 数据包分段
--sport 源端口
--dport 目的端口
--state 状态(RELATED,ESTABLISHED)
demo::防ping
Iptables –A INPUT –p imcp –j DROP
demo::限制某端口
iptables –A INPUT –p tcp –d 192.168.0.1 –dport 21 –j DROP
0x07 定时备份
应该备份的目录
/home
/etc
/usr/local
网站内容
数据库备份
demo::备份硬盘
dd if=/dev
恢复硬盘
gzip –dc data1.gz | dd of=/dev
demo::tar备份目录
Tar cvzf - /home > /tmp/backup.tgz
创建一个根目录的备份包
Tar –zcvpf /home/fullbackup.tar.gz / --exclude=/mnt/* --exclude=/proc/*
demo::增量备份
tar –g snapshot –czvf aa.tar.gz
变化后再增量备份
tar –g snapshot –czvf aa.tar.gz.1
demo::mysqldump备份整个数据库
Mysqldump –uroot –p –opt database >backupfile.sql
恢复数据库
Mysql –uroot –p database <backupfile.sql
0x08 其他参考
pam模块
cdn加速设置:squid/Haproxy/
varnish
更新kernel/app
系统下载排行榜71011xp
番茄花园 Win7 64位 快速稳定版
2【纯净之家】Windows7 64位 最新纯净版
3【老机专用】Windows7 32位 精简旗舰版
4【纯净之家】Windows7 SP1 64位 全补丁旗舰版
5JUJUMAO Win7 64位 最新纯净版
6【纯净之家】Windows7 32位 最新纯净版
7【纯净之家】Windows7 SP1 64位 办公旗舰版
8【雨林木风】Windows7 64位 装机旗舰版
9【电脑公司】Windows7 64位 免费旗舰版
10【国庆献礼】JUJUMAO Win7 SP1 64位旗舰克隆纯净版
【纯净之家】Windows10 22H2 64位 专业工作站版
2【纯净之家】Windows10 22H2 64位 游戏优化版
3【纯净之家】Windows10 企业版 LTSC 2021
4【纯净之家】Windows10企业版LTSC2021 纯净版
5【深度技术】Windows10 64位 专业精简版
6联想Lenovo Windows10 22H2 64位专业版
7JUJUMAO Win8.1 Up3 X64 极速精简版v2019.11
8【纯净之家】Windows10 22H2 64位 专业精简版
9【雨林木风】Windows10 64位 专业精简版
10【纯净之家】Windows10 22H2 64位 专业办公版
【纯净之家】Windows11 23H2 64位 游戏优化版
2【纯净之家】Windows11 23H2 64位 专业工作站版
3【纯净之家】Windows11 23H2 64位 纯净专业版
4风林火山Windows11下载中文版
5【纯净之家】Windows11 23H2 64位 最新企业版
6【纯净之家】Windows11 23H2 64位 中文家庭版
7JUJUMAO Win11 24H2 64位 专业版镜像
8深度精简 Win11 ESD 全新优化纯净版V2024
9【纯净之家】Windows11 23H2 64位专业精简版
10【纯净之家】Windows11 23H2 64位 纯净家庭版
深度技术 GHOST XP SP3 电脑专用版 V2017.03
2深度技术 GGHOST XP SP3 电脑专用版 V2017.02
3Win7系统下载 PCOS技术Ghost WinXP SP3 2017 夏季装机版
4萝卜家园 GHOST XP SP3 万能装机版 V2017.03
5番茄花园 GHOST XP SP3 极速体验版 V2017.03
6雨林木风 GHOST XP SP3 官方旗舰版 V2017.03
7电脑公司 GHOST XP SP3 经典旗舰版 V2017.03
8雨林木风GHOST XP SP3完美纯净版【V201710】已激活
9萝卜家园 GHOST XP SP3 完美装机版 V2016.10
10雨林木风 GHOST XP SP3 精英装机版 V2017.04
热门教程
装机必备 更多+
重装工具
