Linux运维安全小结

Linux运维安全小结

黑客安全hacker2019-05-26 4:33:3613363A+A-

稿子偏重运维安全多一些,不容易很主要,关键是关键字小结,以CentOS为例:

0x01  物理学安全防护

1.正确引导grub.conf 加上登陆密码

 

MD5应用grub-md5-crypt 123321 转化成

2.应用vlock屏保安全性

3.BIOS密码设置,并关掉U口

 

 

0x02  实时监控系统

查询系统端口号及服务项目情况

netstat -tnl

查看端口相匹配server

lsof -i :22 //查询22端口号相匹配sshd服务项目

查询服务运作级別

chkconfig --list

GUI设定服务项目指令

ntsysv

调节服务项目运作级別

以kudzu服务项目为例//检验硬件配置拆换服务项目

chkconfig --level 3 kzdzu on

chkconfig --level 2345 kzdzu off

top监控器运作情况

who 、w 查询online帐户信息内容

iostat监控器硬盘 I/O状况

meminfo、free 运行内存信息内容

uptime 启动时间

tcpdump -i eth0 

tcpdump -i eth0 src host hostname

tcpdump -i eth0 dst host hostname

tcpdump tcp port 80 host 210.27.xx.xx

构建配备Nagios对网络服务器服务项目开展全方位的监控器

 

0x03  日志分析

系统日志配置文件/etc/syslog.conf

默认设置部位均在/var/log文件目录

mail 电子邮箱 sendmail,qmail等信息内容

news 新闻组网络服务器

user 通常和户信息内容

syslog 內部log信息内容

auth 都是客户登陆的信息内容,安全系数和认证性的系统日志

uucp 全名是UNIX-TO-UNIX COPY PROTOCOL的信息内容

系统日志级別:

emerg 系统软件早已无效,级別为应急

alert 报警,必须马上解决和处理

crit 既将产生,得必须防止。恶性事件还要产生

warnig 警示。

err 错误信息,一般的错误信息

notice 提示信息内容,很关键的信息内容

info 通告信息内容,归属于通常信息内容

debug 调节类信息内容

* 纪录全部的信息内容,高并发到所给全部的客户

/var/log/secure登录进系统软件的纪录

   包含sshd telnet pop等 

专用工具强烈推荐:

http://swatch.sourceforge.net/

 

0x04  文档管理权限

搜索suid程序流程

find / -perm -4000 –ls

搜索Sgid程序流程

find / -perm -2000 –ls

搜索t管理权限位程序流程(由于只对文件目录合理,查看目录既可)

find / -type d -perm -1000 -ls

文件目录的t特性,设定了文件目录的T特性后1000,由只能该文件目录的使用者及root能够删掉该文件目录,如/tmp文件目录就是说drwxrwxrwt

chattr +i 防删掉

chattr -i 撤销防删

可安裝第三方平台app避免root撤销反删掉特性

lsattr 查寻特性

 

0x05  安全性配备

安全性配备mysql、nginx、php、apache、snmp等服务项目

sshd服务项目

/etc/ssh/sshd_config

改动端口号、设定仅容许一些账户登录

避免工程爆破:fail2ban\denyhosts等

ssh-keygen -t rsa 转化成公私钥、根据资格证书免登陆密码验证登陆

web服务项目(apache为例)

改动默认设置的Banner

改动默认设置的HTTP情况没有响应码404,503等默认页面

浏览独特文件目录必须登陆密码.htaccess

关掉数据库索引文件目录 options -Includes

关掉CGI执行程序options –ExecCGI

查询和关掉某些系统软件控制模块 httpd –l例举

设定容许实行文件目录管理权限

dns服务项目

无dns服务项目则关联安全性dns,对外开放dns服务项目停用域传输等

ftp服务项目

大多数运作vsftpd、关键预防

1.远程控制上溢(升级程序流程)

2.当地提权

3.暴力破解

4.sniffer

如非必要、可应用sftp传送文档

限定客户的浏览文件目录

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd.chroot_list

掩藏vsftpd为Microsoft FTP Service

只容许特殊客户登录

/etc/pam.d/ftp

Sense=allow file=/etc/ftpusers

防工程爆破:

fail2ban

pptp(vpn)服务项目

预防中间人攻击及vpn登陆密码弱动态口令

 

0x06  防火墙配置

去除企业防火墙:Cisco企业的PIX系列产品、

Juniper的Netscreen、

H3C 的Secpath

大部分应用iptables手机软件服务器防火墙

Iptables –A I


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 蓝殇鸠骨2022-06-03 05:41:08
  • 5应用grub-md5-crypt 123321 转化成2.应用vlock屏保安全性3.BIOS密码设置,并关掉U口  0x02  实时监控系
  • ドーナツ12022-06-03 10:39:53
  • 平台app避免root撤销反删掉特性lsattr 查寻特性 0x05  安全性配备安全性配备mysql、nginx、php、apache、snmp等服务项目sshd服务项目/etc/ssh/sshd_config改动端口号、设定仅容许一些账户登录避免
  • 澄萌嘻友2022-06-03 13:09:26
  • ,并关掉U口  0x02  实时监控系统查询系统端口号及服务项目情况netstat -tnl查看端口相匹配serverlsof -i :22 //查询22端口号相匹配sshd服务项目查询服务运作级別chkconfig --listGUI设定服务项

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理