Linux运维安全小结

稿子偏重运维安全多一些，不容易很主要，关键是关键字小结，以CentOS为例：

0x01  物理学安全防护

1.正确引导grub.conf 加上登陆密码

MD5应用grub-md5-crypt 123321 转化成

2.应用vlock屏保安全性

3.BIOS密码设置，并关掉U口

0x02  实时监控系统

查询系统端口号及服务项目情况

netstat -tnl

查看端口相匹配server

lsof -i :22 //查询22端口号相匹配sshd服务项目

查询服务运作级別

chkconfig --list

GUI设定服务项目指令

ntsysv

调节服务项目运作级別

以kudzu服务项目为例//检验硬件配置拆换服务项目

chkconfig --level 3 kzdzu on

chkconfig --level 2345 kzdzu off

top监控器运作情况

who 、w 查询online帐户信息内容

iostat监控器硬盘 I/O状况

meminfo、free 运行内存信息内容

uptime 启动时间

tcpdump -i eth0 

tcpdump -i eth0 src host hostname

tcpdump -i eth0 dst host hostname

tcpdump tcp port 80 host 210.27.xx.xx

构建配备Nagios对网络服务器服务项目开展全方位的监控器

0x03  日志分析

系统日志配置文件/etc/syslog.conf

默认设置部位均在/var/log文件目录

mail 电子邮箱 sendmail,qmail等信息内容

news 新闻组网络服务器

user 通常和户信息内容

syslog 內部log信息内容

auth 都是客户登陆的信息内容，安全系数和认证性的系统日志

uucp 全名是UNIX-TO-UNIX COPY PROTOCOL的信息内容

系统日志级別:

emerg 系统软件早已无效，级別为应急

alert 报警，必须马上解决和处理

crit 既将产生，得必须防止。恶性事件还要产生

warnig 警示。

err 错误信息，一般的错误信息

notice 提示信息内容，很关键的信息内容

info 通告信息内容，归属于通常信息内容

debug 调节类信息内容

* 纪录全部的信息内容，高并发到所给全部的客户

/var/log/secure登录进系统软件的纪录

   包含sshd telnet pop等 

专用工具强烈推荐：

http://swatch.sourceforge.net/

0x04  文档管理权限

搜索suid程序流程

find / -perm -4000 –ls

搜索Sgid程序流程

find / -perm -2000 –ls

搜索t管理权限位程序流程(由于只对文件目录合理,查看目录既可)

find / -type d -perm -1000 -ls

文件目录的t特性,设定了文件目录的T特性后1000，由只能该文件目录的使用者及root能够删掉该文件目录，如/tmp文件目录就是说drwxrwxrwt

chattr +i 防删掉

chattr -i 撤销防删

可安裝第三方平台app避免root撤销反删掉特性

lsattr 查寻特性

0x05  安全性配备

安全性配备mysql、nginx、php、apache、snmp等服务项目

sshd服务项目

/etc/ssh/sshd_config

改动端口号、设定仅容许一些账户登录

避免工程爆破:fail2ban\denyhosts等

ssh-keygen -t rsa 转化成公私钥、根据资格证书免登陆密码验证登陆

web服务项目(apache为例)

改动默认设置的Banner

改动默认设置的HTTP情况没有响应码404,503等默认页面

浏览独特文件目录必须登陆密码.htaccess

关掉数据库索引文件目录 options -Includes

关掉CGI执行程序options –ExecCGI

查询和关掉某些系统软件控制模块 httpd –l例举

设定容许实行文件目录管理权限

dns服务项目

无dns服务项目则关联安全性dns，对外开放dns服务项目停用域传输等

ftp服务项目

大多数运作vsftpd、关键预防

1.远程控制上溢(升级程序流程)

2.当地提权

3.暴力破解

4.sniffer

如非必要、可应用sftp传送文档

限定客户的浏览文件目录

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd.chroot_list

掩藏vsftpd为Microsoft FTP Service

只容许特殊客户登录

/etc/pam.d/ftp

Sense=allow file=/etc/ftpusers

防工程爆破：

fail2ban

pptp(vpn)服务项目

预防中间人攻击及vpn登陆密码弱动态口令

0x06  防火墙配置

去除企业防火墙：Cisco企业的PIX系列产品、

Juniper的Netscreen、

H3C 的Secpath

大部分应用iptables手机软件服务器防火墙

Iptables –A I