玄幻小说完本,小说阅读器,玄幻小说完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

【博文推薦】云服務(wù)下的安全特點及基礎(chǔ)防護(hù)

本博文出自博客zhulinu 博主，有任何問題請進(jìn)入博主頁面互動討論！

?博文地址：http://zhulinu.blog./539189/1640441

隨著互聯(lián)網(wǎng)和云計算的發(fā)展，公有云服務(wù)器是人們越來越容易接受的產(chǎn)品，其最普遍受益的一點就是節(jié)省成本。企業(yè)不必像擁有私有云那樣去購買，安裝，操作或運維服務(wù)器或是其他設(shè)備。在一個公有云的服務(wù)供應(yīng)商提供的平臺上，企業(yè)只需使用或開發(fā)他們自己的應(yīng)用程序即可。但公有云的安全問題也是顯而易見的，基于 Internet的公有云服務(wù)的特性，全世界只要能上網(wǎng)的人就可以訪問到其云服務(wù)器，其在云主機(jī)及其云上的數(shù)據(jù)受到威脅會更多而且更復(fù)雜，數(shù)據(jù)相對于私有云處于一個不穩(wěn)定的狀態(tài)。不管是傳統(tǒng)的信息化還是未來趨勢的云計算，都面臨著安全的風(fēng)險，從安全防護(hù)的角度來說，需要一個循序漸進(jìn)的方式去完善安全體系。一般建設(shè)的順序是網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全的順序逐步完善。

但對于很多中小企業(yè)來說，本身的設(shè)備也不是太多，也就幾臺到幾十臺而已，如果花費太多的精力去搞安全也不劃算，如果不搞又感覺不放心。那什么方面的內(nèi)容是中小企業(yè)關(guān)注的呢?個人認(rèn)為應(yīng)該優(yōu)先關(guān)注訪問安全，就是有沒有人非法訪問你的服務(wù)器，因為在云平臺下，任何人只要接入網(wǎng)絡(luò)都可以訪問到你的機(jī)器。所以我認(rèn)為應(yīng)該優(yōu)先關(guān)注此信息，報告非上班時間訪問，非上班地點訪問，密碼猜測，賬號猜測，賬號猜測成功等行為。從我了解的情況下，這部分目前還沒有比較有效的開源或者免費工具供大家使用，現(xiàn)在elk用的比較多，但大多數(shù)情況下都不太適合中小公司，門檻太高。因此本公司針對這種情況，專門開發(fā)了賽克藍(lán)德日志分析軟件?？梢葬槍ι厦娴膸追N情況進(jìn)行分析，部署簡單學(xué)習(xí)成本很低。

首先上一張門戶圖：

下面來分析下幾種告警：

非上班時間登錄

本次告警規(guī)則為非上班時間登錄系統(tǒng)，主要的目的是防止有人在非上班時間登錄系統(tǒng)，這種情況是比較危險的。

驗證過程：

首先配置非上班時間，這個系統(tǒng)已經(jīng)內(nèi)置，在安全配置的安全配置中。默認(rèn)0點到8點，晚上20點到24點為非上班時間。

然后再用ssh連接工具，比如SecureCRT登錄系統(tǒng)。這個時候就會有一條日志記錄。

從日志上可以看出，登錄時間為21:32:28秒，是屬于非上班時間。登錄后等個兩三分中到WEB關(guān)系系統(tǒng)中查看日志和告警。

可以看出系統(tǒng)記錄了日志，并產(chǎn)生了告警。

非上班地點登錄

本次告警規(guī)則為非上班地點登錄系統(tǒng)，主要的目的是防止有人在非上班地點登錄系統(tǒng)，這種情況是比較危險的。

驗證過程：

首先配置上班地點。這些數(shù)據(jù)要根據(jù)工作環(huán)境設(shè)置。從中可以看出這里里面沒有192.168.21.1。需要注意的是配置完成后需要重新啟動采集器來加載配置參數(shù)。

驗證的過程和非上班時間一致。這個時候會產(chǎn)生一條非上班地點告警。需要注意的是對同一條事件如果滿足多個告警規(guī)則，會生成多條告警，但日志只有一條。

從告警日志的詳情來看和剛才的非上班時間登錄是同一條日志。

當(dāng)把192.168.21.1添加到上班地點中的時候，在做一次登錄操作。這時候發(fā)現(xiàn)并沒有產(chǎn)生告警，則表示此規(guī)則生效。

#p#

密碼猜測攻擊

密碼猜測攻擊是一種非常常見的攻擊手段，其特征是一段時間內(nèi)容有連續(xù)的錯誤登錄日志，則可以確定為密碼猜測攻擊。

驗證過程：

在一段時間內(nèi)連續(xù)輸錯密碼即可。從日志上看，在短時間內(nèi)輸錯了3次密碼。

產(chǎn)生的告警如下：

對應(yīng)的事件：

這里面有個疑問就是多條日志在這里面只有一條日志，但對應(yīng)的告警數(shù)量是3，這是因為在系統(tǒng)中對原始事件做了歸并處理，當(dāng)系統(tǒng)發(fā)現(xiàn)原始事件是一類的時候，就把這些事件合并成一條事件，對應(yīng)的事件數(shù)量為實際發(fā)生的數(shù)量。

賬號猜測攻擊

賬號猜測攻擊是一種非常常見的攻擊手段，一般被攻擊者首先要確定主機(jī)的賬號后才能對其發(fā)起進(jìn)一步的攻擊。所以一般攻擊者首先會猜測root的賬號，所以修改 root賬號名稱或者禁止root賬號遠(yuǎn)程登陸是非常有效的安全手段。其特征是一段時間內(nèi)容有連續(xù)的賬號不存在登錄日志，則可以確定為賬號猜測攻擊。告警規(guī)則如下：

驗證過程，用系統(tǒng)中不存在的賬號登錄系統(tǒng)。

產(chǎn)生的告警如下：

所對應(yīng)的日志詳情如下：

密碼猜測攻擊成功

密碼猜測攻擊成功是一種非常嚴(yán)重的攻擊，表示攻擊者已經(jīng)攻擊成功，進(jìn)入了系統(tǒng)，這種情況是非常危險的，尤其要重點關(guān)注此告警。這種告警的主要特點是，剛開始的時候，用戶有密碼猜測的行為，緊接著用戶會有一條登錄成功的行為，這兩種行為結(jié)合起來后就可以得出密碼猜測攻擊成功。

驗證過程，首先用錯誤的密碼連續(xù)登錄系統(tǒng)幾次，之后再用正確的密碼登錄。

產(chǎn)生的告警，可以看到產(chǎn)生了兩條告警，一條是密碼猜測攻擊，一條是密碼猜測攻擊成功。

我們在看一下系統(tǒng)里面記錄的日志，明顯能看到，先有5此失敗登錄，緊接著有一條成功的日志。

從上面可以看出，基本上可以滿足中小公司對登錄日志分析的要求。

下載地址：

linux版本：http://pan.baidu.com/s/1i3sz19V

window版本：http://pan.baidu.com/s/1mg00RQo

歡迎試用，并提寶貴建議。

分享名稱：【博文推薦】云服務(wù)下的安全特點及基礎(chǔ)防護(hù)
URL分享：http://fisionsoft.com.cn/article/coehiji.html

新聞中心

其他資訊