最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
提高服務(wù)器的安全方式使用 提升服務(wù)器

如何提高linux服務(wù)器的安全策略

安全是IT行業(yè)一個(gè)老生常談的話題了,處理好信息安全問題已變得刻不容緩。做為運(yùn)維人員,就必須了解一些安全運(yùn)維準(zhǔn)則,同時(shí),要保護(hù)自己所負(fù)責(zé)的業(yè)務(wù),首先要站在攻擊者的角度思考問題,修補(bǔ)任何潛在的威脅和漏洞。主要分五部分展開:賬戶和登錄安全賬戶安全是系統(tǒng)安全的第一道屏障,也是系統(tǒng)安全的核心,保障登錄賬戶的安全,在一定程度上可以提高服務(wù)器的安全級(jí)別,下面重點(diǎn)介紹下Linux系統(tǒng)登錄賬戶的安全設(shè)置方法。

創(chuàng)新互聯(lián)公司網(wǎng)站建設(shè)提供從項(xiàng)目策劃、軟件開發(fā),軟件安全維護(hù)、網(wǎng)站優(yōu)化(SEO)、網(wǎng)站分析、效果評(píng)估等整套的建站服務(wù),主營(yíng)業(yè)務(wù)為網(wǎng)站設(shè)計(jì)、網(wǎng)站制作,成都app軟件開發(fā)公司以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。創(chuàng)新互聯(lián)公司深信只要達(dá)到每一位用戶的要求,就會(huì)得到認(rèn)可,從而選擇與我們長(zhǎng)期合作。這樣,我們也可以走得更遠(yuǎn)!

1、刪除特殊的賬戶和賬戶組 Linux提供了各種不同角色的系統(tǒng)賬號(hào),在系統(tǒng)安裝完成后,默認(rèn)會(huì)安裝很多不必要的用戶和用戶組,如果不需要某些用戶或者組,就要立即刪除它,因?yàn)橘~戶越多,系統(tǒng)就越不安全,很可能被黑客利用,進(jìn)而威脅到服務(wù)器的安全。

Linux系統(tǒng)中可以刪除的默認(rèn)用戶和組大致有如下這些:

可刪除的用戶,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。

可刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。

2、關(guān)閉系統(tǒng)不需要的服務(wù)Linux在安裝完成后,綁定了很多沒用的服務(wù),這些服務(wù)默認(rèn)都是自動(dòng)啟動(dòng)的。對(duì)于服務(wù)器來說,運(yùn)行的服務(wù)越多,系統(tǒng)就越不安全,越少服務(wù)在運(yùn)行,安全性就越好,因此關(guān)閉一些不需要的服務(wù),對(duì)系統(tǒng)安全有很大的幫助。具體哪些服務(wù)可以關(guān)閉,要根據(jù)服務(wù)器的用途而定,一般情況下,只要系統(tǒng)本身用不到的服務(wù)都認(rèn)為是不必要的服務(wù)。例如:某臺(tái)Linux服務(wù)器用于www應(yīng)用,那么除了httpd服務(wù)和系統(tǒng)運(yùn)行是必須的服務(wù)外,其他服務(wù)都可以關(guān)閉。下面這些服務(wù)一般情況下是不需要的,可以選擇關(guān)閉: anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv

3、密碼安全策略在Linux下,遠(yuǎn)程登錄系統(tǒng)有兩種認(rèn)證方式:密碼認(rèn)證和密鑰認(rèn)證。密碼認(rèn)證方式是傳統(tǒng)的安全策略,對(duì)于密碼的設(shè)置,比較普遍的說法是:至少6個(gè)字符以上,密碼要包含數(shù)字、字母、下劃線、特殊符號(hào)等。設(shè)置一個(gè)相對(duì)復(fù)雜的密碼,對(duì)系統(tǒng)安全能起到一定的防護(hù)作用,但是也面臨一些其他問題,例如密碼暴力破解、密碼泄露、密碼丟失等,同時(shí)過于復(fù)雜的密碼對(duì)運(yùn)維工作也會(huì)造成一定的負(fù)擔(dān)。密鑰認(rèn)證是一種新型的認(rèn)證方式,公用密鑰存儲(chǔ)在遠(yuǎn)程服務(wù)器上,專用密鑰保存在本地,當(dāng)需要登錄系統(tǒng)時(shí),通過本地專用密鑰和遠(yuǎn)程服務(wù)器的公用密鑰進(jìn)行配對(duì)認(rèn)證,如果認(rèn)證成功,就成功登錄系統(tǒng)。這種認(rèn)證方式避免了被暴力破解的危險(xiǎn),同時(shí)只要保存在本地的專用密鑰不被黑客盜用,攻擊者一般無法通過密鑰認(rèn)證的方式進(jìn)入系統(tǒng)。因此,在Linux下推薦用密鑰認(rèn)證方式登錄系統(tǒng),這樣就可以拋棄密碼認(rèn)證登錄系統(tǒng)的弊端。Linux服務(wù)器一般通過SecureCRT、putty、Xshell之類的工具進(jìn)行遠(yuǎn)程維護(hù)和管理,密鑰認(rèn)證方式的實(shí)現(xiàn)就是借助于SecureCRT軟件和Linux系統(tǒng)中的SSH服務(wù)實(shí)現(xiàn)的。

4、合理使用su、sudo命令su命令:是一個(gè)切換用戶的工具,經(jīng)常用于將普通用戶切換到超級(jí)用戶下,當(dāng)然也可以從超級(jí)用戶切換到普通用戶。為了保證服務(wù)器的安全,幾乎所有服務(wù)器都禁止了超級(jí)用戶直接登錄系統(tǒng),而是通過普通用戶登錄系統(tǒng),然后再通過su命令切換到超級(jí)用戶下,執(zhí)行一些需要超級(jí)權(quán)限的工作。通過su命令能夠給系統(tǒng)管理帶來一定的方便,但是也存在不安全的因素,例如:系統(tǒng)有10個(gè)普通用戶,每個(gè)用戶都需要執(zhí)行一些有超級(jí)權(quán)限的操作,就必須把超級(jí)用戶的密碼交給這10個(gè)普通用戶,如果這10個(gè)用戶都有超級(jí)權(quán)限,通過超級(jí)權(quán)限可以做任何事,那么會(huì)在一定程度上對(duì)系統(tǒng)的安全造成了威協(xié)。因此su命令在很多人都需要參與的系統(tǒng)管理中,并不是最好的選擇,超級(jí)用戶密碼應(yīng)該掌握在少數(shù)人手中,此時(shí)sudo命令就派上用場(chǎng)了。sudo命令:允許系統(tǒng)管理員分配給普通用戶一些合理的“權(quán)利”,并且不需要普通用戶知道超級(jí)用戶密碼,就能讓他們執(zhí)行一些只有超級(jí)用戶或其他特許用戶才能完成的任務(wù)。比如:系統(tǒng)服務(wù)重啟、編輯系統(tǒng)配置文件等,通過這種方式不但能減少超級(jí)用戶登錄次數(shù)和管理時(shí)間,也提高了系統(tǒng)安全性。因此,sudo命令相對(duì)于權(quán)限無限制性的su來說,還是比較安全的,所以sudo也被稱為受限制的su,另外sudo也是需要事先進(jìn)行授權(quán)認(rèn)證的,所以也被稱為授權(quán)認(rèn)證的su。

sudo執(zhí)行命令的流程是:將當(dāng)前用戶切換到超級(jí)用戶下,或切換到指定的用戶下,然后以超級(jí)用戶或其指定切換到的用戶身份執(zhí)行命令,執(zhí)行完成后,直接退回到當(dāng)前用戶,而這一切的完成要通過sudo的配置文件/etc/sudoers來進(jìn)行授權(quán)。

sudo設(shè)計(jì)的宗旨是:賦予用戶盡可能少的權(quán)限但仍允許它們完成自己的工作,這種設(shè)計(jì)兼顧了安全性和易用性,因此,強(qiáng)烈推薦通過sudo來管理系統(tǒng)賬號(hào)的安全,只允許普通用戶登錄系統(tǒng),如果這些用戶需要特殊的權(quán)限,就通過配置/etc/sudoers來完成,這也是多用戶系統(tǒng)下賬號(hào)安全管理的基本方式。

5、刪減系統(tǒng)登錄歡迎信息 系統(tǒng)的一些歡迎信息或版本信息,雖然能給系統(tǒng)管理者帶來一定的方便,但是這些信息有時(shí)候可能被黑客利用,成為攻擊服務(wù)器的幫兇,為了保證系統(tǒng)的安全,可以修改或刪除某些系統(tǒng)文件,需要修改或刪除的文件有4個(gè),分別是:/etc/issue、/etc/issue點(diǎn)虐 、/etc/redhat-release和/etc/motd。/etc/issue和/etc/issue點(diǎn)虐 文件都記錄了操作系統(tǒng)的名稱和版本號(hào),當(dāng)用戶通過本地終端或本地虛擬控制臺(tái)等登錄系統(tǒng)時(shí),/etc/issue的文件內(nèi)容就會(huì)顯示,當(dāng)用戶通過ssh或telnet等遠(yuǎn)程登錄系統(tǒng)時(shí),/etc/issue點(diǎn)虐 文件內(nèi)容就會(huì)在登錄后顯示。在默認(rèn)情況下/etc/issue點(diǎn)虐 文件的內(nèi)容是不會(huì)在ssh登錄后顯示的,要顯示這個(gè)信息可以修改/etc/ssh/sshd_config文件,在此文件中添加如下內(nèi)容即可:Banner /etc/issue點(diǎn)虐 其實(shí)這些登錄提示很明顯泄漏了系統(tǒng)信息,為了安全起見,建議將此文件中的內(nèi)容刪除或修改。/etc/redhat-release文件也記錄了操作系統(tǒng)的名稱和版本號(hào),為了安全起見,可以將此文件中的內(nèi)容刪除/etc/motd文件是系統(tǒng)的公告信息。每次用戶登錄后,/etc/motd文件的內(nèi)容就會(huì)顯示在用戶的終端。通過這個(gè)文件系統(tǒng)管理員可以發(fā)布一些軟件或硬件的升級(jí)、系統(tǒng)維護(hù)等通告信息,但是此文件的最大作用就、是可以發(fā)布一些警告信息,當(dāng)黑客登錄系統(tǒng)后,會(huì)發(fā)現(xiàn)這些警告信息,進(jìn)而產(chǎn)生一些震懾作用??催^國(guó)外的一個(gè)報(bào)道,黑客入侵了一個(gè)服務(wù)器,而這個(gè)服務(wù)器卻給出了歡迎登錄的信息,因此法院不做任何裁決。

遠(yuǎn)程訪問和認(rèn)證安全

1、遠(yuǎn)程登錄取消telnet而采用SSH方式 telnet是一種古老的遠(yuǎn)程登錄認(rèn)證服務(wù),它在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù),因此別有用心的人就會(huì)非常容易截獲這些口令和數(shù)據(jù)。而且,telnet服務(wù)程序的安全驗(yàn)證方式也極其脆弱,攻擊者可以輕松將虛假信息傳送給服務(wù)器?,F(xiàn)在遠(yuǎn)程登錄基本拋棄了telnet這種方式,而取而代之的是通過SSH服務(wù)遠(yuǎn)程登錄服務(wù)器。

2、合理使用Shell歷史命令記錄功能 在Linux下可通過history命令查看用戶所有的歷史操作記錄,同時(shí)shell命令操作記錄默認(rèn)保存在用戶目錄下的.bash_history文件中,通過這個(gè)文件可以查詢shell命令的執(zhí)行歷史,有助于運(yùn)維人員進(jìn)行系統(tǒng)審計(jì)和問題排查,同時(shí),在服務(wù)器遭受黑客攻擊后,也可以通過這個(gè)命令或文件查詢黑客登錄服務(wù)器所執(zhí)行的歷史命令操作,但是有時(shí)候黑客在入侵服務(wù)器后為了毀滅痕跡,可能會(huì)刪除.bash_history文件,這就需要合理的保護(hù)或備份.bash_history文件。

3、啟用tcp_wrappers防火墻Tcp_Wrappers是一個(gè)用來分析TCP/IP封包的軟件,類似的IP封包軟件還有iptables。Linux默認(rèn)都安裝了Tcp_Wrappers。作為一個(gè)安全的系統(tǒng),Linux本身有兩層安全防火墻,通過IP過濾機(jī)制的iptables實(shí)現(xiàn)第一層防護(hù)。iptables防火墻通過直觀地監(jiān)視系統(tǒng)的運(yùn)行狀況,阻擋網(wǎng)絡(luò)中的一些惡意攻擊,保護(hù)整個(gè)系統(tǒng)正常運(yùn)行,免遭攻擊和破壞。如果通過了第一層防護(hù),那么下一層防護(hù)就是tcp_wrappers了。通過Tcp_Wrappers可以實(shí)現(xiàn)對(duì)系統(tǒng)中提供的某些服務(wù)的開放與關(guān)閉、允許和禁止,從而更有效地保證系統(tǒng)安全運(yùn)行。

文件系統(tǒng)安全

1、鎖定系統(tǒng)重要文件系統(tǒng)運(yùn)維人員有時(shí)候可能會(huì)遇到通過root用戶都不能修改或者刪除某個(gè)文件的情況,產(chǎn)生這種情況的大部分原因可能是這個(gè)文件被鎖定了。在Linux下鎖定文件的命令是chattr,通過這個(gè)命令可以修改ext2、ext3、ext4文件系統(tǒng)下文件屬性,但是這個(gè)命令必須有超級(jí)用戶root來執(zhí)行。和這個(gè)命令對(duì)應(yīng)的命令是lsattr,這個(gè)命令用來查詢文件屬性。對(duì)重要的文件進(jìn)行加鎖,雖然能夠提高服務(wù)器的安全性,但是也會(huì)帶來一些不便。例如:在軟件的安裝、升級(jí)時(shí)可能需要去掉有關(guān)目錄和文件的immutable屬性和append-only屬性,同時(shí),對(duì)日志文件設(shè)置了append-only屬性,可能會(huì)使日志輪換(logrotate)無法進(jìn)行。因此,在使用chattr命令前,需要結(jié)合服務(wù)器的應(yīng)用環(huán)境來權(quán)衡是否需要設(shè)置immutable屬性和append-only屬性。另外,雖然通過chattr命令修改文件屬性能夠提高文件系統(tǒng)的安全性,但是它并不適合所有的目錄。chattr命令不能保護(hù)/、/dev、/tmp、/var等目錄。根目錄不能有不可修改屬性,因?yàn)槿绻夸浘哂胁豢尚薷膶傩?,那么系統(tǒng)根本無法工作:/dev在啟動(dòng)時(shí),syslog需要?jiǎng)h除并重新建立/dev/log套接字設(shè)備,如果設(shè)置了不可修改屬性,那么可能出問題;/tmp目錄會(huì)有很多應(yīng)用程序和系統(tǒng)程序需要在這個(gè)目錄下建立臨時(shí)文件,也不能設(shè)置不可修改屬性;/var是系統(tǒng)和程序的日志目錄,如果設(shè)置為不可修改屬性,那么系統(tǒng)寫日志將無法進(jìn)行,所以也不能通過chattr命令保護(hù)。

2、文件權(quán)限檢查和修改不正確的權(quán)限設(shè)置直接威脅著系統(tǒng)的安全,因此運(yùn)維人員應(yīng)該能及時(shí)發(fā)現(xiàn)這些不正確的權(quán)限設(shè)置,并立刻修正,防患于未然。下面列舉幾種查找系統(tǒng)不安全權(quán)限的方法。

(1)查找系統(tǒng)中任何用戶都有寫權(quán)限的文件或目錄

查找文件:find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目錄:find / -type d -perm -2 -o -perm -20 |xargs ls –ld

(2)查找系統(tǒng)中所有含“s”位的程序

find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al

含有“s”位權(quán)限的程序?qū)ο到y(tǒng)安全威脅很大,通過查找系統(tǒng)中所有具有“s”位權(quán)限的程序,可以把某些不必要的“s”位程序去掉,這樣可以防止用戶濫用權(quán)限或提升權(quán)限的可能性。

(3)檢查系統(tǒng)中所有suid及sgid文件

find / -user root -perm -2000 -print -exec md5sum {} \;find / -user root -perm -4000 -print -exec md5sum {} \;

將檢查的結(jié)果保存到文件中,可在以后的系統(tǒng)檢查中作為參考。

(4)檢查系統(tǒng)中沒有屬主的文件

find / -nouser -o –nogroup

沒有屬主的孤兒文件比較危險(xiǎn),往往成為黑客利用的工具,因此找到這些文件后,要么刪除掉,要么修改文件的屬主,使其處于安全狀態(tài)。

3、/tmp、/var/tmp、/dev/shm安全設(shè)定在Linux系統(tǒng)中,主要有兩個(gè)目錄或分區(qū)用來存放臨時(shí)文件,分別是/tmp和/var/tmp。存儲(chǔ)臨時(shí)文件的目錄或分區(qū)有個(gè)共同點(diǎn)就是所有用戶可讀寫、可執(zhí)行,這就為系統(tǒng)留下了安全隱患。攻擊者可以將病毒或者木馬腳本放到臨時(shí)文件的目錄下進(jìn)行信息收集或偽裝,嚴(yán)重影響服務(wù)器的安全,此時(shí),如果修改臨時(shí)目錄的讀寫執(zhí)行權(quán)限,還有可能影響系統(tǒng)上應(yīng)用程序的正常運(yùn)行,因此,如果要兼顧兩者,就需要對(duì)這兩個(gè)目錄或分區(qū)就行特殊的設(shè)置。/dev/shm是Linux下的一個(gè)共享內(nèi)存設(shè)備,在Linux啟動(dòng)的時(shí)候系統(tǒng)默認(rèn)會(huì)加載/dev/shm,被加載的/dev/shm使用的是tmpfs文件系統(tǒng),而tmpfs是一個(gè)內(nèi)存文件系統(tǒng),存儲(chǔ)到tmpfs文件系統(tǒng)的數(shù)據(jù)會(huì)完全駐留在RAM中,這樣通過/dev/shm就可以直接操控系統(tǒng)內(nèi)存,這將非常危險(xiǎn),因此如何保證/dev/shm安全也至關(guān)重要。對(duì)于/tmp的安全設(shè)置,需要看/tmp是一個(gè)獨(dú)立磁盤分區(qū),還是一個(gè)根分區(qū)下的文件夾,如果/tmp是一個(gè)獨(dú)立的磁盤分區(qū),那么設(shè)置非常簡(jiǎn)單,修改/etc/fstab文件中/tmp分區(qū)對(duì)應(yīng)的掛載屬性,加上nosuid、noexec、nodev三個(gè)選項(xiàng)即可,修改后的/tmp分區(qū)掛載屬性類似如下:LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0 其中,nosuid、noexec、nodev選項(xiàng),表示不允許任何suid程序,并且在這個(gè)分區(qū)不能執(zhí)行任何腳本等程序,并且不存在設(shè)備文件。在掛載屬性設(shè)置完成后,重新掛載/tmp分區(qū),保證設(shè)置生效。對(duì)于/var/tmp,如果是獨(dú)立分區(qū),安裝/tmp的設(shè)置方法是修改/etc/fstab文件即可;如果是/var分區(qū)下的一個(gè)目錄,那么可以將/var/tmp目錄下所有數(shù)據(jù)移動(dòng)到/tmp分區(qū)下,然后在/var下做一個(gè)指向/tmp的軟連接即可。也就是執(zhí)行如下操作:

[root@server ~]# mv /var/tmp/* /tmp[root@server ~]# ln -s /tmp /var/tmp

如果/tmp是根目錄下的一個(gè)目錄,那么設(shè)置稍微復(fù)雜,可以通過創(chuàng)建一個(gè)loopback文件系統(tǒng)來利用Linux內(nèi)核的loopback特性將文件系統(tǒng)掛載到/tmp下,然后在掛載時(shí)指定限制加載選項(xiàng)即可。一個(gè)簡(jiǎn)單的操作示例如下:

[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000[root@server ~]# mke2fs -j /dev/tmpfs[root@server ~]# cp -av /tmp /tmp.old[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp[root@server ~]# chmod 1777 /tmp[root@server ~]# mv -f /tmp.old/* /tmp/[root@server ~]# rm -rf /tmp.old

最后,編輯/etc/fstab,添加如下內(nèi)容,以便系統(tǒng)在啟動(dòng)時(shí)自動(dòng)加載loopback文件系統(tǒng):

/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0

Linux后門入侵檢測(cè)工具rootkit是Linux平臺(tái)下最常見的一種木馬后門工具,它主要通過替換系統(tǒng)文件來達(dá)到入侵和和隱蔽的目的,這種木馬比普通木馬后門更加危險(xiǎn)和隱蔽,普通的檢測(cè)工具和檢查手段很難發(fā)現(xiàn)這種木馬。rootkit攻擊能力極強(qiáng),對(duì)系統(tǒng)的危害很大,它通過一套工具來建立后門和隱藏行跡,從而讓攻擊者保住權(quán)限,以使它在任何時(shí)候都可以使用root權(quán)限登錄到系統(tǒng)。rootkit主要有兩種類型:文件級(jí)別和內(nèi)核級(jí)別,下面分別進(jìn)行簡(jiǎn)單介紹。文件級(jí)別的rootkit一般是通過程序漏洞或者系統(tǒng)漏洞進(jìn)入系統(tǒng)后,通過修改系統(tǒng)的重要文件來達(dá)到隱藏自己的目的。在系統(tǒng)遭受rootkit攻擊后,合法的文件被木馬程序替代,變成了外殼程序,而其內(nèi)部是隱藏著的后門程序。通常容易被rootkit替換的系統(tǒng)程序有l(wèi)ogin、ls、ps、ifconfig、du、find、netstat等,其中l(wèi)ogin程序是最經(jīng)常被替換的,因?yàn)楫?dāng)訪問Linux時(shí),無論是通過本地登錄還是遠(yuǎn)程登錄,/bin/login程序都會(huì)運(yùn)行,系統(tǒng)將通過/bin/login來收集并核對(duì)用戶的賬號(hào)和密碼,而rootkit就是利用這個(gè)程序的特點(diǎn),使用一個(gè)帶有根權(quán)限后門密碼的/bin/login來替換系統(tǒng)的/bin/login,這樣攻擊者通過輸入設(shè)定好的密碼就能輕松進(jìn)入系統(tǒng)。此時(shí),即使系統(tǒng)管理員修改root密碼或者清除root密碼,攻擊者還是一樣能通過root用戶登錄系統(tǒng)。攻擊者通常在進(jìn)入Linux系統(tǒng)后,會(huì)進(jìn)行一系列的攻擊動(dòng)作,最常見的是安裝嗅探器收集本機(jī)或者網(wǎng)絡(luò)中其他服務(wù)器的重要數(shù)據(jù)。在默認(rèn)情況下,Linux中也有一些系統(tǒng)文件會(huì)監(jiān)控這些工具動(dòng)作,例如ifconfig命令,所以,攻擊者為了避免被發(fā)現(xiàn),會(huì)想方設(shè)法替換其他系統(tǒng)文件,常見的就是ls、ps、ifconfig、du、find、netstat等。如果這些文件都被替換,那么在系統(tǒng)層面就很難發(fā)現(xiàn)rootkit已經(jīng)在系統(tǒng)中運(yùn)行了。這就是文件級(jí)別的rootkit,對(duì)系統(tǒng)維護(hù)很大,目前最有效的防御方法是定期對(duì)系統(tǒng)重要文件的完整性進(jìn)行檢查,如果發(fā)現(xiàn)文件被修改或者被替換,那么很可能系統(tǒng)已經(jīng)遭受了rootkit入侵。檢查件完整性的工具很多,常見的有Tripwire、 aide等,可以通過這些工具定期檢查文件系統(tǒng)的完整性,以檢測(cè)系統(tǒng)是否被rootkit入侵。內(nèi)核級(jí)rootkit是比文件級(jí)rootkit更高級(jí)的一種入侵方式,它可以使攻擊者獲得對(duì)系統(tǒng)底層的完全控制權(quán),此時(shí)攻擊者可以修改系統(tǒng)內(nèi)核,進(jìn)而截獲運(yùn)行程序向內(nèi)核提交的命令,并將其重定向到入侵者所選擇的程序并運(yùn)行此程序,也就是說,當(dāng)用戶要運(yùn)行程序A時(shí),被入侵者修改過的內(nèi)核會(huì)假裝執(zhí)行A程序,而實(shí)際上卻執(zhí)行了程序B。內(nèi)核級(jí)rootkit主要依附在內(nèi)核上,它并不對(duì)系統(tǒng)文件做任何修改,因此一般的檢測(cè)工具很難檢測(cè)到它的存在,這樣一旦系統(tǒng)內(nèi)核被植入rootkit,攻擊者就可以對(duì)系統(tǒng)為所欲為而不被發(fā)現(xiàn)。目前對(duì)于內(nèi)核級(jí)的rootkit還沒有很好的防御工具,因此,做好系統(tǒng)安全防范就非常重要,將系統(tǒng)維持在最小權(quán)限內(nèi)工作,只要攻擊者不能獲取root權(quán)限,就無法在內(nèi)核中植入rootkit。

1、rootkit后門檢測(cè)工具chkrootkit chkrootkit是一個(gè)Linux系統(tǒng)下查找并檢測(cè)rootkit后門的工具,它的官方址:。 chkrootkit沒有包含在官方的CentOS源中,因此要采取手動(dòng)編譯的方法來安裝,不過這種安裝方法也更加安全。chkrootkit的使用比較簡(jiǎn)單,直接執(zhí)行chkrootkit命令即可自動(dòng)開始檢測(cè)系統(tǒng)。下面是某個(gè)系統(tǒng)的檢測(cè)結(jié)果:

[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitChecking `ifconfig’… INFECTEDChecking `ls’… INFECTEDChecking `login’… INFECTEDChecking `netstat’… INFECTEDChecking `ps’… INFECTEDChecking `top’… INFECTEDChecking `sshd’… not infectedChecking `syslogd’… not tested

從輸出可以看出,此系統(tǒng)的ifconfig、ls、login、netstat、ps和top命令已經(jīng)被感染。針對(duì)被感染rootkit的系統(tǒng),最安全而有效的方法就是備份數(shù)據(jù)重新安裝系統(tǒng)。chkrootkit在檢查rootkit的過程中使用了部分系統(tǒng)命令,因此,如果服務(wù)器被黑客入侵,那么依賴的系統(tǒng)命令可能也已經(jīng)被入侵者替換,此時(shí)chkrootkit的檢測(cè)結(jié)果將變得完全不可信。為了避免chkrootkit的這個(gè)問題,可以在服務(wù)器對(duì)外開放前,事先將chkrootkit使用的系統(tǒng)命令進(jìn)行備份,在需要的時(shí)候使用備份的原始系統(tǒng)命令讓chkrootkit對(duì)rootkit進(jìn)行檢測(cè)。

2、rootkit后門檢測(cè)工具RKHunter RKHunter是一款專業(yè)的檢測(cè)系統(tǒng)是否感染rootkit的工具,它通過執(zhí)行一系列的腳本來確認(rèn)服務(wù)器是否已經(jīng)感染rootkit。在官方的資料中,RKHunter可以作的事情有:MD5校驗(yàn)測(cè)試,檢測(cè)文件是否有改動(dòng)

檢測(cè)rootkit使用的二進(jìn)制和系統(tǒng)工具文件 檢測(cè)特洛伊木馬程序的特征碼 檢測(cè)常用程序的文件屬性是否異常 檢測(cè)系統(tǒng)相關(guān)的測(cè)試 檢測(cè)隱藏文件 檢測(cè)可疑的核心模塊LKM 檢測(cè)系統(tǒng)已啟動(dòng)的監(jiān)聽端口

在Linux終端使用rkhunter來檢測(cè),最大的好處在于每項(xiàng)的檢測(cè)結(jié)果都有不同的顏色顯示,如果是綠色的表示沒有問題,如果是紅色的,那就要引起關(guān)注了。另外,在執(zhí)行檢測(cè)的過程中,在每個(gè)部分檢測(cè)完成后,需要以Enter鍵來繼續(xù)。如果要讓程序自動(dòng)運(yùn)行,可以執(zhí)行如下命令:

[root@server ~]# /usr/local/bin/rkhunter –check –skip-keypress

同時(shí),如果想讓檢測(cè)程序每天定時(shí)運(yùn)行,那么可以在/etc/crontab中加入如下內(nèi)容:

30 09 * * * root /usr/local/bin/rkhunter –check –cronjob

這樣,rkhunter檢測(cè)程序就會(huì)在每天的9:30分運(yùn)行一次。服務(wù)器遭受攻擊后的處理過程安全總是相對(duì)的,再安全的服務(wù)器也有可能遭受到攻擊。作為一個(gè)安全運(yùn)維人員,要把握的原則是:盡量做好系統(tǒng)安全防護(hù),修復(fù)所有已知的危險(xiǎn)行為,同時(shí),在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對(duì)系統(tǒng)產(chǎn)生的影響。

如何提高FTP服務(wù)器安全性

FTP是一種文件傳輸協(xié)議。有時(shí)我們把他形象的叫做文件交流集中地。FTP文件服務(wù)器的主要用途就是提供文件存儲(chǔ)的空間,讓用戶可以上傳或者下載所需要的文件。在企業(yè)中,往往會(huì)給客戶提供一個(gè)特定的FTP空間,以方便跟可以進(jìn)行一些大型文件的交流,如大到幾百兆的設(shè)計(jì)圖紙等等。同時(shí),F(xiàn)TP還可以作為企業(yè)文件的備份服務(wù)器,如把數(shù)據(jù)庫等關(guān)鍵應(yīng)用在FTP服務(wù)器上實(shí)現(xiàn)異地備份等等。

可見,F(xiàn)TP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的。真是因?yàn)槠涔δ苋绱说膹?qiáng)大,所以,很多黑客、病毒也開始關(guān)注他了。他們企圖通過FTP服務(wù)器為跳板,作為他們傳播木馬、病毒的源頭。同時(shí),由于FTP服務(wù)器上存儲(chǔ)著企業(yè)不少有價(jià)值的內(nèi)容。在經(jīng)濟(jì)利益的誘惑下,F(xiàn)TP服務(wù)器也就成為了別人攻擊的對(duì)象。

在考慮FTP服務(wù)器安全性工作的時(shí)候,第一步要考慮的就是誰可以訪問FTP服務(wù)器。在Vsftpd服務(wù)器軟件中,默認(rèn)提供了三類用戶。不同的用戶對(duì)應(yīng)著不同的權(quán)限與操作方式。

一類是Real帳戶。這類用戶是指在FTP服務(wù)上擁有帳號(hào)。當(dāng)這類用戶登錄FTP服務(wù)器的時(shí)候,其默認(rèn)的主目錄就是其帳號(hào)命名的目錄。但是,其還可以變更到其他目錄中去。如系統(tǒng)的主目錄等等。

第二類帳戶實(shí)Guest用戶。在FTP服務(wù)器中,我們往往會(huì)給不同的部門或者某個(gè)特定的用戶設(shè)置一個(gè)帳戶。但是,這個(gè)賬戶有個(gè)特點(diǎn),就是其只能夠訪問自己的主目錄。服務(wù)器通過這種方式來保障FTP服務(wù)上其他文件的安全性。這類帳戶,在Vsftpd軟件中就叫做Guest用戶。擁有這類用戶的帳戶,只能夠訪問其主目錄下的目錄,而不得訪問主目錄以外的文件。

在組建FTP服務(wù)器的時(shí)候,我們就需要根據(jù)用戶的類型,對(duì)用戶進(jìn)行歸類。默認(rèn)情況下,Vsftpd服務(wù)器會(huì)把建立的所有帳戶都?xì)w屬為Real用戶。但是,這往往不符合企業(yè)安全的需要。因?yàn)檫@類用戶不僅可以訪問自己的主目錄,而且,還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以,企業(yè)要根據(jù)實(shí)際情況,修改用戶雖在的類別。

修改方法:第一步:修改/etc/Vsftpd/vsftpd.conf文件。

默認(rèn)情況下,只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時(shí)候,就需要把這個(gè)選項(xiàng)啟用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的chroot_list_enable=YES這項(xiàng)前面的注釋符號(hào)去掉。去掉之后,系統(tǒng)就會(huì)自動(dòng)啟用Real類型的帳戶。

第二步:修改/etc/vsftpd.conf文件。

若要把某個(gè)FTP服務(wù)器的帳戶歸屬為Guest帳戶,則就需要在這個(gè)文件中添加用戶。通常情況下,F(xiàn)TP服務(wù)器上沒有這個(gè)文件,需要用戶手工的創(chuàng)建。利用VI命令創(chuàng)建這個(gè)文件之后,就可以把已經(jīng)建立的FTP帳戶加入到這個(gè)文件中。如此的話,某個(gè)帳戶就屬于Real類型的用戶了。他們登錄到FTP服務(wù)器后,只能夠訪問自己的主目錄,而不能夠更改主目錄。

第三步:重新啟動(dòng)FTP服務(wù)器。

按照上述步驟配置完成后,需要重新啟動(dòng)FTP服務(wù)器,其配置才能夠生效。我們可以重新啟動(dòng)服務(wù)器,也可以直接利用Restart命令來重新啟動(dòng)FTP服務(wù)。

在對(duì)用戶盡心分類的時(shí)候,筆者有幾個(gè)善意的提醒。

一是盡量采用Guest類型的用戶,而減少Real類行的用戶。一般我們?cè)诮TP帳戶的時(shí)候,用戶只需要訪問自己的主目錄下的文件即可。當(dāng)給某個(gè)用戶的權(quán)限過大時(shí),會(huì)對(duì)其他用戶文件的安全產(chǎn)生威脅。

在以下幾種情況下,我們要禁止這些賬戶訪問FTP服務(wù)器,以提高服務(wù)器的安全。

一是某些系統(tǒng)帳戶。如ROOT帳戶。這個(gè)賬戶默認(rèn)情況下是Linxu系統(tǒng)的管理員帳戶,其對(duì)系統(tǒng)具有最高的操作與管理權(quán)限。若允許用戶以這個(gè)賬戶為賬戶名進(jìn)行登陸的話,則用戶不但可以訪問Linux系統(tǒng)的所有資源,而且,還好可以進(jìn)行系統(tǒng)配置。這對(duì)于FTP服務(wù)器來說,顯然危害很大。所以,往往不允許用戶以這個(gè)Root等系統(tǒng)帳戶身份登陸到FTP服務(wù)器上來。

第二類是一些臨時(shí)賬戶。有時(shí)候我們出于臨時(shí)需要,為開一些臨時(shí)賬戶。如需要跟某個(gè)客戶進(jìn)行圖紙上的交流,而圖紙本身又比較大時(shí),F(xiàn)TP服務(wù)器就是一個(gè)很好的圖紙中轉(zhuǎn)工具。在這種情況下,就需要為客戶設(shè)立一個(gè)臨時(shí)賬戶。這些賬戶用完之后,一般就加入到了黑名單。等到下次需要再次用到的時(shí)候,再啟用他。

在vstftpd服務(wù)器中,要把某些用戶加入到黑名單,也非常的簡(jiǎn)單。在Vsftpd軟件中,有一個(gè)/etc/vsftpd.user_lise配置文件。這個(gè)文件就是用來指定哪些賬戶不能夠登陸到這個(gè)服務(wù)器。我們利用vi命令查看這個(gè)文件,通常情況下,一些系統(tǒng)賬戶已經(jīng)加入到了這個(gè)黑名單中。FTP服務(wù)器管理員要及時(shí)的把一些臨時(shí)的或者不再使用的帳戶加入到這個(gè)黑名單中。從而才可以保證未經(jīng)授權(quán)的賬戶訪問FTP服務(wù)器。在配置后,往往不需要重新啟動(dòng)FTP服務(wù),配置就會(huì)生效。

不過,一般情況下,不會(huì)影響當(dāng)前會(huì)話。也就是說,管理員在管理FTP服務(wù)器的時(shí)候,發(fā)現(xiàn)有一個(gè)非法賬戶登陸到了FTP服務(wù)器。此時(shí),管理員馬上把這個(gè)賬戶拉入黑名單。但是,因?yàn)檫@個(gè)賬戶已經(jīng)連接到FTP服務(wù)器上,所以,其當(dāng)前的會(huì)話不會(huì)受到影響。當(dāng)其退出當(dāng)前會(huì)話,下次再進(jìn)行連接的時(shí)候,就不允許其登陸FTP服務(wù)器了。所以,若要及時(shí)的把該賬戶禁用掉的話,就需要在設(shè)置好黑名單后,手工的關(guān)掉當(dāng)前的會(huì)話。

對(duì)于一些以后不再需要使用的帳戶時(shí),管理員不需要把他加入黑名單,而是直接刪除用戶為好。同時(shí),在刪除用戶的時(shí)候,要記得把用戶對(duì)應(yīng)的主目錄也一并刪除。不然主目錄越來越多,會(huì)增加管理員管理的工作量。在黑名單中,只保留那些將來可能利用的賬戶或者不是用作FTP服務(wù)器登陸的賬戶。這不但可以減少服務(wù)器管理的工作量,而且,還可以提高FTP服務(wù)器的安全性。

在系統(tǒng)默認(rèn)配置下,匿名類型的用戶只可以下載文件,而不能夠上傳文件。雖然這不是我們推薦的配置,但是,有時(shí)候出于一些特殊的需要,確實(shí)要開啟這個(gè)功能。如筆者以前在企業(yè)中,利用這個(gè)功能實(shí)現(xiàn)了對(duì)用戶終端文件進(jìn)行備份的功能。為了設(shè)置的方便,就在FTP服務(wù)器上開啟了匿名訪問,并且允許匿名訪問賬戶網(wǎng)某個(gè)特定的文件夾中上傳某個(gè)文件。

筆者再次重申一遍,一般情況下,是不建議用戶開啟匿名賬戶的文件上傳功能。因?yàn)楹茈y保證匿名賬戶上傳的文件中,不含有一些破壞性的程序,如病毒或者木馬等等。有時(shí)候,雖然開啟了這個(gè)功能,但是往往會(huì)在IP上進(jìn)行限制。如只允許企業(yè)內(nèi)部IP可以進(jìn)行匿名訪問并上傳文件,其他賬戶則不行。如此的話,可以防止外部用戶未經(jīng)授權(quán)匿名訪問企業(yè)的FTP服務(wù)器。若用戶具有合法的賬戶,就可以在外網(wǎng)中登陸到FTP服務(wù)器上。

總之,在FTP服務(wù)器安全管理上,主要關(guān)注三個(gè)方面的問題。一是未經(jīng)授權(quán)的用戶不能往FTP空間上上傳文件;二是用戶不得訪問未經(jīng)授權(quán)的目錄,以及對(duì)這些目錄的文件進(jìn)行更改,包括刪除與上傳;三是FTP服務(wù)器本身的穩(wěn)定性。以上三個(gè)問題中的前兩部分內(nèi)容,都可以通過上面的三個(gè)方法有效的解決。

如何使Linux服務(wù)器變得更安全

1.安裝和配置一個(gè)防火墻

一個(gè)配置適當(dāng)?shù)姆阑饓Σ粌H是系統(tǒng)有效應(yīng)對(duì)外部攻擊的第一道防線,也是最重要的一道防線。在新系統(tǒng)第一次連接上Internet之前,防火墻就應(yīng)該被安裝并且配置好。防火墻配置成拒絕接收所有數(shù)據(jù)包,然后再打開允許接收的數(shù)據(jù)包,將有利于系統(tǒng)的安全。Linux為我們提供了一個(gè)非常優(yōu)秀的防火墻工具,它就是netfilter/iptables。它完全是免費(fèi)的,并且可以在一臺(tái)低配置的老機(jī)器上很好地運(yùn)行。防火墻的具體設(shè)置方法請(qǐng)參見iptables使用方法。

2、關(guān)閉無用的服務(wù)和端口

任何網(wǎng)絡(luò)連接都是通過開放的應(yīng)用端口來實(shí)現(xiàn)的。如果我們盡可能少地開放端口,就使網(wǎng)絡(luò)攻擊變成無源之水,從而大大減少了攻擊者成功的機(jī)會(huì)。把Linux作為專用服務(wù)器是個(gè)明智的舉措。例如,希望Linux成為的Web服務(wù)器,可以取消系統(tǒng)內(nèi)所有非必要的服務(wù),只開啟必要服務(wù)。這樣做可以盡量減少后門,降低隱患,而且可以合理分配系統(tǒng)資源,提高整機(jī)性能。以下是幾個(gè)不常用的服務(wù):

① fingerd(finger服務(wù)器)報(bào)告指定用戶的個(gè)人信息,包括用戶名、真實(shí)姓名、shell、目錄和聯(lián)系方式,它將使系統(tǒng)暴露在不受歡迎的情報(bào)收集活動(dòng)下,應(yīng)避免啟動(dòng)此服務(wù)。

② R服務(wù)(rshd、rlogin、rwhod、rexec)提供各種級(jí)別的命令,它們可以在遠(yuǎn)程主機(jī)上運(yùn)行或與遠(yuǎn)程主機(jī)交互,在封閉的網(wǎng)絡(luò)環(huán)境中登錄而不再要求輸入用戶名和口令,相當(dāng)方便。然而在公共服務(wù)器上就會(huì)暴露問題,導(dǎo)致安全威脅。

3、刪除不用的軟件包

在進(jìn)行系統(tǒng)規(guī)劃時(shí),總的原則是將不需要的服務(wù)一律去掉。默認(rèn)的Linux就是一個(gè)強(qiáng)大的系統(tǒng),運(yùn)行了很多的服務(wù)。但有許多服務(wù)是不需要的,很容易引起安全風(fēng)險(xiǎn)。這個(gè)文件就是/etc/xinetd.conf,它制定了/usr/sbin/xinetd將要監(jiān)聽的服務(wù),你可能只需要其中的一個(gè):ftp,其它的類如telnet、shell、login、exec、talk、ntalk、imap、finger、auth等,除非你真的想用它,否則統(tǒng)統(tǒng)關(guān)閉。

4、不設(shè)置缺省路由

在主機(jī)中,應(yīng)該嚴(yán)格禁止設(shè)置缺省路由,即default route。建議為每一個(gè)子網(wǎng)或網(wǎng)段設(shè)置一個(gè)路由,否則其它機(jī)器就可能通過一定方式訪問該主機(jī)。

5、口令管理

口令的長(zhǎng)度一般不要少于8個(gè)字符,口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)字和符號(hào)相結(jié)合,嚴(yán)格避免用英語單詞或詞組等設(shè)置口令,而且各用戶的口令應(yīng)該養(yǎng)成定期更換的習(xí)慣。另外,口令的保護(hù)還涉及到對(duì)/etc/passwd和/etc/shadow文件的保護(hù),必須做到只有系統(tǒng)管理員才能訪問這2個(gè)文件。安裝一個(gè)口令過濾工具加npasswd,能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具,建議你現(xiàn)在馬上安裝。如果你是系統(tǒng)管理員,你的系統(tǒng)中又沒有安裝口令過濾工具,請(qǐng)你馬上檢查所有用戶的口令是否能被窮盡搜索到,即對(duì)你的/ect/passwd文件實(shí)施窮盡搜索攻擊。用單詞作密碼是根本架不住暴力攻擊的。黑客們經(jīng)常用一些常用字來破解密碼。曾經(jīng)有一位美國(guó)黑客表示,只要用“password”這個(gè)字,就可以打開全美多數(shù)的計(jì)算機(jī)。其它常用的單詞還有:account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。

密碼設(shè)置和原則:

a.足夠長(zhǎng),指頭只要多動(dòng)一下為密碼加一位,就可以讓攻擊者的辛苦增加十倍;

b. 不要用完整的單詞,盡可能包括數(shù)字、標(biāo)點(diǎn)符號(hào)和特殊字符等;

c.混用大小寫字符;

d.經(jīng)常修改。

6、分區(qū)管理

一個(gè)潛在的攻擊,它首先就會(huì)嘗試緩沖區(qū)溢出。在過去的幾年中,以緩沖區(qū)溢出為類型的安全漏洞是最為常見的一種形式了。更為嚴(yán)重的是,緩沖區(qū)溢出漏洞占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù),這種攻擊可以輕易使得一個(gè)匿名的Internet用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)!。

為了防止此類攻擊,我們從安裝系統(tǒng)時(shí)就應(yīng)該注意。如果用root分區(qū)記錄數(shù)據(jù),如log文件,就可能因?yàn)榫芙^服務(wù)產(chǎn)生大量日志或垃圾郵件,從而導(dǎo)致系統(tǒng)崩潰。所以建議為/var開辟單獨(dú)的分區(qū),用來存放日志和郵件,以避免root分區(qū)被溢出。最好為特殊的應(yīng)用程序單獨(dú)開一個(gè)分區(qū),特別是可以產(chǎn)生大量日志的程序,還建議為/home單獨(dú)分一個(gè)區(qū),這樣他們就不能填滿/分區(qū)了,從而就避免了部分針對(duì)Linux分區(qū)溢出的惡意攻擊。

很多Linux桌面用戶往往是使用Windows、Linux雙系統(tǒng)。最好使用雙硬盤。方法如下:首先將主硬盤的數(shù)據(jù)線拆下,找一個(gè)10GB左右的硬盤掛在計(jì)算機(jī)上,將小硬盤設(shè)置為從盤,按照平常的操作安裝Linux服務(wù)器版本,除了啟動(dòng)的引導(dǎo)程序放在MBR外,其它沒有區(qū)別。 安裝完成,調(diào)試出桌面后,關(guān)閉計(jì)算機(jī)。將小硬盤的數(shù)據(jù)線拆下,裝上原硬盤,并設(shè)定為主盤(這是為了原硬盤和小硬盤同時(shí)掛接在一個(gè)數(shù)據(jù)線上),然后安裝Windows軟件。將兩個(gè)硬盤都掛在數(shù)據(jù)線上,數(shù)據(jù)線是IDE 0接口,將原硬盤設(shè)定為主盤,小硬盤設(shè)定為從盤。如果要從原硬盤啟動(dòng),就在CMOS里將啟動(dòng)的順序設(shè)定為“C、D、CDROM”,或者是“IDE0(HDD-0)”。這樣計(jì)算機(jī)啟動(dòng)的時(shí)候,進(jìn)入Windows界面。如果要從小硬盤啟動(dòng),就將啟動(dòng)順序改為“D、C、CDROM”,或者是“IDE1(HDD-1)”,啟動(dòng)之后,將進(jìn)入Linux界面。平時(shí)兩個(gè)操作系統(tǒng)是互相不能夠訪問的。

7、防范網(wǎng)絡(luò)嗅探:

嗅探器技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面,它工作的時(shí)候就像一部被動(dòng)聲納,默默的接收看來自網(wǎng)絡(luò)的各種信息,通過對(duì)這些數(shù)據(jù)的分析,網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況,以便找出網(wǎng)絡(luò)中的漏洞。在網(wǎng)絡(luò)安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防范嗅探器的危害.嗅探器能夠造成很大的安全危害,主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)。對(duì)于一個(gè)安全性能要求很嚴(yán)格的企業(yè),同時(shí)使用安全的拓?fù)浣Y(jié)構(gòu)、會(huì)話加密、使用靜態(tài)的ARP地址是有必要的。

8、完整的日志管理

日志文件時(shí)刻為你記錄著你的系統(tǒng)的運(yùn)行情況。當(dāng)黑客光臨時(shí),也不能逃脫日志的法眼。所以黑客往往在攻擊時(shí)修改日志文件,來隱藏蹤跡。因此我們要限制對(duì)/var/log文件的訪問,禁止一般權(quán)限的用戶去查看日志文件。

另外要使用日志服務(wù)器。將客戶機(jī)的日志信息保存副本是好主意,創(chuàng)建一臺(tái)服務(wù)器專門存放日志文件,可以通過檢查日志來發(fā)現(xiàn)問題。修改/etc/sysconfig/syslog文件加入接受遠(yuǎn)程日志記錄。

/etc/sysconfig/syslog SYSLOGD_OPTIONS="-m r 0"

還應(yīng)該設(shè)定日志遠(yuǎn)程保存。修改/etc/syslog.conf文件加入日志服務(wù)器的設(shè)置,syslog將保存副本在日志服務(wù)器上。

/etc/syslog.conf *.* @log_server_IP

可以使用彩色日志過濾器。彩色日志loco過濾器,目前版本是0.32。使用loco /var/log/messages | more可以顯示出彩色的日志,明顯標(biāo)記出root的位置和日志中異常的命令。這樣可以減少分析日志時(shí)人為遺漏。還要進(jìn)行日志的定期檢查。Red Hat Linux中提供了logwatch工具,定期自動(dòng)檢查日志并發(fā)送郵件到管理員信箱。需要修改/etc/log.d/conf/ logwatch.conf文件,在MailTo = root參數(shù)后增加管理員的郵件地址。Logwatch會(huì)定期檢查日志,過濾有關(guān)使用root、sudo、telnet、ftp登錄等信息,協(xié)助管理員分析日常安全。完整的日志管理要包括網(wǎng)絡(luò)數(shù)據(jù)的正確性、有效性、合法性。對(duì)日志文件的分析還可以預(yù)防入侵。例如、某一個(gè)用戶幾小時(shí)內(nèi)的20次的注冊(cè)失敗記錄,很可能是入侵者正在嘗試該用戶的口令。

9、終止正進(jìn)行的攻擊

假如你在檢查日志文件時(shí),發(fā)現(xiàn)了一個(gè)用戶從你未知的主機(jī)登錄,而且你確定此用戶在這臺(tái)主機(jī)上沒有賬號(hào),此時(shí)你可能正被攻擊。首先你要馬上鎖住此賬號(hào)(在口令文件或shadow文件中,此用戶的口令前加一個(gè)Ib或其他的字符)。若攻擊者已經(jīng)連接到系統(tǒng),你應(yīng)馬上斷開主機(jī)與網(wǎng)絡(luò)的物理連接。如有可能,你還要進(jìn)一步查看此用戶的歷史記錄,查看其他用戶是否也被假冒,攻擊音是否擁有根權(quán)限。殺掉此用戶的所有進(jìn)程并把此主機(jī)的ip地址掩碼加到文件hosts.deny中。

10、使用安全工具軟件:

Linux已經(jīng)有一些工具可以保障服務(wù)器的安全。如bastille linux和Selinux。 bastille linux對(duì)于不熟悉 linux 安全設(shè)定的使用者來說,是一套相當(dāng)方便的軟件,bastille linux 目的是希望在已經(jīng)存在的 linux 系統(tǒng)上,建構(gòu)出一個(gè)安全性的環(huán)境。增強(qiáng)安全性的Linux(SELinux)是美國(guó)安全部的一個(gè)研發(fā)項(xiàng)目,它的目的在于增強(qiáng)開發(fā)代碼的Linux內(nèi)核,以提供更強(qiáng)的保護(hù)措施,防止一些關(guān)于安全方面的應(yīng)用程序走彎路,減輕惡意軟件帶來的災(zāi)難。普通的Linux系統(tǒng)的安全性是依賴內(nèi)核的,這個(gè)依賴是通過setuid/setgid產(chǎn)生的。在傳統(tǒng)的安全機(jī)制下,暴露了一些應(yīng)用授權(quán)問題、配置問題或進(jìn)程運(yùn)行造成整個(gè)系統(tǒng)的安全問題。這些問題在現(xiàn)在的操作系統(tǒng)中都存在,這是由于他們的復(fù)雜性和與其它程序的互用性造成的。SELinux只單單依賴于系統(tǒng)的內(nèi)核和安全配置政策。一旦你正確配置了系統(tǒng),不正常的應(yīng)用程序配置或錯(cuò)誤將只返回錯(cuò)誤給用戶的程序和它的系統(tǒng)后臺(tái)程序。其它用戶程序的安全性和他們的后臺(tái)程序仍然可以正常運(yùn)行,并保持著它們的安全系統(tǒng)結(jié)構(gòu)。用簡(jiǎn)單一點(diǎn)的話說就是:沒有任何的程序配置錯(cuò)誤可以造成整個(gè)系統(tǒng)的崩潰。安裝SELinux SELinux的內(nèi)核、工具、程序/工具包,還有文檔都可以到增強(qiáng)安全性的Linux網(wǎng)站上上下載你必須有一個(gè)已經(jīng)存在的Linux系統(tǒng)來編譯你的新內(nèi)核,這樣才能訪問沒有更改的系統(tǒng)補(bǔ)丁包。

11.使用保留IP地址

維護(hù)網(wǎng)絡(luò)安全性最簡(jiǎn)單的方法是保證網(wǎng)絡(luò)中的主機(jī)不同外界接觸。最基本的方法是與公共網(wǎng)絡(luò)隔離。然而,這種通過隔離達(dá)到的安全性策略在許多情況下是不能接受的。這時(shí),使用保留IP地址是一種簡(jiǎn)單可行的方法,它可以讓用戶訪問Internet同時(shí)保證一定的安全性。- RFC 1918規(guī)定了能夠用于本地 TCP/IP網(wǎng)絡(luò)使用的IP地址范圍,這些IP地址不會(huì)在Internet上路由,因此不必注冊(cè)這些地址。通過在該范圍分配IP地址,可以有效地將網(wǎng)絡(luò)流量限制在本地網(wǎng)絡(luò)內(nèi)。這是一種拒絕外部計(jì)算機(jī)訪問而允許內(nèi)部計(jì)算機(jī)互聯(lián)的快速有效的方法。 保留IP地址范圍:

---- 10.0.0 .0 - 10.255.255.255

---- 172.16.0.0 - 172.31.255.255

--- 192.168.0.0 - 192.168.255.255。

來自保留IP地址的網(wǎng)絡(luò)交通不會(huì)經(jīng)過Internet路由器,因此被賦予保留IP地址的任何計(jì)算機(jī)不能從外部網(wǎng)絡(luò)訪問。但是,這種方法同時(shí)也不允許用戶訪問外部網(wǎng)絡(luò)。IP偽裝可以解決這一問題。

12、合理選擇Linux發(fā)行版本:

對(duì)于服務(wù)器使用的Linux版本,既不使用最新的發(fā)行版本,也不選擇太老的版本。應(yīng)當(dāng)使用比較成熟的版本:前一個(gè)產(chǎn)品的最后發(fā)行版本如RHEL 3.0等。畢竟對(duì)于服務(wù)器來說安全穩(wěn)定是第一的。

13、部署Linux防范病毒軟件

Linux操作系統(tǒng)一直被認(rèn)為是Windows系統(tǒng)的勁敵,因?yàn)樗粌H安全、穩(wěn)定、成本低,而且很少發(fā)現(xiàn)有病毒傳播。但是,隨著越來越多的服務(wù)器、工作站和個(gè)人電腦使用Linux軟件,電腦病毒制造者也開始攻擊這一系統(tǒng)。對(duì)于Linux系統(tǒng)無論是服務(wù)器,還是工作站的安全性和權(quán)限控制都是比較強(qiáng)大的,這主要得力于其優(yōu)秀的技術(shù)設(shè)計(jì),不僅使它的作業(yè)系統(tǒng)難以宕機(jī),而且也使其難以被濫用。Unix經(jīng)過20多年的發(fā)展和完善,已經(jīng)變得非常堅(jiān)固,而Linux基本上繼承了它的優(yōu)點(diǎn)。在Linux里,如果不是超級(jí)用戶,那么惡意感染系統(tǒng)文件的程序?qū)⒑茈y得逞。速客一號(hào)(Slammer)、沖擊波(Blast)、霸王蟲(Sobig)、 米蟲(Mimail)、勞拉(Win32.Xorala)病毒等惡性程序雖然不會(huì)損壞Linux服務(wù)器,但是卻會(huì)傳播給訪問它的Windows系統(tǒng)平臺(tái)的計(jì)算機(jī)。

有沒有什么辦法可以提高服務(wù)器的安全性?

提高服務(wù)器的安全性,可以使用主機(jī)加固系統(tǒng),主機(jī)加固是給服務(wù)器上一把鎖,業(yè)務(wù)系統(tǒng)的服務(wù)器都很脆弱,即使裝了殺毒軟件,部署了防火墻,并定時(shí)打補(bǔ)丁,但仍然會(huì)有各種風(fēng)險(xiǎn),各種中毒,各種被入侵,核心數(shù)據(jù)還是會(huì)被偷窺、被破壞、被篡改、被偷走。所以要對(duì)服務(wù)器加固。

推薦使用MCK云私鑰,服務(wù)器安全加固系統(tǒng),重新定義操作系統(tǒng)各模塊的功能,構(gòu)建獨(dú)立的身份鑒別體系,在當(dāng)殺毒軟件、防火墻都不起作用時(shí),仍然能頑強(qiáng)的對(duì)核心數(shù)據(jù)進(jìn)行保護(hù),防止木馬病毒入侵,防止核心數(shù)據(jù)被偷窺、被破壞、被篡改、被偷走!


網(wǎng)站欄目:提高服務(wù)器的安全方式使用 提升服務(wù)器
URL標(biāo)題:http://fisionsoft.com.cn/article/ddeoped.html