linux 系统入侵后处理_防止Linux系统上的入侵

最新推荐文章于 2022-03-15 15:59:33 发布
最新推荐文章于 2022-03-15 15:59:33 发布
阅读量222 收藏
点赞数
文章标签: linux 数据库 安全 java 运维
原文链接:https://opensource.com/business/16/6/managing-passwords-security-linux
版权

linux 系统入侵后处理

我们经常听到有关安全漏洞的信息,用户名和密码都是在网上获取和发布的。 在大多数情况下,揭示的是大多数密码非常简单或与先前版本(例如,12345,然后是下一个更改的123456)迭代。 实施密码要求可以帮助将弱密码拒之门外。 这些强制更改各有优缺点,但归根结底,认证方面仍然存在缺陷。

在Linux中管理与密码和安全性相关的问题很重要,但是您可以采取一些简单的步骤来使系统更加安全。 这里是一些可供考虑的选项。 首先让我们看一下管理这些密码和帐户,然后再介绍人们尝试访问这些帐户的频率。 最后,我们将介绍一些我们可以限制这些尝试的事情。

Linux密码管理

使用passwd命令更改用户密码非常简单,但是还有很多事情可以做。 您知道吗,您还可以使用它来锁定和解锁帐户? 通过stdin传递密码呢?

修改密码

passwd [ username ]

通过stdin更改密码

echo “Some_STRONG_PASSWORD” | passwd —stdin root

锁定和解锁密码

passwd -l [ username ] passwd -u [ username ]

档案

使用密码时, / etc / passwd/ etc / shadow文件都将更新。 passwd文件包含很多信息,但具有讽刺意味的是,没有足够的实际密码哈希值。 哈希包含在/ etc / shadow文件中。

为什么使用/ etc / shadow文件?

早期,哈希密码存储在/ etc / password文件中,但是存在一个问题-每个人都必须能够读取该文件。 每个人都可以使用密码的哈希值不是一件好事。 因此,实际的哈希已移至/ etc / shadow文件,该文件仅可由特权用户读取。

尝试闯入的频率是多少?

有没有想过有人尝试登录您的公共访问服务器多少次? 最后一条命令向我们显示成功尝试的次数。 lastb命令向我们显示失败尝试的次数。 举例来说,我的服务器在过去12小时内尝试了7464次失败。

额外提示:last和lastb命令分别写入/ var / log / wtmp/ var / log / btmp文件。 如果您看到这些文件归零,则可能有问题。

我们还能做什么?

我们已经看到,可以进行大量尝试登录可公开访问的系统。 所以,我们能做些什么? 我们可以做一些事情来限制或减轻尝试次数。

更改端口

我们可以做的第一件事是更改SSH侦听的端口。 这可以减轻某些尝试,但是还有像nmap这样的工具可以扫描打开的端口。

防火墙

防火墙(iptables,UFC和firewalld)很棒。 他们的目标是将对SSH的访问限制在较小的服务器上。 缺点是,如果您的IP发生更改或尝试从新位置登录,您有时可能会锁定自己。

失败2禁

知道了从lastb命令了解的信息后,我们可以借助Fail2Ban之类的工具在经过一定次数的失败尝试后自动阻止IP。

我希望这有助于您深入了解服务器上的密码,并为限制攻击媒介提供一些指导。

翻译自: https://opensource.com/business/16/6/managing-passwords-security-linux

linux 系统入侵后处理

cumo7370
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux安全入侵防范、检测和恢复
02-27
Linux安全入侵防范、检测和恢复。如果你是一位Linux安全分析人员,这本书的价值就不用再说了吧
Linux系统入侵后处理方式介绍
weixin_33840661的博客
04-18 277
使用前一定先创建快照备份,否则不要使用本文方法。 1、将ECS断开网络连接 使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。 2、shell以root的权限运行 核心的点:将系统内部非正常的系统文件,杀掉进程;删除文件,删除注册表,删除计划任务,禁止/停止/删除服务。 下述脚本只做...
Linux服务器被入侵后的处理过程
李振良的技术博客
03-04 1629
突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况。 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 SSH 登陆系统,不幸的事,由于网络堵塞,登录不上或者卡死。 1、排查问题 第一反应是想马上通知机房运维人员切断该服务器外部网络,通过内网连接查看。可是这样一来流量就会消失,就很难查找攻击源了。 于是联系机房协助解决,授权机房...
linux下防入侵检测实现
weixin_34138377的博客
11-28 412
Snort是一个网络入侵检测系统,它可以分析网络上的数据包,用以决定一个系统是否被远程攻击了。多数Linux发行版本都有Snort程序,因此通过urpmi、apt-get、yum等安装Snort是一件很轻松的事情。Snort可以将其收集的信息写到多种不同的存储位置以便于日后的分析。此外,Snort可被用作一个简单的数据包记录器、嗅探器,当然它主要是一个成...
Linux安全问题之防黑客入侵
谢彬のCSDN专栏
04-09 3335
用于入侵检测日志 需要检查的系统日志文件主要包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时要特别注意时间记载分析日志产生的时间是否合理。 可疑的日志记录 非正常时间凌晨的用户登录; 关键日志记录损坏尤其是记录用户登录登出信息的wtmp文件; 非正常IP的用户登录; 用户登录失败甚至一再尝试登录并失败的日志记录; 非正常的超
Linux系统入侵后处理实战
02-25
操作系统:Ubuntu12.04_x64运行业务:公司业务系统,爬虫程序,数据队列。服务器托管在外地机房。突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流量状况。可见流量已经达到了800M左右,...
nids.rar_NIDS_nids-base_入侵检测 linux_入侵检测系统_网络入侵检测
最新发布
09-24
**入侵检测系统Linux上的部署与优化** 在Linux系统上部署NIDS,需要考虑性能、资源占用以及与其他安全工具的协同。以下是一些关键点: 1. **选择合适的接口**:确保NIDS监听在最能捕捉到攻击流量的网络接口上。 ...
熟知Linux操作系统紧急情况处理方法
07-30
熟知Linux操作系统紧急情况处理方法 熟知Linux操作系统紧急情况处理方法是系统管理员必不可少的工具。急救盘组可以独立地启动和运行一个完整的Linux系统,包括root文件系统和可启动的内核。使用急救盘组维护系统很...
Linux入侵排查.docx
05-07
Linux 入侵排查是指在 Linux 系统中检测和处理黑客入侵系统崩溃或其他影响业务正常运行的安全事件的过程。快速响应和处理这些事件对于保护企业的网络信息系统和减少经济损失至关重要。 0x00 前言 在企业发生黑客...
Linux系统安全设置之SSH防止入侵
网站安全专家
03-15 3992
很多Linux系统的服务器被入侵,以及查看服务器是不是再被攻击。其实攻击服务器的常见的方式也就那几个,比如说文件上传渗透,文件跨目录渗透,SQL注入、ssh暴力破解,还有什么XSS之类的,然后其中好多攻击手段都是针对网站做的,如果在服务器上没有网站的话,其实没什么影响。但是这个 ssh暴力破解它是什么?就相当于很多密码去试你的服务器,然后如果服务器的密码是个密码的话,或者在他的字典里有你的密码,黑客很容易就攻击你的服务器。 然后今天我看看我这服务器是不是被攻击了,其实这个为什么要写这一文章,是因为我之前
Linux系统基本命令(入侵
鬼惊天
01-31 338
系统信息 arch 显示机器的处理器架构 uname -m 显示机器的处理器架构 uname -r 显示正在使用的内核版本 dmidecode -q 显示硬件系统部件 - (SMBIOS / DMI) hdparm -i /dev/hda 罗列一个磁盘的架构特性 hdparm -tT /dev/sda 在磁盘上执行测试性读取操作 cat /proc/cpuinfo 显示CPU info的信息 ca...
优化linux系统防止入侵操作(修改内核参数)
dancheng1的博客
12-01 502
vim /etc/sysctl.conf 来改内核参数。 优化内核参数 net.ipv4.tcp_fin_timeout = 2 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_keepalive_time =600 net.ipv4.ip_l
Linux入侵检查
myworkgroup的专栏
01-11 848
本文记录一些Linux系统入侵后,常用的检测手段和命令:history/last/lastlog看登录操作历史crontab -l              cat /etc/cron* 看任务有无异常top 看有没有cpu占用高的,如果中了挖矿木马,cpu占用会很高。sar -n DEV 看有没有大流量netstat -anput看有无异常连接,  异常连接的对端地址能不能封掉 lsof -i...
护网笔记(四)-Linux基础及入侵排查
CK_0ff的博客
01-07 1508
文章目录
linux如何入侵电脑,如何入侵Linux系统 -电脑资料
weixin_31746993的博客
05-13 489
我发现了一个网站,于是常规入侵,还是看看root的信息吧:finger root@xxx.xxx.xxx Login name: root In real life: system PRIVILEGED account Directory: / Shell: /bin/sh Last login Fri Jul 28 09:21 on ttyp0 from xx.xx.xx No Plan.roo...
看一看黑客的手段 Linux操作系统入侵实例
花开的声音(Mr’yan的技术集)
07-14 685
 Once upon atime,我发现了一个网站,于是常规入侵。很好,它的FINGER开着,于是我编了一个SHELL,aaa帐号试到zzz(by theway,这是我发现的一个网上规律,那就是帐号的长度与口令的强度成正比,如果一个帐号只有两三位长,那它的口令一般也很简单,反之亦然,故且称之为若氏定理吧),结果一个帐号也不存在,我没有再试它的帐号。因为我被它开的端口吸引住了,它
浅析Linux系统入侵排查与应急响应技术
道阻且长,行则将至。
07-16 3112
文章目录前言系统分析用户信息排查进程端口排查系统服务排查日志分析SSH暴力破解Web应用日志病毒查杀总结 前言 当企业发生网络安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时还需进一步查找入侵来源,还原入侵事故过程,给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的网络安全事件: Web入侵:挂马、篡改、Webshell; 系统入侵系统异常、RDP爆破、SSH爆破、主机漏洞; 病毒木马:远控、后门、勒索软件; 信息泄漏:拖裤、数据库登录(口令); 网络流量:
linux系统入侵防范软件,系统安全防范之Linux下简单的入侵检测
weixin_35682327的博客
05-03 374
总的来说,要判断主机是否正在或者已经遭受了攻击,需要以下几个步骤。1、终结非授权用户。2、找出并关闭非授权进程。3、分析日志文件,寻找入侵者曾经试图入侵系统的蛛丝马迹。4、检查系统文件是否有潜在受损情况。接下来说说具体操作。1、首先以root登录到tty下,用root@mysun:~# w14:14:10 up 43 days, 4:43, 1 user, load average: 0.13, ...
防止暴力攻击Linux终极绝招
最实用的Linux博客
09-25 1771
原贴:http://zhangshg.luanhe.com/?q=node/90防止暴力攻击Linux终极绝招由 张首国 于 周六, 09/15/2007 - 14:01 提交。 linux點擊獲取引用地址转自: http://itblog.blogdns.net/index.php?load=read&id=96 作者: A-Lang日期: 2007-
Windows/Linux系统渗透后攻击探索基础教程
该书主要关注Windows和Linux系统的基本渗透后操作技术,强调理论而非实践,旨在向公众介绍如何在系统入侵后进行深入的探索和利用。 书中首先阐述了渗透后操作的概念,它指的是在攻击者成功控制受害系统的阶段之后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值