SECURITY:系统审计,服务安全(nginx,tomcat),数据库安全

最新推荐文章于 2024-06-04 17:36:58 发布

LgMizar

最新推荐文章于 2024-06-04 17:36:58 发布

阅读量953

点赞数

分类专栏： security

本文链接：https://blog.csdn.net/lgmizar/article/details/103726277

版权

security 专栏收录该内容

8 篇文章 0 订阅

订阅专栏

系统审计

概述

什么是审计

基于事先配置的规则生成日志,记录可能发生在系统上的时间
审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为
审计能够记录的日志内容:
– 日期与事件、事件结果
– 触发事件的用户
– 所有认证机制的使用都可以被记录,如ssh等
– 对关键数据文件的修改行为等

审计的案例

监控文件访问
监控系统调用
记录用户运行的命令
审计可以监控网络访问行为
ausearch工具.可以根据条件过滤审计日志
aureport工具.可以生成审计报告

配置审计

部署audit
使用审计系统需要安装audit软件包
主配置文件为/etc/audit/auditd.conf

yum -y  install  audit
cat /etc/audit/auditd.conf  #查看配置文件，确定日志位置
log_file = /var/log/audit/audit.log #日志文件路径
systemctl start auditd
systemctl enable auditd

auditctl命令

auditctl  -s    #查询状态
auditctl  -l    #查看规则
auditctl  -D    #删除所有规则

定义临时文件系统规则：
语法格式：auditctl -w path -p permission -k key_name
– path为需要审计的文件或目录
– 权限可以是r,w,x,a(文件或目录的属性发生变化)
– Key_name为可选项，方便识别哪些规则生成特定的日志项

auditctl  -w  /etc/passwd  -p wa  -k  passwd_change
#设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change
#设置规则，监控/etc/selinux目录
auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition
#设置规则，监控fdisk程序
auditclt  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config
#设置规则，监控sshd_conf文件

永久审计规则
需要修改规则配置文件

vim  /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_changes
-w /usr/sbin/fdisk -p x -k partition_disks

查看并分析日志

手动查看日志

查看SSH的主配置文件/etc/ssh/sshd_conf，查看audit日志信息：

ailf  /var/log/audit/audit.log
type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e 
syscall=2 success=yes exit=3 
a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0 
items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0 
fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat" 
exe="/usr/bin/cat" 
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
.. ..
#内容分析
# type为类型
# msg为(time_stamp:ID)，时间是date +%s（1970-1-1至今的秒数）
# arch=c000003e，代表x86_64（16进制）
# success=yes/no，事件是否成功
# a0-a3是程序调用时前4个参数，16进制编码了
# ppid父进程ID，如bash，pid进程ID，如cat命令
# auid是审核用户的id，su - test, 依然可以追踪su前的账户
# uid，gid用户与组
# tty:从哪个终端执行的命令
# comm="cat"            用户在命令行执行的指令
# exe="/bin/cat"        实际程序的路径
# key="sshd_config"    管理员定义的策略关键字key
# type=CWD        用来记录当前工作目录
# cwd="/home/username"
# type=PATH
# ouid(owner's user id）    对象所有者id
# guid(owner's groupid）    对象所有者id

通过工具搜索日志

系统提供的ausearch命令可以方便的搜索特定日志，默认该程序会搜索/var/log/audit/audit.log，ausearch options -if file_name可以指定文件名。

ausearch -k sshd_config -i    
#根据key搜索日志，-i选项表示以交互式方式操作

服务安全

Nginx安全

优化Nginx服务的安全配置

删除不需要的模块
– Nignx是模块化设计的软件，需要什么功能与模块以及不需要哪些模块，都可以在编译安装软件时自定义，使用–with参数可以开启某些模块，使用–without可以禁用某些模块。最小化安装永远都是对的方案！
– 下面是禁用某些模块的案例：

yum -y install gcc openssl-devel pcre-devel
tar -xf nginx-1.12.tar.gz
cd nginx-1.12
 ./configure \
>--without-http_autoindex_module \  #禁用自动索引文件目录模块
>--without-http_ssi_module
make && make install

启用自动索引文件目录(慎用!!!)

所用模块–with-http_autoindex_module(默认自带)
生产环境不建议用,不安全

vim nginx.conf
.....
server{
autoindex on;
}
.....

修改版本信息，并隐藏具体的版本号

vim /usr/local/nginx/conf/nginx.conf
.....
http{
     server_tokens off;      #在http下面手动添加这么一行
     .....
}
....
/usr/local/nginx/sbin/nginx -t #检测配置文件是否书写正确
/usr/local/nginx/sbin/nginx -s reload
curl -I http://192.168.4.5     #查看服务器响应的头部信息

但服务器还是显示了使用的软件为nginx，通过如下方法可以修改该信息。

vim +48 src/http/ngx_http_header_filter_module.c
//注意：vim这条命令必须在nginx-1.12源码包目录下执行！！！！！！
//该文件修改前效果如下：
static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;
//下面是修改后的效果：
static u_char ngx_http_server_string[] = "Server: Jacob" CRLF;
static u_char ngx_http_server_full_string[] = "Server: Jacob" CRLF;
static u_char ngx_http_server_build_string[] = "Server: Jacob" CRLF;
//修改完成后，再去编译安装Nignx，版本信息将不再显示为Nginx，而是Jacob
./configure
make && make install
killall nginx
/usr/local/nginx/sbin/nginx   
curl -I http://192.168.4.5

限制并发量

– DDOS攻击者会发送大量的并发连接，占用服务器资源（包括连接数、带宽等），这样会导致正常用户处于等待或无法访问服务器的状态。
– Nginx提供了一个ngx_http_limit_req_module模块，可以有效降低DDOS攻击的风险，操作方法如下：

vim /usr/local/nginx/conf/nginx.conf
… …
http{
… …
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {
        listen 80;
        server_name localhost;
        limit_req zone=one burst=5;
            }
}
//备注说明：
//limit_req_zone语法格式如下：
//limit_req_zone key zone=name:size rate=rate;
//上面案例中是将客户端IP信息存储名称为one的共享内存，内存空间为10M
//1M可以存储8千个IP信息，10M可以存储8万个主机连接的状态，容量可以根据需要任意调整
//每秒中仅接受1个请求，多余的放入漏斗
//漏斗超过5个则报错
/usr/local/nginx/sbin/nginx -s reload
ab -c 100 -n 100  http://192.168.4.5/ #测试,只有6个请求成功

拒绝非法的请求

网站使用的是HTTP协议，该协议中定义了很多方法，可以让用户连接服务器，获得需要的资源。但实际应用中一般仅需要get和post。
具体HTTP请求方法的含义如下表所示。
在这里插入图片描述
未修改服务器配置前，客户端使用不同请求方法测试：

curl -i -X GET  http://192.168.4.5     #正常
curl -i -X HEAD http://192.168.4.5     #正常
//curl常用命令选项说明：
-s选项:Silent模式。不输出任务内容
-S选项:显示错误. 在选项-s 中，当 curl 出现错误时将显示
-i选项：显示 response的header
-I选项:仅显示响应文档头
-X选项：指定请求服务器的方法

通过如下设置可以让Nginx拒绝非法的请求方法：

vim /usr/local/nginx/conf/nginx.conf
http{
       server {
                 listen 80;
#这里，!符号表示对正则取反，~符号是正则匹配符号
#如果用户使用非GET或POST方法访问网站，则retrun返回444的错误信息
              if ($request_method !~ ^(GET|POST)$ ) {
                     return 444;
               }    
        }
}
/usr/local/nginx/sbin/nginx -s reload

修改服务器配置后，客户端使用不同请求方法测试：

curl -i -X GET  http://192.168.4.5   #正常
curl -i -X HEAD http://192.168.4.5   #报错

防止buffer溢出

– 当客户端连接服务器时，服务器会启用各种缓存，用来存放连接的状态信息。
– 如果攻击者发送大量的连接请求，而服务器不对缓存做限制的话，内存数据就有可能溢出（空间不足）。
– 修改Nginx配置文件，调整各种buffer参数，可以有效降低溢出风险。

vim /usr/local/nginx/conf/nginx.conf
http{
client_body_buffer_size  1K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
......
}
 /usr/local/nginx/sbin/nginx -s reload

数据库安全

初始化安全脚本

安装完MariaDB或MySQL后，默认root没有密码，并且提供了一个任何人都可以操作的test测试数据库。有一个名称为mysql_secure_installation的脚本，该脚本可以帮助我们为root设置密码，并禁止root从远程其他主机登陆数据库，并删除测试性数据库test。

systemctl status mariadb
mysql_secure_installation  #执行初始化安全脚本

密码安全

手动修改MariaDB或MySQL数据库密码的方法：

mysqladmin -uroot -predhat password 'mysql'
//修改密码，旧密码为redhat，新密码为mysql
mysql -uroot -pmysql
MariaDB [(none)]>set password for root@'localhost'=password('redhat');
//使用账户登录数据库，修改密码
update user set password=password('123456') where user='root';
flush privileges;

修改密码成功，而且密码在数据库中是加密的，有什么问题吗？问题是你的密码被明文记录了，下面来看看明文密码：

cat .bash_history
mysqladmin -uroot -pxxx password 'redhat'
//通过命令行修改的密码，bash会自动记录历史，历史记录中记录了明文密码

cat .mysql_history
set password for root@'localhost'=password('redhat');
select user,host,password from mysql.user;
flush privileges;
//通过mysql命令修改的密码，mysql也会有所有操作指令的记录，这里也记录了明文密码

另外数据库还有一个binlog日志里也有明文密码（5.6版本后修复了）。
怎么解决？
管理好自己的历史，不使用明文登录，选择合适的版本5.6以后的版本，
日志，行为审计（找到行为人），使用防火墙从TCP层设置ACL（禁止外网接触数据库）。

数据备份与还原

首先，备份数据库（注意用户名为root，密码为redhat）：

 mysqldump -uroot -predhat mydb table > table.sql
//备份数据库中的某个数据表
mysqldump -uroot -predhat mydb > mydb.sql
//备份某个数据库
mysqldump -uroot -predhat --all-databases > all.sql
//备份所有数据库

接下来，还原数据库（注意用户名为root，密码为redhat）：

mysql -uroot -predhat mydb  < table.sql
//还原数据表
mysql -uroot -predhat mydb  < mydb.sql
//还原数据库
mysql -uroot -predhat < all.sql   
//还原所有数据库

数据安全

在服务器上（192.168.4.5），创建一个数据库账户：

mysql -uroot -predhat
//使用管理员，登陆数据库
MariaDB [(none)]> grant all on *.* to tom@'%' identified by '123';
//创建一个新账户tom

使用tcpdump抓包（192.168.4.5）

tcpdump -w log -i any src or dst port 3306
//抓取源或目标端口是3306的数据包，保存到log文件中

客户端（192.168.4.100）从远程登陆数据库服务器（192.168.4.5）

mysql -utom -p123 -h 192.168.4.5
//在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器（192.168.4.5）
//用户名为tom，密码为123
MariaDB [(none)]> select * from mysql.user;
//登陆数据库后，任意执行一条查询语句

回到服务器查看抓取的数据包

tcpdump -A -r log
//使用tcpdump查看之前抓取的数据包，很多数据库的数据都明文显示出来

如何解决？
可以使用SSH远程连接服务器后，再从本地登陆数据库（避免在网络中传输数据，因为网络环境中不知道有没有抓包者）。
或者也可以使用SSL对MySQL服务器进行加密，类似与HTTP+SSL一样，MySQL也支持SSL加密（确保网络中传输的数据是被加密的）。

Tomcat安全性

隐藏版本信息、修改tomcat主配置文件（隐藏版本信息）

未修改版本信息前，使用命令查看服务器的版本信息
注意：proxy有192.168.2.5的IP地址，这里使用proxy作为客户端访问192.168.2.100服务器。

curl -I http://192.168.2.100:8080/xx        
//访问不存在的页面文件，查看头部信息
curl -I http://192.168.2.100:8080    
//访问存在的页面文件，查看头部信息
curl http://192.168.2.100:8080/xx
//访问不存在的页面文件，查看错误信息

修改tomcat配置文件，修改版本信息(在192.168.2.100操作)：

yum -y install java-1.8.0-openjdk-devel
cd /usr/local/tomcat/lib/
jar -xf catalina.jar
vim org/apache/catalina/util/ServerInfo.properties 
//根据自己的需要，修改版本信息的内容
vim +69 /usr/local/tomcat/conf/server.xml
<Connector port="8080" protocol="HTTP/1.1"
 70                connectionTimeout="20000"
 71                redirectPort="8443" server="IIS" />
// 在"8433"后面加server="jacob"

usr/local/tomcat/bin/shutdown.sh        //关闭服务
/usr/local/tomcat/bin/startup.sh        //启动服务

修改后，客户端再次查看版本信息（在192.168.2.5操作）：

curl -I http://192.168.2.100:8080/xx        
//访问不存在的页面文件，查看头部信息,会显示server:jacob
curl -I http://192.168.2.100:8080    
//访问存在的页面文件，查看头部信息,显示同上
curl http://192.168.2.100:8080/xx
//访问不存在的页面文件，查看错误信息,显示在erverInfo.properties 改的内容

降级启动

默认tomcat使用系统高级管理员账户root启动服务，启动服务尽量使用普通用户。

useradd tomcat
chown -R tomcat:tomcat /usr/local/tomcat/
#修改tomcat目录的权限，让tomcat账户对该目录有操作权限
su -c /usr/local/tomcat/bin/startup.sh tomcat
#使用su命令切换为tomcat账户，以tomcat账户的身份启动tomcat服务
chmod +x /etc/rc.local      #该文件为开机启动文件
vim /etc/rc.local           #修改文件，添加如下内容
su -c /usr/local/tomcat/bin/startup.sh tomcat

删除默认的测试页面

rm -rf  /usr/local/tomcat/webapps/*

LgMizar

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
SECURITY:系统审计,服务安全(nginx,tomcat),数据库安全

文章目录系统审计概述什么是审计审计的案例配置审计查看并分析日志手动查看日志通过工具搜索日志服务安全Nginx安全优化Nginx服务的安全配置启用自动索引文件目录(慎用!!!)修改版本信息，并隐藏具体的版本号限制并发量拒绝非法的请求防止buffer溢出数据库安全初始化安全脚本密码安全数据备份与还原数据安全Tomcat安全性隐藏版本信息、修改tomcat主配置文件（隐藏版本信息）降级启动删除默认的测试...
复制链接

扫一扫