1. netstat -tn 对连接状态进行监控:
这种方式可以对于连接状态进行文本(shell ack等方式)提取来监控可疑ip等
2. 日志方式进行监控;
shell方式提取日记方式进行iptables过滤等等;
iptables一般设置:
1)允许ssh业务流量!(因为要远程)
iptalbes -A INPUT -p tcp -dport 22 -j ACCEPT
2) DNS流量放行
iptables -I INPUT -p tcp -sport 53 -j ACCEPT
iptables -I INPUT -p ucp -sport 53 -j ACCEPT
3)业务流量 (如作为web服务器)
iptables -I INPUT -p tcp -dport 80 -j ACCEPT
4)拒绝其它
iptables -A INPUT -j DROP
对于rsyslog 进行配置 etc/rsyslog.conf的配置(利用facility priority方式)如:mail.error /var/log/message
3.也可以利用软件进行服务器的监控安全;
如利用入侵检测AIDE(利用md5类似的方式进行)
1)通过检测文件的完整性等(配置文件,二进制命令等ls du)
安装:yum install -y aide (/etc/aide.conf)
aide --init 初始化
aide --cheack 检测
aide --update
一般安全攻击:
1.DDos攻击
2.扫描
3.ARP
4.暴力破解
5.恶意篡改(成为肉机等)
网站的攻击:
SQL注入(利用程序猿的sql语句的拼接形式进行注入sql语句的注入)
代码漏洞
欺骗攻击
XXS跨站攻击
crond的用法:
定时crondtab进行任务的执行;
1.1 /etc/crontab 文件存放
1.2 /etc/cron.deny 和 /etc/cron.allow 文件 crond功能设定权限
每个用户都会生成一个自己的crontab 文件。这些文件在/var/spool/cron目录下:
2.1 Crontab语法
2.2 Crontab 格式说明
添加的命令必须以如下格式:
* * * * * /command path
前5个字段分别表示:
分钟:0-59
小时:1-23
日期:1-31
月份:1-12
星期:0-6(0表示周日)
还可以用一些特殊符号:
*: 表示任何时刻
,: 表示分割
-:表示一个范围: 1-5,就表示1到5点
/n : 表示每个n的单位执行一次,如第二段里,*/1, 就表示每隔1个小时执行一次命令。
0 17 * * 1 每周一的 17:00 执行
0,10 17 * * 0,2,3 每周日,周二,周三的 17:00和 17:10 执行
0-10 17 1 * * 毎月1日从 17:00到7:10 毎隔1分钟 执行
0 0 1,15 * 1 毎月1日和 15日和 一日的 0:00 执行
2.3 & 后台执行命令
command >out.file 2>&1 &
在这个例子中,2>&1表示所有的标准输出和错误输出都将被重定向到一个叫做 out.file 的文件中。
2.4 2>&1 含义
0 2 * * * /u01/test.sh >/u01/out.file & --这里没写,默认是1
2>&1 是将错误输出重定向到标准输出。 然后将标准输入重定向到文件out.file。
&1 表示的是文件描述1,表示标准输出,如果这里少了&就成了数字1,就表示重定向到文 件1。
2>&1写在后面;