linux安全---10大linux必备运维工具

1.rootkit

a.了解rootkit

针对多个系统，如win、sunos、linux 

rootkit由几个独立程序组成：

1）网络嗅探程序，用于获取用户名密码，并且上传。

2）特洛伊***，inetd、login为***者提供后门。

3）隐藏***者目录、进程：ps、netstat、ls替换。

4）清理工具，zap、z2***者使用这些工具可删除wtmp、utmp、lastlog等用户记录有关的

日志。

b.检测rootkit

防止rootkit：做好系统及时更新，权限管理准确，开启selinux及时检测rootkit

chkrootkit：检测linux系统是否被rootkit***

RKHunter：检测rootkit

1)安装和使用chkrootkit

yum --enablerepo=epel -y install chkrootkit

chkrootkit   ##执行检测

chkrootkit  |grep  INFECTED  ##如果显示有结果证明中招，没结果即没问题

2）RKHunter安装及使用

rpm -qa |grep rkhunter

rpm -e rkhunter

yum --enablerepo=epel -y install rkhunter

vi /etc/sysconfig/rkhunter

MAILTO=root@localhost  ##检测通知邮箱，可以自定义

DIAG_SCAN=no  ##快速扫描，如果yes，详细扫描。

:wq

rkhunter  --update  ##更新rkhunter数据库（病毒库）

rkhunter  --propupd  ##更新系统文件的优先级

rkhunter --check --sk  ##检测rootkit病毒，DIAG_SCAN=no

rkhunter --check --rwo  ##详细检测，DIAG_SCAN=yes

System checks summary

=====================

File properties checks...

    Files checked: 133

    Suspect files: 2

Rootkit checks...

    Rootkits checked : 376

    Possible rootkits: 0   ##0个rootkits

Applications checks...

    All checks skipped

The system checks took: 1 minute and 22 seconds

All results have been written to the log file: /var/log/rkhunter/rkhunter.log

One or more warnings have been found while checking the system.

Please check the log file (/var/log/rkhunter/rkhunter.log)

2.AIDE文件、目录监测工具

aide：可以实现监测文件：权限变化，文件大小，重命名，移动等。

yum -y install aide

vi  /etc/aide.conf

:87,$s/^/#/g  ##注释掉默认监测规则

在87行后添加：

MYAT = p+u+g+acl  ##定义监控事件，p权限、u用户、g组、acl文件的facl

/etc/linuxfan  MYAT  ##对目录的MYAT的事件进行监控

:wq

mkdir  /etc/linuxfan

aide  --init  ##初始化数据库

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz  ##对比模板数据库

aide  --check  ##监测目录是否有变化，无变化

chmod  777  /etc/linuxfan

aide  --check  ##监测目录的变化

aide  --update  ##更新变化，确认变化是合法

cp  /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

echo '0 1 * * *  /usr/sbin/aide  --update |mail -s 'Daily check by aide'  

linuxfan360@163.com'  >>/var/spool/cron/root

3.TCPdump抓包工具

截取网络部分流量数据，并且输出。常见的排错和网络分析工具。

案例：

tcpdump  arp   ##当怀疑arp***时使用

tcpdump  icmp  ##当怀疑ddos***时使用

tcpdump ip host 192.168.3.200 and port 22 and tcp  ##只抓ssh包

tcpdump  -vv   ##显示抓包的详细信息

4.常用工具:磁盘、内存、cpu

磁盘：

df -hT  ##硬盘的使用情况

du -sh  /*  ##统计目录的每个文件及目录大小

mount  ##查看已经挂载的内容

内存：

free

cat /proc/meminfo

cpu查看：

cat  /proc/cpuinfo

echo "scale=4; 100/3" |bc  ##用于计算相关显示信息，scale指定小数的位数

wc -l  /etc/hosts  ##统计文件的行数

[root@www ~]# sync   ##将有效数据从内存中写入硬盘

[root@www ~]# echo 3 >/proc/sys/vm/drop_caches   ##清楚内存中的数据

[root@www ~]# free

5.分析工具

1）lsof：列出系统打开的文件

案例：

lsof  #列出所有的打开的文件

COMMAND   PID（进程）   USER（用户）         TYPE  NODE（节点） NAME

a.递归查找某个目录所有被打开的文件

lsof +D /opt/data

b.列出某个用户打开所有文件

lsof -u root

lsof -u  ^root  ##-u用户，^取反

c.查找某个进程所打开文件

lsof  -c  nginx

d.列出某个进程打开文件

lsof -p 1  

lsof  -p  ^1

e.列出网络连接打开的文件

lsof  -i   ##列出所有包括ipv4、ipv6；lsof -i 4  （只列出ipv4）

lsof  -a  -u  hacker -i  ##找到hacker用户的所有网络连接

lsof  -i  udp:53  ##查看udp53端口网络连接

lsof  -i  tcp:53  

f.输出某类资源的pid

lsof -t  -i  ##将所有的网络的进程输出

kill  -9  $(lsof -t -i)

6.sar,资源监控

sar是有sysstate软件提供，需要单独安装。

sar支持监控内存、cpu、硬盘

案例：

sar  -r  2  3  ##监控内存，每隔2秒一次共3次

sar  -u  2  3  ##监控cpu的使用情况

sar  -b  2  3  ##监控硬盘使用情况

支持文件的操作：

sar  -b  -f  /var/log/sa/sa18

LC_ALL=C sar -u 2 3   ##指定时间的显示方式为19:10:12的格式

7.ss查看网络连接情况

ss  -a  ##查看所有的网络连接

ss  -o  state  established  ##过滤出established状态的连接

8.iperf3：网络测速工具

c/s模式，通过给客户端传输数据测速网络情况

同时在c端和s端安装iperf3

yum -y install epel-release

yum -y install iperf3

s端：

iperf3  -s   ##监听

c端：

iperf3  -c  192.168.10.113  ##测速

9.双网卡绑定：

eth0和eth1同时接到同一个网络中，

modprobe bonding  ##加载bonding内核模块

lsmod  |grep  bond  ##确认是否成功

cd /etc/sysconfig/network-scripts/

[root@localhost network-scripts]# cat ifcfg-eth0

DEVICE=eth0

TYPE=Ethernet

ONBOOT=yes

NM_CONTROLLED=no

BOOTPROTO=none

MASTER=bond0

IPV6INIT=no

SLAVE=yes

cd /etc/sysconfig/network-scripts/

[root@localhost network-scripts]# cat ifcfg-eth1

DEVICE=eth1

TYPE=Ethernet

ONBOOT=yes

NM_CONTROLLED=no

BOOTPROTO=none

MASTER=bond0

IPV6INIT=no

SLAVE=yes

[root@localhost network-scripts]# cat ifcfg-bond0 

DEVICE=bond0

BOOTPROTO=none

ONBOOT=yes

IPV6INIT=no

IPADDR=192.168.10.21

NETMASK=255.255.255.0

GATEWAY=192.168.10.1

DNS1=192.168.3.5

BOND_OPTS="mode=1 primary=eth0 miimon"   ##mode=1表示容错，0表示负载均衡，虚拟机

只支持1，0-6真机支持。

/etc/init.d/network  restart

cat  <<END >>/etc/rc.local

modprobe  bonding

/etc/init.d/network  restart

10.iftop+ntop网络监控流量

注意安全前必须配置好rpmforge和epel源：

[root@ns bin]# yum -y install --enablerepo=rpmforge iftop  ##安装iftop

[root@ns bin]# iftop  ##使用iftop

[root@ns ~]# yum -y install --enablerepo=epel ntop  ##安装ntop

[root@ns ~]# ntop -i eth0 -u ntop  ##在内网卡上启动ntop

http://192.168.100.100:3000/   ##浏览器中访问查看,最好配置×××软件，ntop调用

google地图

转载于:https://blog.51cto.com/linuxlp/1773676