本文通过阐述linux的基础安全知识,服务器安全基础,是近身防卫、是末端拦截,必须重视。

一,服务器安全方面


1.1  关闭不需要的系统服务

    对于服务器来说,运行的服务越多,安全隐患越多,必须关闭不用的系统服务,提升系统安全性。

    建议保留的服务有,crond  sshd  network  rsyslog  xinetd  iptables sysstat

    chkconfig|awk '{print "chkconfig",$1,"off"}'|bash

    chkconfig|egrep "crond|sshd|network|rsyslog|sysstat|iptables" |awk '{print "chkconfig",$1,"on"}'|bash


1.2  删除不用的用户禁止某些用户登录

    userdel  test01

    groupdel test01

    usermod -s /sbin/nologin test02    #禁止登录


1.3  密码安全认证

    使用RSA密钥认证登录

    将本机的pub内容拷贝到服务器的./ssh/authorized_keys中


1.4  控制sudo权限的使用

    test01    ALL = NOPASSWD:    /etc/init.d/mysqld restart

    test02    ALL = (ALL)    NOPASSWD: ALL        #形同root  谨慎使用


1.5  修改系统信息文件

    /etc/issue   /etc/issue.net  /etc/redhat-release    记录了操作系统和版本号 可以删除或者修改

    /etc/motd  系统公告信息,可以填入一些警告信息,警告震慑非法登陆者

    

1.6  禁用Control+Alt+Delete

    centos5  打开/etc/inittab   注释掉 ca::ctrlaltdel:/sbin/shutdown -t3 -r now 这一行,然后执行 telinit q

    centos6  打开/etc/init/control-alt-delete.conf  注释掉exec /sbin/shutdown -r now "Control-Alt-Delete pressed" 这一行

    centos7  删除文件:/usr/lib/systemd/system/ctrl-alt-del.target即可,然后执行init q


2.1  开启ssh认证登陆

    设置配置:禁root登陆  开启RSA密钥认证  限制登陆次数  禁用DNS反向解析等


2.2  history命令记录详细用户、IP、时间

    编辑/etc/bashrc   或者编辑/etc/profile   添加修改用户IP时间的程序语句


2.3  开启设置iptables和tcp_wrappers

    iptables配置方法https://blog.51cto.com/superleedo/1886999

    tcp_wrappers配置 是通过修改/etc/hosts.allow  /etc/hosts.deny

    service:  host [action]

    sshd:  192.168.1.13

    系统执行判断的顺序是先allow文件后deny文件


3.1  文件系统安全锁定

    lsattr 查看文件属性

    chattr +i  /etc/passwd  设定文件不能删除修改重命名

    chattr +a /etc/passwd  设定文件只能添加内容,不能删除


3.2  查找修改系统不安全权限

    查找任何用户都有写权限的文件或目录

    find / -type f -perm -2 -o -perm -20 |xargs ls -al

    find / -type d -perm -2 -o -perm -20 |xargs ls -ld

    检查具有s位权限的文件程序,去除不必要的s位权限

    find / -type f -perm -4000 -o -perm -2000 -print |xargs ls -al

    检查suid和sgid文件,保存检查结果以便日后系统检查

    find / -user root -perm -2000 -print -exec md5sum {} \;

    find / -user root -perm -4000 -print -exec md5sum {} \;

    检查没有属主文件,添加属主

    find / -nouser -o -nogroup

    

3.3  修改挂载目录权限,限制tmp的执行权限

    编辑/etc/fstab

    /dev/tmps    /tmp    ext4    defaults,nosuid,noexec,rw    0 0


3.4  配置yum源

    配置阿里的yum源或者centos社区的源


3.5  安装***检测工具(文件级别,内核级别***,重装系统)

    chkrootkit

    RKHunter    建议用这个


3.6  收到******处理流程

    切断网络--查找***源---分析***路径原因---备份数据---重装系统---修复漏洞---恢复数据及网络

    查找***源:受到***--检查应用程序--校验命令md5sum--断网分析--系统日志应用日志查找***源--日志文件用户文件密码文件历史记录--查看异常进程--查看异常pid对应的程序


二 网络安全监测

    网络监测工具iftop 

        iftop是一个时时网卡流量监控工具,类似top命令,它可以监控指定网卡的时时流量、端口连接信息、反向解析ip等。对于网络故障流量异常监测很有效

        常用命令 iftop -P -i em1

    网络监控分析工具Ntop(停止更新)——》Ntopng(主推版本)

        可以监控庞大的服务器网络,监控流量、端口、路由、服务、带宽、时间等

        ntopng依赖redis 启动时候需要同时启动redis,启动后可以通过web方式访问(3000端口)admin:admin

        常用命令  ntop -i em1 -L -d  

        ntopng  主要通过界面时时监控流量

    网络性能评估工具iperf

        iperf是一个基于TCP/IP和UDP/IP的网络性能检测工具用于测量网络带宽和质量,丢包率、网络延迟等

        常用命令 iperf -c 192.168.1.13

    网络探测工具nmap

        nmap用于网络发现、端口扫描、系统及版本检测,应用及版本检测

        常用命令 nmap -T4 -A -v 192.168.1.13

        端口扫描  nmap -sU -sS -F 192.168.1.13

        版本检测 nmap -sV 192.168.1.13

        系统检测 nmap -O --osscan-guess 192.168.1.13

网络检测安全工具的具体安装使用,可以查找相应的文章以及官网指导。