2011-5-25整理

******windows安全

端口安全：

查看当前连接

  命令  netstat –na

执行的结果显示本机连接情况和打开的端口

Local 是本机ip和锁打开的端口号

Foreign 是远程的计算机ip和端口号

查看连接的宿主

  命令  netstat –nab

从结果中看到显示了每个连接都有那些程序创建的.如果发现打开了可疑端口，可以查看调用了那些组件，在检查组件的创建和修改时间，确定是否中了木马。

端口监控工具

Port RePorter

******linux安全

***使用GRUB口令

编辑 /boot/grub/grub.conf，加入以下语句 

    password  12345

删除所有的特殊帐户

包括lp，shutdown，halt，news，uucp，operator，games，gopher等

    [root@redhat root]# userdel lp

    [root@redhat root]# groupdel lp

***修改默认root密码长度

默认root密码长度是5位，建议修改为8位 

编辑/etc/login.defs，修改

    PASS_MIN_LEN 5

    为

    PASS_MIN_LEN 8

***取消所有不需要的服务 

telnet、http等默认启动的服务

关闭telnet，编辑/etc/xinetd.d/telnet，修改

     disable = no

     为

     disable = yes

更改/etc/xinetd.conf的权限为600，只允许root来读写该文件 

     [root@redhat root]# chmod 600 /etc/xinetd.conf

***屏蔽系统信息

登录信息包括Linux发行版、内核版本名和服务器主机名等 

    [root@redhat root]# rm /etc/issue

    [root@redhat root]# rm /etc/issue.net 

禁止按Ctrl+Alt+Del键关闭系统

编辑/etc/inittab，将

   ca::ctrlaltdel:/sbin/shutdown  -t3  -r  now 

   改为

   ＃ca::ctrlaltdel:/sbin/shutdown  -t3  -r  now

***不允许root从不同的控制台进行登录 

编辑/etc/securetty，在不需要登录的TTY设备前添加#，禁止从该TTY设备

进行root登录

使用SSH进行远程连接 

通过SSH客户端软件连接Linux

在Linux下利用以下命令连接其他Linux

 [root@redhat root]# ssh –l root 192.168.2.180

***禁止随意通过su命令将普通用户变为root用户

编辑/etc/pam.d/su，加入以下内容

auth sufficient /lib/security/pam_rootok.so debug 

auth required /lib/security/pam_wheel.so group=wheel

(wheel为系统中隐含的组，只有wheel组的成员才能用su命令成为root）

重启网络 /etc/rc.d/init.d/network   restart 

13. grep，find

grep:文本内容搜索;find:文件或者目录名以及权限属主等匹配搜索

eg: grep success * 　　 /*查找当前目录下面所有文件里面含有success

字符的文件

netconfig 配置IP地址、子网掩码

who 看当前登陆用户信息 

cat /etc/passwd 看所有系统用户信息

groups 查看当前登录用户的组内成员

groups gliethttp 查看gliethttp用户所在的组,以及组内成员

whoami 查看当前登录用户名

/etc/group文件包含所有组

/etc/shadow和/etc/passwd系统存在的所有用户名

rpm -ivh foo-1.0-l.i386.rpm

chgrp 命令将与指定文件或目录相关联的组更改为指定组名或组标识号。

-R 递归降序目录，为每个文件设置指定的组标识。当遇到符号链接且该链接指向目录，则会更改该目录的组所有权，但不再进一步遍历目录。如果 -h、-H、-L or -P 标志也未指定，则当遇到符号链接并且该链接指向到目录时，该目录的组所有权更改但不会进一步遍历目录。

mysql --help|grep version

/usr/local/mysql/bin/mysqld_safe --user=mysql &

查看服务是否运行

ps -A | grep mysql

查看服务的进程号

$ ps -aef | grep mozilla 

root 32558 32425 8 22:53 pts/1 00:01:23 /usr/bin/mozilla 

列出所有进程的详细情况

#ps aux

监听80端口连接情况

lsof -i:80

列出当前系统中所有使用的进程的名称、端口号和进程号

sudo netstat -antup

/etc/init.d/httpd 就是httpd服务器的守护程序，当把它的运行级别设置为3和5时，当系统启动时，它会跟着启动。

[root@localhost ~]# chkconfig  --level 35  httpd on

[root@localhost ~]# ps -aux |more

可以用 | 管道和 more 连接起来分页查看；

[root@localhost ~]# ps -aux  > ps001.txt

[root@localhost ~]# more ps001.txt

实例二：父进和子进程的关系友好判断的例子

[root@localhost ~]# ps auxf  |grep httpd