linux安全策略!

2024-08-21 14:58
文章标签 linux 安全策略

本文主要是介绍linux安全策略!,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1.       重要数据完整性.(Tripwire或者其它替代品AIDE)

2.       入侵检测系统(SNORT+ACID)

3.       防火墙安全加固 (IPTABLE)

4.       外部SSH安全连接(密钥或密码方式)

 

系统安全检测工具

1.       NMAP 端口扫描

2.       Xprobe2 版本识别

3.       Amap 识别远程服务器所提供服务

4.       Hydra 暴力破解口令

5.       NESSUS  安全远程漏洞扫描

6.       Netcat 获取远程shell

7.       Kismet 无线网络嗅探器

8.       Tiger 检测已知安全问题

 

最后用 loadruner 等自动测试工具来进行压力测试.

 

一部份: Linux系统安全法则

一.   BIOS安全,设定引导口令

二.   隐藏版本信息(apache,php,openssl,mod_ssl  icmp返回信息)

三.   安全策略.

制定一个安全策略完全依赖于你对于安全的定义。下面的这些问题提供一些一般的指导方针:
* 你怎么定义保密的和敏感的信息?
* 你想重点防范哪些人?
* 远程用户有必要访问你的系统吗?
* 系统中有保密的或敏感的信息吗?
* 如果这些信息被泄露给你的竞争者和外面的人有什么后果?
* 口令和加密能够提供足够的保护吗?
* 你想访问Internet吗?
* 你允许系统在Internet上有多大的访问量?
* 如果发现系统被黑客入侵了,下一步该怎么做?

四.   口令要尽量大于8位字符,而且不能是单一的数字或者是字母,健议是字母数字与特殊符号的混合.

五.   严格控制root权限,严格控制root组….特定的用户组才能使用sudo命令

仅允许wheel 组用户登录进行系统管理 设置方法:

[root@sample ~]# usermod -G wheel centospub  ← 将一般用户 centospub 加在管理员组wheel组中
[root@sample ~]# vi /etc/pam.d/su  ← 打开这个配置文件
#auth required /lib/security/$ISA/pam_wheel.so use_uid   ← 找到此行,去掉行首的“#”
auth required /lib/security/$ISA/pam_wheel.so use_uid  ← 变为此状态(大约在第6行的位置) 
[root@sample ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs ← 添加语句到行末

( 在/etc/pam.d/su文件的头部加入下面两行代码 auth sufficient /lib/security/pam_rootok.so

Debug

Auth required /lib/security/pam_wheel.so

Group=wheel

)

 六.   编辑/etc/securetty,注释掉所有允许root远程登录的控制台,然后禁止使用所有的控制台程序,其命令如下:

Rm –f /etc/security/console.apps/servicename

七.   最少服务原则.

     关闭不必要的服务

[root@localhost /]# /sbin/chkconfig --level 2345 rhnsd off

[root@localhost /]# /sbin/chkconfig --level 2345 isdn off

[root@localhost /]# /sbin/chkconfig --level 2345 iiim off

[root@localhost /]# /sbin/chkconfig --level 2345  rpcidmapd off

[root@localhost /]# /sbin/chkconfig --level 2345  irqbalance off

[root@localhost /]# /sbin/chkconfig --level 2345 nfslock off

[root@localhost /]# /sbin/chkconfig --level 2345 portmap off

[root@localhost /]# /sbin/chkconfig --level 2345 rpcgssd off

[root@localhost /]# /sbin/chkconfig --level 2345 saslauthd on

[root@localhost /]# /sbin/chkconfig --level 2345 spamassassin on

[root@localhost /]# /sbin/chkconfig --level 2345 gpm off

[root@localhost /]# /sbin/chkconfig --level 2345 microcode_ctl off

[root@localhost /]# /sbin/chkconfig --level 2345 autofs off

[root@localhost /]# /sbin/chkconfig --level 2345 pcmcia off

[root@localhost /]# /sbin/chkconfig --level 2345 apmd off

[root@localhost /]# /sbin/chkconfig --level 2345 cups off

[root@localhost /]# /sbin/chkconfig --level 2345 netfs off

[root@localhost /]# /sbin/chkconfig --level 2345 acpid off

七.文件系统权限

       找出系统中所有含s"位的程序,把不必要的"s"位去掉,或者把根本不用的直接删除,这样可以防止用户滥用及提升权限的可能性,其命令如下:

       Find / -type f  (-perm -04000 –o –perm -02000) –exec ls –lg {} \ ;

       Chmod a-s filename

把重要文件加上不可改变属性:

Chattr +I /etc/passwd

Chattr +I /etc/shadow

Chattr +I /etc/gshadow

Chattr +I /etc/group

Chattr +I /etc/inetd.conf

等等

 

八.Banner伪装

入侵者通常通过操作系统、服务及应用程序版本来攻击,漏油列表和攻击程也是按此来分类,所以我们有必要作点手脚来加大入侵的难度。更改/etc/issue,因为reboot后重新加载,所以编辑/etc/rc.d/rc.local如下:#echo “” > /etc/issue

                                                         #echo “$R” >>/etc/issue

                                                         #echo “Kernel $(uname -r) on $a $(uname -m) >> /etc/issue”

#

#Cp –f /etc/issue /etc/issue.net

#echo >> /etc/issue

把以上行的#注释去掉.

对攻击有所了解的人知道"端口重定向十反向管道"的美妙结合来穿越防火墙的例子吧?这种技巧已经运用太广,而危害很大。为了对抗这种难以防御的攻击,我们必须以牺牲一定的易用性为代价:

Iptables -A input –j DROP

以上规则将阻止由内而外的TCP主动选接。
另外,用tftp或其他客户端反向攫取文件的攻击行为也很普遍,由于mfv以及诸如loki之类的工具依赖UDP,所以现在要把它彻底抹煞悼:

Iptables –A output –o eth0 –p tcp –syn –j DROP

 注:在更新系统和调试网络时需要把这两条规则临时去掉

九. 提供服务的程序,把版本号等信息删除掉.

       apache,php,openssl,mod_ssl  icmp(防止反向导管和DDOS攻击)

 

       apache隐藏版本信息

Linux中最常见的是Apache。
默认的Apache配置里没有任何信息保护机制,并且 允许目录浏览。通过目录浏览,通常可以获得类似“Apache/1.3.27 Server at apache.linuxforum.net Port 80”或“Apache/2.0.49 (Unix) PHP/4.3.8”的信息。
通过修改配置文件中的ServerTokens参 数,可以将Apache的相关信息隐藏起来。但是,Red Hat Linux运行的Apache是编译好的程序,提示信息被编译在程序里,要隐藏这些信息需要修改Apache的源代码,然后,重新编译安装程序,以替换里 面的提示内容。
以Apache 2.0.50为例,编辑ap_release.h文件,修改“#define AP_SERVER_BASEPRODUCT \"Apache\"”为“#define AP_SERVER_BASEPRODUCT \"Microsoft-IIS/5.0\"”。编辑os/unix/os.h文件,修改“#define PLATFORM \"Unix\"”为“#define PLATFORM \"Win32\"”。修改完毕后,重新编译、安装Apache。
Apache安装完 成后,修改httpd.conf配置文件,将“ServerTokens Full”改为“ServerTokens Prod”;将“ServerSignature On”改为“ServerSignature Off”,然后存盘退出。重新启动Apache后,用工具进行扫描,发现提示信息中已经显示操作系统为Windows。

 Apache不允许查看目录

以下为例
Alias /icons/ "/usr/local/apache/icons/"
<Directory "/usr/local/apache/icons">
    Options Indexes MultiViews
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>
把Indexes 去了即可

 隐藏 PHP 版本
php.ini

expose_php On
改成
expose_php Off

十,重要的资料,文件要备份到第三机器上.

二部份.安全加固工具的安装和使用(均未校验)

1.       系统性能监控 rrdtool 安装使用..( RRDTOOL +CACTI + SNMP )

安装Net-SNMP

tar zxvf net-snmp-5.1.3.1.tar.gz

cd net-snmp-5.1.3.1
./configure
make
make install
运行snmpget,snmpwalk测试是否安装成功

出错地方(

1./usr/bin/ld: cannot find –lelf   ?????

ln -s /usr/lib/libelf.so.1  /usr/lib/libelf.so)

 安装CACTI

将这个压缩包解压到网站根目录
#cp cacti-0.8.6f.tar.gz /var/www/cacti

#cd /var/www/cacti

#tar xzvf cacti-0.8.6f.tar.gz
#mv cacti-0.8.6f cacti
#chown –R apache.apache cacti
#cd cacti
b) 配置Mysql数据库
为cacti配置用户和数据库:
#mysql –u root –p
mysql>create database cactidb;
mysql>grant all privileges on cactidb to cactiuser@localhost identified by ‘password’;
mysql>quit
配置Cacti连接数据库
#vi /usr/local/apache2/htdocs/cacti/include/config.php
$database_type = “mysql”;
$database_default = “cactidb”;
$database_hostname = “localhost”;
$database_username = “cactiuser”;
$database_password = “password”;
c) 定时crontab运行cacti的收集数据程序
#vi /etc/crontab
*/5 * * * * /usr/local/bin/php /usr/local/apche2/htdocs/cacti/poller.php > /dev/null 2>&1
d) 配置Cacti
在浏览器上输入:
http://IP/cacti
进入cacti的初始设置页面:
在这里我们要输入一些原始的信息:
NEXT -》
输入一些信息,如rrdtool、php、snmpwalk、snmpget的位置,使用ucd-snmp还是net-snmp等 -》
输入原始的用户和密码:admin/admin -》
更改admin用户的密码 -》
点击 Save
安装完成!!!
现在可以在浏览器中进入Cacti的世界了!
5. 测试
四、被监控端配置
大部分情况下,我们监控的是服务器,以RedHat Linux为例,看看如何打开SNMP服务。

只有开启了SNMP服务,监控端才可以收集数据。
打开默认的/etc/snmp/snmp.conf文件,更改如下配置:
1、查找以下字段:

代码:

# sec.name source community
com2sec notConfigUser default public
将"comunity"字段改为你要设置的密码.比如"public".
将“default”改为你想哪台机器可以看到你的snmp信息,如10.10.10.10。
2、查找以下字段:代码:

####
# Finally, grant the group read-only access to the systemview view.
# group context sec.model sec.level prefix read write notif

access notConfigGroup "" any noauth exact all none none

将"read"字段改为all.
代码:

#access notConfigGroup "" any noauth exact systemview none none
3、查找以下字段:代码:
## incl/excl subtree mask
#view all included .1 80
将该行前面的"#"去掉.
保存关闭.
4、运行/etc/init.d/snmpd start命令运行snmpd.
5、如果有防火墙,打开UDP 161端口。
最后运行netstat -ln查看161端口是否打开了.
使用ntsysv,让snmp服务,每次开机自动运行。
如果没有安装snmp服务,请在RH的安装光盘上找到net-snmp.rpm,再安装。

五、测试
打开本机的SNMP服务,
打开http://localhost/cacti
默认Cacti有LocalHost的四项参数,直接可以查看了。

六、排错

1. 首先检查一下rra/下面,有没有数据

2. snmpwalk -v 2c -c public ServerIP if 用来测试被控对象(serverIP)是否开启了SNMP服务

3. snmpwalk -v 2c ServerIP -c public .1.3.6.1.4.1.2021.10.1.3 查看被控端是否有CPU负载的数据返回
4. /usr/local/bin/php /usr/local/apche2/htdocs/cacti/poller.php 用来测试PHP是否可以采集到数据。如果上面的都正确,但这步出错,很有可能是PHP配置的问题,或开启了SuLinux。

5. 如果按第2步snmpwalk能采集到数据,但第3步无法采集,可能是PHP设置的问题,修改PHP.ini,很有可能是PHP权限问题。

2.       数据完整性工具 Tripwrite
3.       入侵检测系统 snort + acid的使用
  Snort是一个轻便的网络入侵检测系统,可以完成实时流量分析和对网络上的IP包登录进行测试等功能,能完成协议分析,内容查找/匹配,能用来探测多种攻击和嗅探(如缓冲区溢出、秘密断口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等)

需要的软件包: (apache+php+mysql+snort+acid+adodb+jpgraph+libpcap+pcre

这篇关于linux安全策略!的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1093485

相关文章

Linux命令之firewalld的用法

《Linux命令之firewalld的用法》:本文主要介绍Linux命令之firewalld的用法,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux命令之firewalld1、程序包2、启动firewalld3、配置文件4、firewalld规则定义的九大

Linux之计划任务和调度命令at/cron详解

《Linux之计划任务和调度命令at/cron详解》:本文主要介绍Linux之计划任务和调度命令at/cron的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux计划任务和调度命令at/cron一、计划任务二、命令{at}介绍三、命令语法及功能 :at

Linux下如何使用C++获取硬件信息

《Linux下如何使用C++获取硬件信息》这篇文章主要为大家详细介绍了如何使用C++实现获取CPU,主板,磁盘,BIOS信息等硬件信息,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录方法获取CPU信息:读取"/proc/cpuinfo"文件获取磁盘信息:读取"/proc/diskstats"文

Linux内核参数配置与验证详细指南

《Linux内核参数配置与验证详细指南》在Linux系统运维和性能优化中,内核参数(sysctl)的配置至关重要,本文主要来聊聊如何配置与验证这些Linux内核参数,希望对大家有一定的帮助... 目录1. 引言2. 内核参数的作用3. 如何设置内核参数3.1 临时设置(重启失效)3.2 永久设置(重启仍生效

kali linux 无法登录root的问题及解决方法

《kalilinux无法登录root的问题及解决方法》:本文主要介绍kalilinux无法登录root的问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,... 目录kali linux 无法登录root1、问题描述1.1、本地登录root1.2、ssh远程登录root2、

Linux ls命令操作详解

《Linuxls命令操作详解》通过ls命令,我们可以查看指定目录下的文件和子目录,并结合不同的选项获取详细的文件信息,如权限、大小、修改时间等,:本文主要介绍Linuxls命令详解,需要的朋友可... 目录1. 命令简介2. 命令的基本语法和用法2.1 语法格式2.2 使用示例2.2.1 列出当前目录下的文

Linux中的计划任务(crontab)使用方式

《Linux中的计划任务(crontab)使用方式》:本文主要介绍Linux中的计划任务(crontab)使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、前言1、linux的起源与发展2、什么是计划任务(crontab)二、crontab基础1、cro

Linux换行符的使用方法详解

《Linux换行符的使用方法详解》本文介绍了Linux中常用的换行符LF及其在文件中的表示,展示了如何使用sed命令替换换行符,并列举了与换行符处理相关的Linux命令,通过代码讲解的非常详细,需要的... 目录简介检测文件中的换行符使用 cat -A 查看换行符使用 od -c 检查字符换行符格式转换将

Linux系统配置NAT网络模式的详细步骤(附图文)

《Linux系统配置NAT网络模式的详细步骤(附图文)》本文详细指导如何在VMware环境下配置NAT网络模式,包括设置主机和虚拟机的IP地址、网关,以及针对Linux和Windows系统的具体步骤,... 目录一、配置NAT网络模式二、设置虚拟机交换机网关2.1 打开虚拟机2.2 管理员授权2.3 设置子

Linux系统中卸载与安装JDK的详细教程

《Linux系统中卸载与安装JDK的详细教程》本文详细介绍了如何在Linux系统中通过Xshell和Xftp工具连接与传输文件,然后进行JDK的安装与卸载,安装步骤包括连接Linux、传输JDK安装包... 目录1、卸载1.1 linux删除自带的JDK1.2 Linux上卸载自己安装的JDK2、安装2.1