欢迎来到天天文库
浏览记录
ID:10589957
大小:29.00 KB
页数:4页
时间:2018-07-07
《linux主机的安全性设置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、LINUX主机的安全性设置所谓枪打出头鸟,放到公网上的服务器,都是在枪林弹雨中成长的主,小弟不幸中招的次数有很多,所以严重认为该学学这方面的东西,今天主要瞅了瞅鸟哥的几篇文章,小记一下。1.要知道服务器开了多少网络服务以及相关端口,根据这层关系关闭不必要的网络服务。2.利用在线更新让Linux随时保持在最新的软件状态。3.架设基础防火墙。 很重要的三点linux的端口建立一条Server/Client的连接,需要一组Socketpair来建立联机。Socketpa
2、ir就是来源与目标的IP+port了。观察端口netstat 在本机上以自己的程序检测自己的端口 #netstat-tunl列出在监听的网络服务 #netstat-tun 列出已连接的网络联机状态nmap(强大)可测试费本机上的其它网络主机(不过最好不要侦测其它网络主机,因为违法,咩哈哈) #nmap-sTUlocalhost/192.168.1.0/24列出本机或某网段的端口状态根据自己的情况开启活关闭端口linux在线自动升级1.找到合适的yumServer2.设定自动更新crontab xxxx***yum-yupdate&&yumcleanpa
3、ckages(当然还有进阶的比如版本升级和跨版本升级,不过我觉得作为已经再运行的系统,还是不要跨版本开国际玩笑的好)网络安全1.主机能做的保护(权限,软件更新,SELINUX)避免777权限的出现(小提一下ACL针对文件的访问控制列表,当UGO的模式已经不能满足你贪婪的控制欲时,作为主流的非主流进阶权限设定,它横空出世了而且反映良好)保证密码复杂性(换句话说就是要累死广大的暴力破解者们,密码设的过于简单就好比美女穿着三点逛大街。常人尚且YY,想不被色狼注意都难)软件更新(减少因软件漏洞而产生的攻击手段)SELINUX2.常见攻击手段与主机保护方式 取得帐号信息后猜密码(减少暴露帐
4、号的机会,建立相对严密的密码设置规则,完善的权限设置) 利用系统的程序漏洞主动攻击(关闭不需要的网络服务,随时保持更新,关闭不需要的软件功能) 利用社交工程欺骗(这个嘛每个人都有一套自己的原则呗主要还是针对内网用户的) 利用程序功能的被动攻击(同样针对内网用户建议服务器组和内网用户混搭的网络架构还是建立DMZ吧) 蠕虫活木马的rootkit rookit是可以取得root权限的工具组,不过rootkit需要用户下载安装。 蠕虫会让你的主机一致发送数据包向外攻击结果好近网络带宽。 木马则会在你
5、的主机上开后门(开一个port来让Cracker主动入侵)。 可以定时以rkhunter之类的软件追查。 DoS攻击(DenialofService) 这一类型的攻击中文翻译成“阻断式攻击”,最常见的就属SYNFlood(洪泛)了。 在很短的时间内持续发出SYN数据包并将服务器返回的确认数据包丢弃,那么Server端就会一直空等,只到用完全部port后,系统牺牲了。 恐怖且很难防范的攻击手段,这个预防方法还是多做善事,求好报吧。 其它 比如IP欺骗,窜改回执数据包等。属于
6、比较高级的Craker喜欢干的事了。 iptables在这个方面还是可以贡献一部分力量的,还有流量监控软件的搭配使用,MRTG就是很好的一款。3.被入侵后的修复工作 网管人员的必备技巧与任务 了解什么是需要保护的内容 预防黑客入侵 主机环境安全化 防火墙规则的制定 实时维护主机 内网用户的培训 完善的备份计划 入侵恢复工作 立即拔除网线(切断入侵,阻隔内网攻击) 分析日志文件信息,搜索可能的入侵路径
7、(/var/log/messages/var/log/secure) 重要数据备份(例如/etc/passwd/etc/shadow网页数据/home里的用户重要文件等) 重新安装(重装吧重装最干净) 软件的漏洞修补(把Internet上的漏洞修补软件下载下来,刻录CD,利用CD修补软件给系统更新) 关闭或转移不必要的服务 数据恢复
此文档下载收益归作者所有
