linux 优化&安全运维&黑客攻防

 

优化

  可删除用户:adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher.   :userdel games

      可删除组:adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers.             :groupdel games

     不需要用户登录的用户,比如www供apache使用的用户可以关闭其登录功能               :usermod -s /sbin/nologin www

  删除多余的登录欢迎信息:/etc/issue,/etc/issue.net,/etc/redhat-release,/etc/motd. #如果需要用户登录完之后显示/etc/issue.net信息的话在 /etc/ssh/sshd_config 加入

                                  Banner /etc/issue.net

  其他包含系统信息的文件:/etc/redhat-release,       #/etc/motd  该文件会显示在用户终端,可以写一些通知例如:欢迎登录。

      关闭快捷键重启:vim /etc/init/control-alt-delete.conf    #exec /sbin/shutdown -r now "Control-Alt-Delete pressed"

 关闭多余的服务

    一般情况下不需要的服务:

              anacron,auditd,autofs,avahi-daemon,avahi-dnsconfd,bluetooth,cpuspeed,firsboot,gpm,haldaemon,hidd,

    ip6tables,ipsec,isdn,lpd,mcstrans,messagebus,netfs,nfs,nfslock,nscd,pcscd portmap,readahead_early,restorecond,

rpcgssd,rpcidmapd,rstatd,sendmail,setroubleshoot,yppasswdd ypsery.               :chkconfig --level 345 anacron off

      系统必须运行的服务:

服务名称  

服务内容

 acpid 电源管理 
 apmd 高级电源管理,可监控电池性能 
 kudzu 检测硬件变化 
 crond 为linux下自动安排的进程提供运行服务 
 atd 计划任务功能相识 
 keytables 装载镜像键盘 
 iptables 内置的防火墙 
 xinetd 支持多种网络服务的核心守护进程 
 xfs x windows 必须的服务 
 network 启动网络服务 
 sshd 远程安全登录 
syslog  记录系统日志服务 

  关闭口令登录,使用key登录   :vim /etc/ssh/sshd_config         #PasswordAuthentication no

  重启sshd                          : /etc/rc.d/init.d/sshd restart

 

系统安全

用户权限:vim /etc/sudoers

让普通用户可以执行提权的命令:username ALL=(ALL)NOPASSWD:ALL       #该用户可以提权sudo su -

让普通用户只可以执行某条特权命令:user01 ALL=/bin/more /etc/shadow  , user01 ALL=NOPASSWD: /etc/init.d/httpd restart

简单防火墙配置 : /etc/hosts.allow   /etc/host.deny    #先匹配hosts.allow如有匹配则结束,没有则继续匹配。常用服务(sshd,vsftpd,sendmail)

   例子:vim /etc/hosts.allow      #sshd: 1.1.1.1        vim /etc/host.deny  #sshd:ALL  #拒绝除1.1.1.1外的sshd服务连接。

文件系统安全

     :chattr -R +i  #锁定该文件的权限   lsattr [-adlRvV]  查询文件属性。

文件权限检查和修改:

      linux:SUID、SGID详解

      找出全部用户有写权限的文件和目录:find / -type f -perm -2 -o -perm -20 | xargs ls -al   :find / -type f -perm -2 -o -perm -20 | xargs ls -ld

                 找出含有‘s’位的程序:find / -type f -perm -4000 -o -pperm -2000 -print | xargs ls -al    #有S位可提权,尽可能降低。

      找出所有含sudi和sgid的文件:find / -user root -perm -2000 -print -exec md5sum {} \; find / -user root -perm -4000 -print -exec md5sum {} \;

          #可把该结果保存在一个文件里面,日后可用来对比权限查看服务器文件有没有被篡改

      find / -nouser -o -nogroup   #找出可以属主的文件,避免黑客利用。

      tmp临时目录的权限控制:创建一个新的目录给予权限控制之后挂载到tmp下。       

1 dd -f=/dev/zero of =/dev/tmpfs bs=1M count=1000
2 mke2fs -j /dev/tmpfs
3 cp -av /tmp /tmp.old
4 mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp
5 chmod 1777 /tmp
6 mv -f /tmp.old/* /tmp/
7 rm -rf /tmp.old

     vim /etc/fstab

  /dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0 #如果tmp目录直接是挂载目录的话直接添加:loop,nosuid,noexec。  在/tmp 下写一个shell脚本,运行测试。

      /dev/shm  #共享内存设备,挂载属性修改    :tmpfs /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0.

 

Hacker攻防

      chkrootkit后门rootkit检测工具,www.chkrootkit.org   #用法 /usr/local/chkrootkit/chkrootkit

      备份好chkrootkit入侵检测需要用到的系统命令:

mkdir /usr/share/.commands
cp `which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands
/usr /local/chkrootkit/chkrootkit -p /usr/share/.commands/

      

       RKHunter : /usr/local/bin/rkhunter -c  #rootkit入侵检测工具2     #09 3 * * * /usr/local/bin/rkhunter --check --cronjob #每天运行

服务器被攻击后的处理思路

      1.切断网络。  利用ROOT登陆输入:w     #查看登陆过的用户。passwd -l username #锁定用户   :  ps -aux | grep pts/1  && kill -9 id  #踢掉非法用户

      2.last  查看登陆日志.  

      3.其他系统日志   /var/log/messages  #运行状态     /var/log/secure     #登陆状态   .bash_history #历史命令

      4.pidof httpd    #找出该进程的所有进程ID  # ls -al /proc/ID/exe   #查看该进程的EXE文件信息   # ls -al /proc/ID/fd  #该进程的完整执行信息。Linux下/proc目录简介

      检查文件系统的完整性:rpm -Va   #输出的结果中如果有M标记,那么该文件有可能已经给修改。

      

   被入侵过后的实战分析

      服务器流量跑满,ps,netstat --antp,top 查看无80端口的任何连接。 md5sum /bin/ps 查看几个命令的MD5是否一致。

      more /var/log/secure |grep Accepted # 查看当天登陆成功的用户   #利用替换后的ps -antp  查找可疑进程。    #/mnt/bin/ls -al /proc/22785/exe   #查找路劲

      分析服务器上跑的业务,查看apache 日志 根据对应的黑客IP 找到WEB访问记录,得知黑客通过apache插件漏洞在服务器上创建文件。

      找出问题,将重要数据备份,重新安装系统,修补漏洞。

 

 

           

 

posted @ 2016-05-23 12:44  小秒  阅读(2387)  评论(0编辑  收藏  举报