Linux安全出版

一.使用密钥登录

1.先sudo su -s 切换到root

2.生成秘钥对

root@ubuntu:~# ssh-keygen   命令

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter

Created directory '/root/.ssh'.

Enter passphrase (empty for no passphrase): 直接按 Enter 留空

Enter same passphrase again: <== 回车

Your identification has been saved in /root/.ssh/id_rsa. <== 私钥

Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥

The key fingerprint is:

0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host

 

cd  /root/.ssh/导出id_rsa   一定先导入密钥再执行下面操作

3.服务器安装公钥

cd /root/.ssh/ 

cat id_rsa.pub >> authorized_keys

chmod 600 authorized_keys

chmod 700 /root/.ssh/

 

4.设置ssh,密钥登录

vim /etc/ssh/sshd_config  修改下面配置

PermitRootLogin yes

PasswordAuthentication no

 

重启sshd

service ssh restart

 

退出shell,使用root加密钥登录

 

 

二.数据库安全

2.1数据库软口令

face1.5.0以前的数据库默认密码为123456,会轻易被破解。这里介绍修改数据库登录密码的方法

 

cat change_postgres_passwd.sh

#!/bin/bash

read -p "Please input your new password:" c

Passwd=$c

###.json###

sed -i "s/123456/${Passwd}/g" /home/dell/face/thor/latest/thor.json

sed -i "s/123456/${Passwd}/g" /home/dell/face/loki/latest/config/production.json

sed -i "s/123456/${Passwd}/g" /home/dell/face/loki/latest/config/default.json

sed -i "s/123456/${Passwd}/g" /home/dell/face/face-api/latest/config.json

###.txt###

sed -i "s/123456/${Passwd}/g" /home/dell/face/croatia/latest/config/croatia_config.txt

sed -i "s/123456/${Passwd}/g" /home/dell/face/bingo/latest/tmp/bingoconfig_white.txt

sed -i "s/123456/${Passwd}/g" /home/dell/face/bingo/latest/tmp/bingoconfig.txt

###登录数据库修改密码

sudo -u postgres psql  -U postgres -w -c "alter user postgres with password '${Passwd}'"

supervisorctl restart all

 

 

bash chang_postgres_passwd.sh   //输入你的密码

 

 

上面的脚本可以修改face1.4.2的数据库密码,密码应有特殊字符,字母大小写和数字

 

 

2.2数据库访问授权限制

在pg_hba.conf文件中,每条记录占一行,指定一条访问认证规则。

总的来说访问控制记录大致有以下7种形式:

local      database  user  auth-method  [auth-options]

host       database  user  address  auth-method  [auth-options]

hostssl    database  user  address  auth-method  [auth-options]

hostnossl  database  user  address  auth-method  [auth-options]

host       database  user  IP-address  IP-mask  auth-method  [auth-options]

hostssl    database  user  IP-address  IP-mask  auth-method  [auth-options]

hostnossl  database  user  IP-address  IP-mask  auth-method  [auth-options]

 

 

连接方式(type)

连接方式有四种:local 、host、hostssl、hostnossl

local

这条记录匹配通过 Unix 域套接字进行的联接企图, 没有这种类型的记录,就不允许 Unix 域套接字的联接。

host

这条记录匹配通过TCP/IP网络进行的联接尝试.他既匹配通过ssl方式的连接,也匹配通过非ssl方式的连接。

注意:要使用该选项你要在postgresql.conf文件里设置listen_address选项,不在listen_address里的IP地址是无法匹配到的。因为默认的行为是只在localhost上监听本地连接。

hostssl

这条记录匹配通过在TCP/IP上进行的SSL联接企图。

要使用该选项,服务器编译时必须使用--with-openssl选项,并且在服务器启动时ssl设置是打开的

hostnossl

这个和上面的hostssl相反,只匹配通过在TCP/IP上进行的非SSL联接企图。


数据库(database)

声明记录所匹配的数据库。

值 all 表明该记录匹配所有数据库;

值 sameuser表示如果被请求的数据库和请求的用户同名,则匹配;

值samegroup 表示请求的用户必须是一个与数据库同名的组中的成员;

值 replication 表示匹配一条replication连接,它不指定一个特定的数据库,一般在流复制中使用;

在其他情况里,这就是一个特定的 PostgreSQL 数据库的名字。 我们可以通过用逗号分隔的方法声明多个数据库。 一个包含数据库名的文件可以通过对该文件前缀 @ 来声明.该文件必需和 pg_hba.conf 在同一个目录。

 

用户名(user)

为这条记录声明所匹配的 PostgreSQL 用户,值 all 表明它匹配 于所有用户。否则,它就是特定 PostgreSQL 用户的名字,多个用户名可以通过用逗号分隔的方法声明,在名字前面加上+代表匹配该用户组的所有用户。一个包含用户名的文件可以 通过在文件名前面前缀 @ 来声明,该文件必需和 pg_hba.conf 在同一个目录。

 

主机地址(address)

指定匹配的客户端的地址,它可以是一个主机名,一个IP地址范围,或者下面提到的这些选项。

一个IP地址范围是一个标准的点分十进制表示的 IP地址/掩码值。注意, 在'IP地址','/'和'掩码值'之间不要有任何的空白字符。

比如对于IPv4地址来说, 192.168.2.66/32指定单个主机的IP,192.168.2.0/24代表一个小的子网。对于IPv6地址来说,::1/128指定单个主机(这里是本机环回地址),fe80::7a31:c1ff:0000:0000/96 指定一个IPv6的子网。0.0.0.0/0代表所有IPv4地址,::0/0代表所有IPv6地址。

一个IPv4地址选项只能匹配IPv4地址,一个IPv6地址选项只能匹配IPv6地址,即使给出的地址选项在IPV4和IPv6中同时存在。

当然你可以使用 all 选项来匹配所有的IP地址,使用 samehost 匹配服务器自己所有的IP地址,samenet来匹配服务器直接接入的子网。

如果指定的是主机名(既不是IP地址也不是上面提到的选项),这个主机名将会和发起连接请求的客户端的IP地址的反向名称解析结果(即通过客户端的IP解析其主机名,比如使用反向DNS查找)进行比对,如果存在匹配,再使用正向名称解析(例如DNS查找)将主机名解析为IP地址(可能有多个IP地址),再判断客户端的IP地址是否在这些IP地址中。如果正向和反向解析都成功匹配,那么就真正匹配这个地址(所以在pg_nba.conf文件里的主机地址必须是客户端IP的 address-to-name 解析返回的那个主机名。一些主机名数据库允许将一个IP地址和多个主机名绑定,但是在解析IP地址时,操作系统只会返回一个主机名)。

有些主机名以点(.)开头,匹配那些具有相同后缀的主机名,比如.example.com匹配foo.example.com(当然不仅仅只匹配foo.example.com)。

还有,在pg_hba.conf文件中使用主机名的时候,你最好能保证主机名的解析比较快,一个好的建议就是建立一个本地的域名解析缓存(比如nscd)。

本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。


ip地址(ip-address)、子网掩码(ip-mask)

这两个字段包含可以看成是标准点分十进制表示的 IP地址/掩码值的一个替代。例如。使用255.255.255.0 代表一个24位的子网掩码。它们俩放在一起,声明了这条记录匹配的客户机的 IP 地址或者一个IP地址范围。本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。

 

认证方法(authentication method)

trust

无条件地允许联接,这个方法允许任何可以与PostgreSQL 数据库联接的用户以他们期望的任意 PostgreSQL 数据库用户身份进行联接,而不需要口令。

reject

联接无条件拒绝,常用于从一个组中"过滤"某些主机。

md5

要求客户端提供一个 MD5 加密的口令进行认证,这个方法是允许加密口令存储在pg_shadow里的唯一的一个方法。

password

和"md5"一样,但是口令是以明文形式在网络上传递的,我们不应该在不安全的网络上使用这个方式。

gss

使用GSSAPI认证用户,这只适用于 TCP/IP 连接。

sspi

使用SSPI认证用户,这只适用于 Windows 连接。

peer

获取客户端的操作系统的用户名并判断他是否匹配请求的数据库名,这只适用于本地连接。

ldap

使用LDAP服务进行验证。

radius

使用RADIUS服务进行验证。

cert

使用SSL服务进行验证。

pam

使用操作系统提供的可插入的认证模块服务 (Pluggable Authentication Modules)(PAM)来认证。

 

 

注意:防止数据库被恶心修改配置文件,需对pg_hba.conf加i锁

chattr +i /etc/postgresql/9.6/main/pg_hba.conf  #禁止任何人修改数据库认证文件

chattr +a  /data/postgresql   #禁止任何人修改数据目录权限

 

2.3数据库防火墙配置

192.168.2.0/24表示一个网段

ufw allow from 192.168.2.0/24 to any port 5432

 

 

三、redis安全

1.口令登录

vim /home/dell/gas/redis/latest/conf/redis.conf

#包含通用配置 

include  conf/redis-common.conf

#绑定IP

bind 0.0.0.0

#监听tcp端口 

port 6379

#最大可用内存 

maxmemory 4g

#内存耗尽时采用的淘汰策略: 

# volatile-lru -> remove the key with an expire set using an LRU algorithm 

# allkeys-lru -> remove any key accordingly to the LRU algorithm 

# volatile-random -> remove a random key with an expire set 

# allkeys-random -> remove a random key, any key 

# volatile-ttl -> remove the key with the nearest expire time (minor TTL) 

# noeviction -> don't expire at all, just return an error on write operations 

maxmemory-policy volatile-lru

#aof存储文件 

#appendfilename "appendonly-6379.aof" 

#rdb文件,只用于动态添加slave过程 

#dbfilename dump-6379.rdb 

#cluster配置文件(启动自动生成) 

cluster-config-file nodes-6379.conf

#部署在同一机器的redis实例,把<span style="font-size: 1em; line-height: 1.5;">auto-aof-rewrite搓开,防止瞬间fork所有redis进程做rewrite,占用大量内存</span> 

#auto-aof-rewrite-percentage 80-100

appendonly no

#save 900 1

rename-command FLUSHALL ""  

requirepass asgard@1939  //设置redis认证,目前不支持,需要研发提供对应的服务

 

2.2避免端口暴露在网络中

vim /home/dell/gas/redis/latest/conf/redis.conf

 

#包含通用配置 

include  conf/redis-common.conf

#绑定IP

bind 127.0.0.1 //注意修改了监听IP后,程序中的连接redis IP也需要修改,如arcee,thor,supmylo等

#监听tcp端口 

port 6379

#最大可用内存 

maxmemory 4g

#内存耗尽时采用的淘汰策略: 

# volatile-lru -> remove the key with an expire set using an LRU algorithm 

# allkeys-lru -> remove any key accordingly to the LRU algorithm 

# volatile-random -> remove a random key with an expire set 

# allkeys-random -> remove a random key, any key 

# volatile-ttl -> remove the key with the nearest expire time (minor TTL) 

# noeviction -> don't expire at all, just return an error on write operations 

maxmemory-policy volatile-lru

#aof存储文件 

#appendfilename "appendonly-6379.aof" 

#rdb文件,只用于动态添加slave过程 

#dbfilename dump-6379.rdb 

#cluster配置文件(启动自动生成) 

cluster-config-file nodes-6379.conf

#部署在同一机器的redis实例,把<span style="font-size: 1em; line-height: 1.5;">auto-aof-rewrite搓开,防止瞬间fork所有redis进程做rewrite,占用大量内存</span> 

#auto-aof-rewrite-percentage 80-100

appendonly no

#save 900 1

rename-command FLUSHALL ""  

requirepass asgard@1939

 

2.3 重命名关键命令进行加固


由于redis没有做基本的权限分离,没有管理账号、普通账户之分,所以登录之后无操作权限限制,因此需要将一些危险的操作隐藏起来,涉及的命令包括:
FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME, DEBUG, EVAL

修改redis.conf,添加下列命令,禁用高危命令

rename-command FLUSHALL ""

rename-command CONFIG   ""

rename-command EVAL     ""

rename-command shutdown     ""

rename-command FLUSHDB     ""

 

 

2.4 低权限账户


设置单独的redis账户运行redis,redis crackit漏洞就利用root用户的特性来重置authorized_keys从而达到控制系统主机的目的,使用普通帐号运行redis可以降低被利用的风险,如下:

创建一个redis账户,然后通过该账户启动redis,命令如下:

useradd redis -s /sbin/nolgin  ##创建不可登录的用户

vim /etc/supervisor/conf.d/redis.conf

[program:redis]

command=/bin/bash sv_start.sh conf/redis.conf

process_name=%(program_name)s

numprocs=1

directory=/home/dell/face/redis/latest

;umask=022

priority=700

autostart=true

autorestart=true

;startsecs=3

startretries=3

exitcodes=0,2

;stopsignal=TERM

stopwaitsecs=5

stopasgroup=true

killasgroup=true

user=redis   //使用redis用户启动任务

redirect_stderr=true

stdout_logfile=/home/dell/data/logs/%(program_name)s.log

stdout_logfile_maxbytes=20MB

stdout_logfile_backups=5

 

supervisorctl update       //更新配置

 

 

 

redis附录:

配置文件中指定redis淘汰策略

redis提供的淘汰策略:

 

noeviction:达到内存限额后返回错误,客户尝试可以导致更多内存使用的命令(大部分写命令,但DEL和一些例外)

allkeys-lru:为了给新增加的数据腾出空间,驱逐键先试图移除一部分最近使用较少的(LRC)。

volatile-lru:为了给新增加的数据腾出空间,驱逐键先试图移除一部分最近使用较少的(LRC),但只限于过期设置键。

allkeys-random: 为了给新增加的数据腾出空间,驱逐任意键

volatile-random: 为了给新增加的数据腾出空间,驱逐任意键,但只限于有过期设置的驱逐键。

volatile-ttl: 为了给新增加的数据腾出空间,驱逐键只有秘钥过期设置,并且首先尝试缩短存活时间的驱逐键

 

 

四、防止ddos攻击

简易的防止ddos脚本

 

ufw enable    //先开启ufw

vim ddos.sh

#!/bin/bash

head=`netstat -an  | grep ESTABLISHED  |awk  '{print $5}'|awk -F':' '{print $1}' |uniq  -c |sort -nr |head -1`  ##取建立连接做多的IP

head_ip_num=`echo $head|awk  '{print $1}'`  ##取建立连接做多的IP的数量

head_ip=`echo $head|awk  '{print $2}'`               ##取建立连接做多的IP

if [[ $head_ip_num -gt 200]]     ##判断IP出现次数有没有200

then

        ufw deny from $head_ip to any  ##超过200,禁止此IP访问

else

        echo "$head_ip 出现次数较多请注意"  ##小于200,提醒

fi

 

bash ddos.sh    ##执行脚本

 

 

posted @ 2019-06-26 18:12  昊老板  阅读(224)  评论(0编辑  收藏  举报