Linux安全出版
一.使用密钥登录
1.先sudo su -s 切换到root
2.生成秘钥对
root@ubuntu:~# ssh-keygen 命令
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 直接按 Enter 留空
Enter same passphrase again: <== 回车
Your identification has been saved in /root/.ssh/id_rsa. <== 私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥
The key fingerprint is:
0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host
cd /root/.ssh/导出id_rsa 一定先导入密钥再执行下面操作
3.服务器安装公钥
cd /root/.ssh/
cat id_rsa.pub >> authorized_keys
chmod 600 authorized_keys
chmod 700 /root/.ssh/
4.设置ssh,密钥登录
vim /etc/ssh/sshd_config 修改下面配置
PermitRootLogin yes
PasswordAuthentication no
重启sshd
service ssh restart
退出shell,使用root加密钥登录
二.数据库安全
2.1数据库软口令
face1.5.0以前的数据库默认密码为123456,会轻易被破解。这里介绍修改数据库登录密码的方法
cat change_postgres_passwd.sh
#!/bin/bash
read -p "Please input your new password:" c
Passwd=$c
###.json###
sed -i "s/123456/${Passwd}/g" /home/dell/face/thor/latest/thor.json
sed -i "s/123456/${Passwd}/g" /home/dell/face/loki/latest/config/production.json
sed -i "s/123456/${Passwd}/g" /home/dell/face/loki/latest/config/default.json
sed -i "s/123456/${Passwd}/g" /home/dell/face/face-api/latest/config.json
###.txt###
sed -i "s/123456/${Passwd}/g" /home/dell/face/croatia/latest/config/croatia_config.txt
sed -i "s/123456/${Passwd}/g" /home/dell/face/bingo/latest/tmp/bingoconfig_white.txt
sed -i "s/123456/${Passwd}/g" /home/dell/face/bingo/latest/tmp/bingoconfig.txt
###登录数据库修改密码
sudo -u postgres psql -U postgres -w -c "alter user postgres with password '${Passwd}'"
supervisorctl restart all
bash chang_postgres_passwd.sh //输入你的密码
上面的脚本可以修改face1.4.2的数据库密码,密码应有特殊字符,字母大小写和数字
2.2数据库访问授权限制
在pg_hba.conf文件中,每条记录占一行,指定一条访问认证规则。
总的来说访问控制记录大致有以下7种形式:
local database user auth-method [auth-options]
host database user address auth-method [auth-options]
hostssl database user address auth-method [auth-options]
hostnossl database user address auth-method [auth-options]
host database user IP-address IP-mask auth-method [auth-options]
hostssl database user IP-address IP-mask auth-method [auth-options]
hostnossl database user IP-address IP-mask auth-method [auth-options]
连接方式(type)
连接方式有四种:local 、host、hostssl、hostnossl
local
这条记录匹配通过 Unix 域套接字进行的联接企图, 没有这种类型的记录,就不允许 Unix 域套接字的联接。
host
这条记录匹配通过TCP/IP网络进行的联接尝试.他既匹配通过ssl方式的连接,也匹配通过非ssl方式的连接。
注意:要使用该选项你要在postgresql.conf文件里设置listen_address选项,不在listen_address里的IP地址是无法匹配到的。因为默认的行为是只在localhost上监听本地连接。
hostssl
这条记录匹配通过在TCP/IP上进行的SSL联接企图。
要使用该选项,服务器编译时必须使用--with-openssl选项,并且在服务器启动时ssl设置是打开的
hostnossl
这个和上面的hostssl相反,只匹配通过在TCP/IP上进行的非SSL联接企图。
数据库(database)
声明记录所匹配的数据库。
值 all 表明该记录匹配所有数据库;
值 sameuser表示如果被请求的数据库和请求的用户同名,则匹配;
值samegroup 表示请求的用户必须是一个与数据库同名的组中的成员;
值 replication 表示匹配一条replication连接,它不指定一个特定的数据库,一般在流复制中使用;
在其他情况里,这就是一个特定的 PostgreSQL 数据库的名字。 我们可以通过用逗号分隔的方法声明多个数据库。 一个包含数据库名的文件可以通过对该文件前缀 @ 来声明.该文件必需和 pg_hba.conf 在同一个目录。
用户名(user)
为这条记录声明所匹配的 PostgreSQL 用户,值 all 表明它匹配 于所有用户。否则,它就是特定 PostgreSQL 用户的名字,多个用户名可以通过用逗号分隔的方法声明,在名字前面加上+代表匹配该用户组的所有用户。一个包含用户名的文件可以 通过在文件名前面前缀 @ 来声明,该文件必需和 pg_hba.conf 在同一个目录。
主机地址(address)
指定匹配的客户端的地址,它可以是一个主机名,一个IP地址范围,或者下面提到的这些选项。
一个IP地址范围是一个标准的点分十进制表示的 IP地址/掩码值。注意, 在'IP地址','/'和'掩码值'之间不要有任何的空白字符。
比如对于IPv4地址来说, 192.168.2.66/32指定单个主机的IP,192.168.2.0/24代表一个小的子网。对于IPv6地址来说,::1/128指定单个主机(这里是本机环回地址),fe80::7a31:c1ff:0000:0000/96 指定一个IPv6的子网。0.0.0.0/0代表所有IPv4地址,::0/0代表所有IPv6地址。
一个IPv4地址选项只能匹配IPv4地址,一个IPv6地址选项只能匹配IPv6地址,即使给出的地址选项在IPV4和IPv6中同时存在。
当然你可以使用 all 选项来匹配所有的IP地址,使用 samehost 匹配服务器自己所有的IP地址,samenet来匹配服务器直接接入的子网。
如果指定的是主机名(既不是IP地址也不是上面提到的选项),这个主机名将会和发起连接请求的客户端的IP地址的反向名称解析结果(即通过客户端的IP解析其主机名,比如使用反向DNS查找)进行比对,如果存在匹配,再使用正向名称解析(例如DNS查找)将主机名解析为IP地址(可能有多个IP地址),再判断客户端的IP地址是否在这些IP地址中。如果正向和反向解析都成功匹配,那么就真正匹配这个地址(所以在pg_nba.conf文件里的主机地址必须是客户端IP的 address-to-name 解析返回的那个主机名。一些主机名数据库允许将一个IP地址和多个主机名绑定,但是在解析IP地址时,操作系统只会返回一个主机名)。
有些主机名以点(.)开头,匹配那些具有相同后缀的主机名,比如.example.com匹配foo.example.com(当然不仅仅只匹配foo.example.com)。
还有,在pg_hba.conf文件中使用主机名的时候,你最好能保证主机名的解析比较快,一个好的建议就是建立一个本地的域名解析缓存(比如nscd)。
本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。
ip地址(ip-address)、子网掩码(ip-mask)
这两个字段包含可以看成是标准点分十进制表示的 IP地址/掩码值的一个替代。例如。使用255.255.255.0 代表一个24位的子网掩码。它们俩放在一起,声明了这条记录匹配的客户机的 IP 地址或者一个IP地址范围。本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。
认证方法(authentication method)
trust
无条件地允许联接,这个方法允许任何可以与PostgreSQL 数据库联接的用户以他们期望的任意 PostgreSQL 数据库用户身份进行联接,而不需要口令。
reject
联接无条件拒绝,常用于从一个组中"过滤"某些主机。
md5
要求客户端提供一个 MD5 加密的口令进行认证,这个方法是允许加密口令存储在pg_shadow里的唯一的一个方法。
password
和"md5"一样,但是口令是以明文形式在网络上传递的,我们不应该在不安全的网络上使用这个方式。
gss
使用GSSAPI认证用户,这只适用于 TCP/IP 连接。
sspi
使用SSPI认证用户,这只适用于 Windows 连接。
peer
获取客户端的操作系统的用户名并判断他是否匹配请求的数据库名,这只适用于本地连接。
ldap
使用LDAP服务进行验证。
radius
使用RADIUS服务进行验证。
cert
使用SSL服务进行验证。
pam
使用操作系统提供的可插入的认证模块服务 (Pluggable Authentication Modules)(PAM)来认证。
注意:防止数据库被恶心修改配置文件,需对pg_hba.conf加i锁
chattr +i /etc/postgresql/9.6/main/pg_hba.conf #禁止任何人修改数据库认证文件
chattr +a /data/postgresql #禁止任何人修改数据目录权限
2.3数据库防火墙配置
192.168.2.0/24表示一个网段
ufw allow from 192.168.2.0/24 to any port 5432
三、redis安全
1.口令登录
vim /home/dell/gas/redis/latest/conf/redis.conf
#包含通用配置
include conf/redis-common.conf
#绑定IP
bind 0.0.0.0
#监听tcp端口
port 6379
#最大可用内存
maxmemory 4g
#内存耗尽时采用的淘汰策略:
# volatile-lru -> remove the key with an expire set using an LRU algorithm
# allkeys-lru -> remove any key accordingly to the LRU algorithm
# volatile-random -> remove a random key with an expire set
# allkeys-random -> remove a random key, any key
# volatile-ttl -> remove the key with the nearest expire time (minor TTL)
# noeviction -> don't expire at all, just return an error on write operations
maxmemory-policy volatile-lru
#aof存储文件
#appendfilename "appendonly-6379.aof"
#rdb文件,只用于动态添加slave过程
#dbfilename dump-6379.rdb
#cluster配置文件(启动自动生成)
cluster-config-file nodes-6379.conf
#部署在同一机器的redis实例,把<span style="font-size: 1em; line-height: 1.5;">auto-aof-rewrite搓开,防止瞬间fork所有redis进程做rewrite,占用大量内存</span>
#auto-aof-rewrite-percentage 80-100
appendonly no
#save 900 1
rename-command FLUSHALL ""
requirepass asgard@1939 //设置redis认证,目前不支持,需要研发提供对应的服务
2.2避免端口暴露在网络中
vim /home/dell/gas/redis/latest/conf/redis.conf
#包含通用配置
include conf/redis-common.conf
#绑定IP
bind 127.0.0.1 //注意修改了监听IP后,程序中的连接redis IP也需要修改,如arcee,thor,supmylo等
#监听tcp端口
port 6379
#最大可用内存
maxmemory 4g
#内存耗尽时采用的淘汰策略:
# volatile-lru -> remove the key with an expire set using an LRU algorithm
# allkeys-lru -> remove any key accordingly to the LRU algorithm
# volatile-random -> remove a random key with an expire set
# allkeys-random -> remove a random key, any key
# volatile-ttl -> remove the key with the nearest expire time (minor TTL)
# noeviction -> don't expire at all, just return an error on write operations
maxmemory-policy volatile-lru
#aof存储文件
#appendfilename "appendonly-6379.aof"
#rdb文件,只用于动态添加slave过程
#dbfilename dump-6379.rdb
#cluster配置文件(启动自动生成)
cluster-config-file nodes-6379.conf
#部署在同一机器的redis实例,把<span style="font-size: 1em; line-height: 1.5;">auto-aof-rewrite搓开,防止瞬间fork所有redis进程做rewrite,占用大量内存</span>
#auto-aof-rewrite-percentage 80-100
appendonly no
#save 900 1
rename-command FLUSHALL ""
requirepass asgard@1939
2.3 重命名关键命令进行加固
由于redis没有做基本的权限分离,没有管理账号、普通账户之分,所以登录之后无操作权限限制,因此需要将一些危险的操作隐藏起来,涉及的命令包括:
FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE,
SAVE, SPOP, SREM, RENAME, DEBUG, EVAL
修改redis.conf,添加下列命令,禁用高危命令
rename-command FLUSHALL ""
rename-command CONFIG ""
rename-command EVAL ""
rename-command shutdown ""
rename-command FLUSHDB ""
2.4 低权限账户
设置单独的redis账户运行redis,redis crackit漏洞就利用root用户的特性来重置authorized_keys从而达到控制系统主机的目的,使用普通帐号运行redis可以降低被利用的风险,如下:
创建一个redis账户,然后通过该账户启动redis,命令如下:
useradd redis -s /sbin/nolgin ##创建不可登录的用户
vim /etc/supervisor/conf.d/redis.conf
[program:redis]
command=/bin/bash sv_start.sh conf/redis.conf
process_name=%(program_name)s
numprocs=1
directory=/home/dell/face/redis/latest
;umask=022
priority=700
autostart=true
autorestart=true
;startsecs=3
startretries=3
exitcodes=0,2
;stopsignal=TERM
stopwaitsecs=5
stopasgroup=true
killasgroup=true
user=redis //使用redis用户启动任务
redirect_stderr=true
stdout_logfile=/home/dell/data/logs/%(program_name)s.log
stdout_logfile_maxbytes=20MB
stdout_logfile_backups=5
supervisorctl update //更新配置
redis附录:
配置文件中指定redis淘汰策略
redis提供的淘汰策略:
noeviction:达到内存限额后返回错误,客户尝试可以导致更多内存使用的命令(大部分写命令,但DEL和一些例外)
allkeys-lru:为了给新增加的数据腾出空间,驱逐键先试图移除一部分最近使用较少的(LRC)。
volatile-lru:为了给新增加的数据腾出空间,驱逐键先试图移除一部分最近使用较少的(LRC),但只限于过期设置键。
allkeys-random: 为了给新增加的数据腾出空间,驱逐任意键
volatile-random: 为了给新增加的数据腾出空间,驱逐任意键,但只限于有过期设置的驱逐键。
volatile-ttl: 为了给新增加的数据腾出空间,驱逐键只有秘钥过期设置,并且首先尝试缩短存活时间的驱逐键
四、防止ddos攻击
简易的防止ddos脚本
ufw enable //先开启ufw
vim ddos.sh
#!/bin/bash
head=`netstat -an | grep ESTABLISHED |awk '{print $5}'|awk -F':' '{print $1}' |uniq -c |sort -nr |head -1` ##取建立连接做多的IP
head_ip_num=`echo $head|awk '{print $1}'` ##取建立连接做多的IP的数量
head_ip=`echo $head|awk '{print $2}'` ##取建立连接做多的IP
if [[ $head_ip_num -gt 200]] ##判断IP出现次数有没有200
then
ufw deny from $head_ip to any ##超过200,禁止此IP访问
else
echo "$head_ip 出现次数较多请注意" ##小于200,提醒
fi
bash ddos.sh ##执行脚本