課下linux服務(wù)器安全策略_第1頁
課下linux服務(wù)器安全策略_第2頁
課下linux服務(wù)器安全策略_第3頁
課下linux服務(wù)器安全策略_第4頁
課下linux服務(wù)器安全策略_第5頁
已閱讀5頁,還剩12頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第九課Linux服務(wù)器安全策略(下一、Linux后門入侵檢測工具rootkit是Linux平第九課Linux服務(wù)器安全策略(下一、Linux后門入侵檢測工具rootkit是Linux平臺下最常見的一種木馬后門工它主要通過替換系統(tǒng)文件來達到rootkit主要有兩種類型:文件級別和內(nèi)核級別,下面分別進行簡單介loginroot用戶登錄系統(tǒng)。攻擊者通常在進入Linux系統(tǒng)后,會進行一系列的攻擊動作,最常見件都被替換,那么在系統(tǒng)層面就很難發(fā)現(xiàn)rootkitrootkit入侵。檢查件完整性的工具很多,常見的Tripwire、aide等,可以通過這些工具期檢查文件系統(tǒng)的完整性,以檢測系統(tǒng)是否被rootkitrootkitrootkit被入侵者修改過的內(nèi)核會假裝執(zhí)行A程序,而實際上卻執(zhí)行了程序Brootkit后門rootkitrootkit被入侵者修改過的內(nèi)核會假裝執(zhí)行A程序,而實際上卻執(zhí)行了程序Brootkit后門檢測工確認服務(wù)器是否已經(jīng)感染rootkit。在官方的資料中,RKHunter可以作的事情有MD5檢測可疑的核心模塊---309*309***root/usr/local/bin/rkhunter--check--這樣,rkhunter9:30二、服務(wù)器遭受攻擊后的處理過1處理服務(wù)器遭受攻擊的一般思路(1)切斷網(wǎng)絡(luò)(2)查找攻擊源可以通過分析系統(tǒng)日志或登錄日志文件,查看可疑信息,同時也要查看系統(tǒng)都打開了(3)分析入侵原因和途徑(4)備份用戶數(shù)據(jù)(5)重新安裝系統(tǒng)(6)(3)分析入侵原因和途徑(4)備份用戶數(shù)據(jù)(5)重新安裝系統(tǒng)(6)修復(fù)程序或系統(tǒng)漏洞(7)恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)檢查并鎖定23、查看系統(tǒng)日志查看系統(tǒng)日志是查找攻擊源最好的方法,可查的系統(tǒng)日志有/var/log/messages4檢查并3、查看系統(tǒng)日志查看系統(tǒng)日志是查找攻擊源最好的方法,可查的系統(tǒng)日志有/var/log/messages4檢查并關(guān)閉系統(tǒng)可疑進程首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID,執(zhí)[root@server~]#pidof1327612942然后進入內(nèi)存目錄,查看對應(yīng)PID目錄下exe[root@server~]#ls-allrwxrwxrwx1rootroot0Oct422:09/proc/13276/exe->[root@server~]#ls-al5、檢查文件系統(tǒng)的完好性[root@server~]#rpm- c/etc/pam.d/system-ccc c/etc/pam.d/system-ccccc6、重新安裝系統(tǒng)恢復(fù)數(shù)據(jù)三、linux軟件防火)(Application-LevelGateway,也稱Proxy防火墻)iptablesiptables是linux系統(tǒng)內(nèi)嵌的一個防火墻軟件,它集成在系統(tǒng)內(nèi)核中因此執(zhí)行效率非1、iptables的使用規(guī)范與語(1.iptableslinux內(nèi)Linuxipfwlinux2.0ipchains,1、iptables的使用規(guī)范與語(1.iptableslinux內(nèi)Linuxipfwlinux2.0ipchains,基linux2.2內(nèi)核ipchains不但指令語法更容易理解,功ipfwiptables(2.iptables功能組LinuxiptablestablesIPiptables是有最基本的多個表格(tables)(chan鏈可以設(shè)置相應(yīng)的規(guī)則和策略,下面詳細講述iptablesiptables3種常用的表選項,包括管理本機數(shù)據(jù)進出的filter管理防火墻內(nèi)部主機和改變不同包及包頭內(nèi)容的mangle。每個表與其中鏈的用途如下INPUT主要是對外部數(shù)據(jù)包進入linux系統(tǒng)進行信息過OUTPUTFORWARD鏈mangle表包含一些規(guī)則用于標(biāo)記高級路由的信息包,它可以改變不同的包及包mangle表包含一些規(guī)則用于標(biāo)記高級路由的信息包,它可以改變不同的包及包頭的內(nèi)表有五個內(nèi)建的鏈:PREROUTINGPOSTROUTINGOUTPUT,和(uo(chan(tabePREROUTING鏈?zhǔn)窃跀?shù)據(jù)包剛剛到達防火墻時,根據(jù)需要改變它的目的地址。例如DNATPOSTROUTING鏈在包就要離開防火墻之前改變其源地址,例如SNAT地主機的來源地址都是同一個IP,OUTPUT不常用,下面重點講述的是Filtertable(3不常用,下面重點講述的是Filtertable(3、iptables的執(zhí)行流四、iptables使用1、iptables的啟動與要使用iptables,首先要啟動iptables服務(wù),執(zhí)行如下命令,啟動iptables如果要設(shè)置iptables開機時默認啟動,可以使用chkconfig2、防火墻規(guī)則的查看與清四、iptables使用1、iptables的啟動與要使用iptables,首先要啟動iptables服務(wù),執(zhí)行如下命令,啟動iptables如果要設(shè)置iptables開機時默認啟動,可以使用chkconfig2、防火墻規(guī)則的查看與清-后面接table,常見的有filter、NAT等,如果沒有用“-t”指定table認使用filter---list,列出當(dāng)前所有table的配置規(guī)則--IP---flush,清空某個指定table---delete-chain,刪除使用者自定義的table-[root@localhost~]#iptables[-ttables][-L][-vn][-chkconfig--level35iptablesserviceiptablesstop或者/etc/init.d/iptablesserviceiptables 列出當(dāng)前系統(tǒng)filtertable 列出當(dāng)前系統(tǒng)filtertableb)下面是列出nat 3、制定防火a)設(shè)置預(yù)設(shè)規(guī)則[root@localhost~]#iptables-F[root@localhost~]#iptables-[root@localhost~]#iptables[root@localhost~]# iptables-tnat-L-nChainPREROUTING(policyACCEPT) protoptsource ChainPOSTROUTING(policyACCEPT) protoptsource ChainOUTPUT(policyACCEPT) protopt [root@localhost~]#iptables-L-nChainINPUT(policyACCEPT) protoptsource ChainFORWARD(policyACCEPT) protoptsource ChainOUTPUT(policyACCEPT) protopt 對于預(yù)設(shè)規(guī)則設(shè)置,我們一般將INPUT鏈設(shè)置的最嚴格,而對于預(yù)設(shè)規(guī)則設(shè)置,我們一般將INPUT鏈設(shè)置的最嚴格,而將FORWARD與OUTPUT置的較為寬松,預(yù)設(shè)規(guī)則的語法如下將上面linux代理服務(wù)器中filtertable的INPUT鏈設(shè)定為,其它設(shè)定為ACCEPT不能找到合適規(guī)則時才會執(zhí)行,因此b)針對ip/網(wǎng)絡(luò)、網(wǎng)絡(luò)接口的過濾規(guī)則,iptables[root@localhost~iptablesttables]AI鏈io網(wǎng)絡(luò)接口p協(xié)議>[-s來源IP/網(wǎng)絡(luò)][-d目標(biāo)IP/網(wǎng)絡(luò)]-j[root@localhost~]#iptables-PINPUTDROP[root@localhost~]#iptables-POUTPUTACCEPT[root@localhost~]#iptables-PFORWARDACCEPT[root@localhost~]#iptables-L-nChainINPUT(policy protoptsource ChainFORWARD(policyACCEPT) protoptsource ChainOUTPUT(policyACCEPT) protopt ---policy,定義策略,針對filtertable有INPUT,OUTPUT,FORWARD3-后面接table,常見的有filter、NAT等,如果沒有用“-t”指定tablefilter[root@localhost~]#iptables[-ttables]-下面舉例說明iptables的用法連接局域網(wǎng),ppp0是adsl上網(wǎng)的internet下面舉例說明iptables的用法連接局域網(wǎng),ppp0是adsl上網(wǎng)的internet-新增加一條規(guī)則,放到已有規(guī)則的最后-插入一條規(guī)則,如果沒有制定插入規(guī)則的順序,則新插入的變成第一條規(guī)-INPUT-指定數(shù)據(jù)包傳出的那個網(wǎng)絡(luò)接口。經(jīng)常與OUTPUT鏈配合使-tcp、udp、icmp-個IP,也可以指定某段網(wǎng)絡(luò)。IP:都可以。例如:-s!192.168.60.0/255.255.255.0-IP或者網(wǎng)絡(luò),跟參數(shù)“-s”-此參數(shù)后面指定要執(zhí)行的動作,主要的動作有接受(ACCEPT)、拋棄(DROP)錄此規(guī)則是讓linux代理服務(wù)器接受所有的來源不是網(wǎng)絡(luò)接口ppp0許了局域網(wǎng)的訪問,局域網(wǎng)的所有主機不能訪問internet從上面設(shè)置的幾條規(guī)則來看,此規(guī)則是讓linux代理服務(wù)器接受所有的來源不是網(wǎng)絡(luò)接口ppp0許了局域網(wǎng)的訪問,局域網(wǎng)的所有主機不能訪問internet從上面設(shè)置的幾條規(guī)則來看,并沒有完全用到所有參數(shù),例如“-d”、“-p”參數(shù),這有個很重要的理念,那就是沒有指定的參數(shù)規(guī)則,默認都是完全接受的c)tcp,udp協(xié)議的過濾規(guī)則,iptables[root@localhost~]#iptables-AINPUT-ippp0-ptcp--sport80-jsport端口范圍限制來源的端口號碼,端口號碼可以是連續(xù)的,例如dport端口范圍限制目標(biāo)的端口號[root@localhost~]iptablesttables]AI鏈io網(wǎng)絡(luò)接口ptcp,udp]s來源IP/網(wǎng)絡(luò)][--sport端口范圍d目標(biāo)IP/網(wǎng)絡(luò)][--dport端口范圍>-j[root@localhost~]#iptables-AINPUT-ilo-j[root@localhost~]#iptables-AINPUT-i!ppp0-j[root@localhost~]#iptables–AINPUT-ieth0-s192.168.60.3-j[root@localhost~]#iptables–AINPUT–ieth0-s192.168.60.0/24–jdnsdns默認端口。此時局域網(wǎng)主機就可以訪問internet為了維護方便,我們希望在linux服務(wù)器上開放sshd服務(wù),以便遠程連接,sshd默使用的是22端口,如果在系統(tǒng)上開放22端口,那么internet上所有主機都可以連接我們linux代理服務(wù)了,這樣很不安全,這里僅僅允許來自222.91.99.0/28的端口范圍的主機可以連接linux代理服務(wù)器,其它來源IP注意:如果在設(shè)定規(guī)則時用到“--sport”及“--dport”參數(shù),就必須用“-p”參數(shù)定數(shù)據(jù)封包傳輸協(xié)議是tcpudp。為什么呢,因為端口是tcp、udp[root@localhost~]#iptables-AINPUT-ippp0-ptcp–s222.91.99.0/28>--sport1024:65534--dport22–j[root@localhost~]#iptables-AINPUT-ippp0-ptcp--dport22-jREJECT>--reject-withtcp-reset[root@localhost~]#iptables-AINPUT-ippp0-ptcp–s222.91.99.0/28>--sport1024:65534--dport22–j[root@localhost~]#iptables-AINPUT-ippp0-ptcp--dport22–j[root@localhost~]#iptables-AINPUT-ippp0-ptcp--dport80-j[root@localhost~]#iptables-AINPUT-ippp0-pudp-sport53-jd)d)實例一:只要是已建立的連接或者相關(guān)數(shù)據(jù)包就予以通過,不能識別或者沒有任何狀態(tài)的據(jù)包全部丟棄,設(shè)置如下規(guī)則[root@localhost~]#iptables-AINPUT-mstate---mac:網(wǎng)卡硬件地址(hardwareaddress)--ESTABLISHED:表示該封包屬于某個已經(jīng)建立的聯(lián)機,處于ESTABLISHED狀態(tài)的連接是非常容易理解的。只要發(fā)送并接到應(yīng)答,連接就是ESTABLISHED狀態(tài)了。一個

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論