《移動互聯(lián)系統(tǒng)運(yùn)維技術(shù)》 課件 項目四 移動電商安全運(yùn)維

系/統(tǒng)/運(yùn)/維/技/術(shù)項目4

移動電商安全運(yùn)維講師：項目引入

經(jīng)過幾次“大事件”和“大調(diào)整”，整個移動電商系統(tǒng)已經(jīng)逐漸走向穩(wěn)定，特別是運(yùn)維自動化之后，整個系統(tǒng)的穩(wěn)定性都有了質(zhì)的飛躍。就在我們稍加喘息的時候，市場部門反映接到用戶投訴，原因是用戶的賬戶密碼莫名其妙被修改了。得到這一信息，Philip組織召開部門緊急會議，務(wù)必找出原因。經(jīng)過仔細(xì)深入的排查，我們發(fā)現(xiàn)此次賬戶盜竊是由于用戶在其他網(wǎng)站的個人賬戶秘密泄露，被不法分子利用。雖然此次事件的首要責(zé)任不在我們公司，但同樣給我們敲響了警鐘，為防范于未然，在接下來的時間，philip決定安排部門對整個移動電商系統(tǒng)展開安全加固工作。系/統(tǒng)/運(yùn)/維/技/術(shù)項目4移動電商安全運(yùn)維

任務(wù)一：服務(wù)器安全管理講師：教學(xué)目標(biāo)任務(wù)描述賬戶安全是系統(tǒng)安全的第一道屏障，也是系統(tǒng)安全的核心，保障登錄賬戶的安全，在一定程度上可以提高服務(wù)器的安全級別。本節(jié)任務(wù)重點介紹Linux系統(tǒng)登錄賬戶的安全設(shè)置方法，文件系統(tǒng)安全的設(shè)置，對入侵檢測的分析以及在遭遇攻擊過程中的處理辦法。賬戶登錄、遠(yuǎn)程訪問和認(rèn)證安全賬戶和登錄安全刪減系統(tǒng)登錄歡迎信息遠(yuǎn)程訪問和認(rèn)證安全關(guān)閉系統(tǒng)不需要的服務(wù)密碼安全策略合理使用su、sudo命令刪除特殊的賬戶和賬戶組遠(yuǎn)程登錄取消telnet而采用SSH方式合理使用Shell歷史命令記錄功能啟用tcp_wrappers防火墻文件系統(tǒng)安全鎖定系統(tǒng)重要文件，在Linux下鎖定文件的命令是chattr，通過這個命令可以修改ext2、ext3、ext4文件系統(tǒng)下文件屬性。文件權(quán)限檢查和修改查找系統(tǒng)中任何用戶都有寫權(quán)限的文件或目錄查找系統(tǒng)中所有含“s”位的程序檢查系統(tǒng)中所有suid及sgid文件/tmp、/var/tmp、/dev/shm安全設(shè)定賬戶登錄、遠(yuǎn)程訪問和認(rèn)證安全入侵檢測與分析rootkit后門檢測工具chkrootkit，RKHunterrootkit是一種木馬后門工具，在Linux系統(tǒng)中最常見，它通過替換系統(tǒng)文件來達(dá)到入侵和和隱蔽的目的，這種木馬非常危險和隱蔽，普通的檢測工具和檢查手段很難發(fā)現(xiàn)。rootkit攻擊能力極強(qiáng)，對系統(tǒng)的危害很大，它通過一套工具來建立后門和隱藏行跡，從而讓攻擊者獲得權(quán)限，在任何時候都可以使用root權(quán)限登錄到系統(tǒng)。處理和分析服務(wù)器遭受攻擊入侵的過程處理服務(wù)器遭受攻擊的一般思路：

1.切斷網(wǎng)絡(luò)2.查找攻擊源3.分析入侵原因和途徑4.備份用戶數(shù)據(jù)5.重新安裝系統(tǒng)6.修復(fù)程序或系統(tǒng)漏洞7.恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)8.檢查并鎖定可疑用戶

9.查看系統(tǒng)日志10.檢查并關(guān)閉系統(tǒng)可疑進(jìn)程11.重新安裝系統(tǒng)恢復(fù)數(shù)據(jù)課程小結(jié)12文件系統(tǒng)安全：對系統(tǒng)文件的鎖定，對文件權(quán)限檢查和修改。如何處理和分析服務(wù)器遭受攻擊入侵。Linux系統(tǒng)登錄賬戶的安全設(shè)置方法，遠(yuǎn)程訪問和認(rèn)證安全設(shè)置。34后門入侵檢測與分析：2款rootkit后門檢測工具chkrootkit、RKHunter的使用。課堂作業(yè)1

、CentOS6.5忘記密碼如何恢復(fù)？2、Centos6.5如何查看內(nèi)核版本，內(nèi)核源碼？系/統(tǒng)/運(yùn)/維/技/術(shù)項目5

移動電商安全運(yùn)維任務(wù)二：網(wǎng)絡(luò)安全管理講師：教學(xué)目標(biāo)任務(wù)描述

網(wǎng)絡(luò)安全管理是運(yùn)維中一項很重要的工作，在看似平靜的網(wǎng)絡(luò)運(yùn)行中，其實暗流洶涌，要保證業(yè)務(wù)系統(tǒng)穩(wěn)定的運(yùn)行，網(wǎng)絡(luò)運(yùn)維人員必須要了解網(wǎng)絡(luò)流量狀態(tài)、帶寬的利用率、網(wǎng)絡(luò)瓶頸等。同時當(dāng)網(wǎng)絡(luò)發(fā)生故障時，能及時發(fā)現(xiàn)問題，并能迅速定位問題源和解決問題，這就需要借助一些網(wǎng)絡(luò)工具，本節(jié)任務(wù)將介紹流量監(jiān)測工具iftop、網(wǎng)絡(luò)流量分析工具Notp和Notpng、網(wǎng)絡(luò)性能評估工具Iperf、網(wǎng)絡(luò)探測和安全審核工具nmap的使用。網(wǎng)絡(luò)安全管理iftop能做什么？iftop是一款免費的網(wǎng)卡實時流量監(jiān)控工具。iftop可以監(jiān)控指定網(wǎng)卡的實時流量、端口連接信息、反向解析

IP等，還可以精確顯示本機(jī)網(wǎng)絡(luò)流量情況及網(wǎng)絡(luò)內(nèi)各主機(jī)與本機(jī)相互通信的流量集合，非常適合于監(jiān)控代理服務(wù)器或路由器的網(wǎng)絡(luò)流量。同時，iftop對檢測流量異常的主機(jī)非常有效，通過iftop的輸出可以迅速定位主機(jī)流量異常的根源，這對于網(wǎng)絡(luò)故障排查、網(wǎng)絡(luò)安全檢測是十分有用的。iftop的安裝源碼編譯安裝iftopiftop常用參數(shù)說明參數(shù)含義示例-i指定需要監(jiān)測的網(wǎng)卡iftop–iem1-n將輸出的主機(jī)信息都通過IP顯示，不進(jìn)行DNS反向解析iftop-n-B將輸出以bytes為單位顯示網(wǎng)卡流量，默認(rèn)是bitsiftop–B-p以混雜模式運(yùn)行iftop，此時iftop可以作為網(wǎng)絡(luò)嗅探器使用iftop–p-N只顯示連接端口號，不顯示端口對應(yīng)的服務(wù)名稱iftop–N-P顯示主機(jī)以及端口信息，這個參數(shù)非常有用iftop–P-F顯示特定網(wǎng)段的網(wǎng)卡進(jìn)出流量iftop–F/24-m設(shè)置iftop輸出界面中最上面的流量刻度最大值，流量刻度，分五個大段顯示iftop–m網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)流量監(jiān)控與分析工具

Ntop和

Ntopng參數(shù)含義-G指定存儲ntopng進(jìn)程號的文件路徑。--local-network指定要監(jiān)控的本地子網(wǎng)段。--interfaceem2指定監(jiān)聽em2網(wǎng)卡上的流量。--user指定運(yùn)行ntopng服務(wù)所使用的賬戶。--httpport指定ntopng的Web服務(wù)端口號，如果不指定，默認(rèn)端口為3000。ntopng.conf文件的參數(shù)含義Notp主要提供以下幾個功能:自動從網(wǎng)絡(luò)中獲取有用的信息。將獲取的數(shù)據(jù)包信息轉(zhuǎn)換為可識別的格式記錄網(wǎng)絡(luò)的通信時間和過程。對網(wǎng)絡(luò)中失敗的通信進(jìn)行分析。發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中通信的瓶頸。自動識別客戶端正在使用的操作系統(tǒng)。Notpng除了可以實現(xiàn)Notp的所有功能外，新增的功能如下：以圖形的方式動態(tài)展示流量狀態(tài)。實時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)并實時匯總。以矩陣圖的方式顯示IP流量?？梢陨苫贖TML5/AJAX的網(wǎng)絡(luò)流量統(tǒng)計。安裝

Ntop與

Ntopng源碼安裝NtopNtopng網(wǎng)絡(luò)安全管理Iperf能做什么?Iperf是一款的網(wǎng)絡(luò)性能測試工具，它基于TCP/IP和UDP/IP協(xié)議。它可以用來測量網(wǎng)絡(luò)帶寬和網(wǎng)信息了解并判斷網(wǎng)絡(luò)性能問題，從而定位網(wǎng)絡(luò)瓶頸，解決網(wǎng)絡(luò)故障。Iperf的安裝與使用源碼安裝1.測試

TCP吞吐量2.測試

UDP丟包和延遲網(wǎng)絡(luò)探測和安全審核工具nmapnmap是一款開源免費的網(wǎng)絡(luò)發(fā)現(xiàn)工具，可以找到網(wǎng)絡(luò)上在線的主機(jī),并測試主機(jī)上哪些端口處于監(jiān)聽狀態(tài)，接著通過端口確定主機(jī)上運(yùn)行的應(yīng)用程序類型與版本信息，偵測出操作系統(tǒng)的類型和版本nmap的安裝和使用1.源碼編譯安裝2.rpm包安裝使用：1.主機(jī)發(fā)現(xiàn)掃描2.探測主機(jī)的信息3.端口掃描5.版本偵測4.操作系統(tǒng)偵測課程小結(jié)12網(wǎng)絡(luò)流量分析：網(wǎng)絡(luò)流量分析工具Notp和Notpng的部署和使用。網(wǎng)絡(luò)性能評估：網(wǎng)絡(luò)性能評估工具Iperf部署和使用。網(wǎng)絡(luò)安全審核：安全審核工具nmap的部署和使用。網(wǎng)絡(luò)實時流量監(jiān)測：量監(jiān)測工具iftop部署和使用。34系/統(tǒng)/運(yùn)/維/技/術(shù)項目4

移動電商安全運(yùn)維講師：系/統(tǒng)/運(yùn)/維/技/術(shù)項目5移動電商安全運(yùn)維任務(wù)三：數(shù)據(jù)備份與恢復(fù)管理講師：教學(xué)目標(biāo)任務(wù)描述隨著電商系統(tǒng)的運(yùn)行，數(shù)據(jù)量在不斷的增多，但造成數(shù)據(jù)丟失和毀壞的因素也隨之增加。這包括數(shù)據(jù)處理和訪問軟件平臺故障、系統(tǒng)的硬件故障、人為的操作失誤、網(wǎng)絡(luò)內(nèi)非法訪問者的惡意破壞、網(wǎng)絡(luò)供電系統(tǒng)故障等。那么如何保障系統(tǒng)數(shù)據(jù)安全？為了保障移動電商系統(tǒng)正常運(yùn)行，應(yīng)當(dāng)采取先進(jìn)、有效的措施，對數(shù)據(jù)進(jìn)行備份、防范于未然。本小節(jié)將從數(shù)據(jù)備份重要性展開，從分析數(shù)據(jù)備份策略到數(shù)據(jù)備份和恢復(fù)工具的使用進(jìn)行講解。數(shù)據(jù)恢復(fù)extundelete是基于Linux的一個數(shù)據(jù)恢復(fù)工具，它通過分析文件系統(tǒng)的日志，解析出所有文件的inode信息，從而可以恢復(fù)Linux下主流的ext3,ext4文件系統(tǒng)下被誤刪除的文件。安裝extundelete可通過yum在線安裝方式安裝，也可通過源碼包編譯安裝。extundelete用法選項含義--version,-[vV]顯示軟件版本號。--help顯示軟件幫助信息。--superblock顯示超級塊信息。--journal顯示日志信息。--afterdtime時間參數(shù)，表示在某段時間之后被刪的文件或目錄。--beforedtime時間參數(shù)，表示在某段時間之前被刪的文件或目錄。--blockblk顯示數(shù)據(jù)塊“blk”的信息。--restore-inodeino[,ino,...]恢復(fù)命令參數(shù)，表示恢復(fù)節(jié)點“ino”的文件，恢復(fù)的文件會自動放在當(dāng)前目錄RESTORED_FILES文件夾中，使用節(jié)點編號作為擴(kuò)展名。--restore-file'path'恢復(fù)命令參數(shù)，表示將恢復(fù)指定路徑的文件，把恢復(fù)文件放在當(dāng)前目錄下RECOVERED_FILES目錄中。--restore-all恢復(fù)命令參數(shù)，表示將嘗試恢復(fù)所有目錄和文件。-Bblocksize通過指定數(shù)據(jù)塊大小來打開文件系統(tǒng)，一般用于查看已經(jīng)知道大小的文件。extundelete用法選項參數(shù)1.通過extundelete恢復(fù)單個文件2.卸載磁盤分區(qū)3.查詢可恢復(fù)的數(shù)據(jù)信息4.恢復(fù)單個文件5.通過extundelete恢復(fù)所有誤刪除數(shù)據(jù)6.通過extundelete恢復(fù)某個時間段的數(shù)據(jù)課程小結(jié)12解數(shù)據(jù)備份的重要性以及數(shù)據(jù)備份策略。數(shù)據(jù)備份軟件DRBD的安裝配置及使用。3數(shù)據(jù)恢復(fù)工具extundelete的安裝配置及使用。課堂作業(yè)通過DRBD備份NFS所在服務(wù)器的磁盤及文件項目小結(jié)拓展訓(xùn)練安裝tcpdump，抓取網(wǎng)絡(luò)數(shù)據(jù)包，分析數(shù)據(jù)包的詳細(xì)信息。部署DRBD，采用單主模式，實現(xiàn)數(shù)據(jù)存儲備份。

安裝tcpdump,部署DRBD需要包括以下關(guān)鍵操作：采用Yum的方法安裝tcpdump。了解tcpdump參數(shù)并抓包分析數(shù)據(jù)包。理解DRBD實現(xiàn)數(shù)據(jù)鏡像的幾種方式。安裝DRBD并配置系/統(tǒng)/運(yùn)/維/技/術(shù)項目4

移動電商安全運(yùn)維講師：系/統(tǒng)/運(yùn)/維/技/術(shù)項目5移動電商安全運(yùn)維任務(wù)三：數(shù)據(jù)備份與恢復(fù)管理講師：教學(xué)目標(biāo)任務(wù)描述隨著電商系統(tǒng)的運(yùn)行，數(shù)據(jù)量在不斷的增多，但造成數(shù)據(jù)丟失和毀壞的因素也隨之增加。這包括數(shù)據(jù)處理和訪問軟件平臺故障、系統(tǒng)的硬件故障、人為的操作失誤、網(wǎng)絡(luò)內(nèi)非法訪問者的惡意破壞、網(wǎng)絡(luò)供電系統(tǒng)故障等。那么如何保障系統(tǒng)數(shù)據(jù)安全？為了保障移動電商系統(tǒng)正常運(yùn)行，應(yīng)當(dāng)采取先進(jìn)、有效的措施，對數(shù)據(jù)進(jìn)行備份、防范于未然。本小節(jié)將從數(shù)據(jù)備份重要性展開，從分析數(shù)據(jù)備份策略到數(shù)據(jù)備份和恢復(fù)工具的使用進(jìn)行講解。數(shù)據(jù)備份數(shù)據(jù)備份的重要性備份是系統(tǒng)中需要考慮的最重要的事項,雖然這在系統(tǒng)的整個規(guī)劃,開發(fā)和測試過程中甚至占不到1%,看似不太重要且默默無聞的工作只有到恢復(fù)的時候才能真正體現(xiàn)出其重要性,任何數(shù)據(jù)的丟失與數(shù)據(jù)宕機(jī),都是不可以被接收的。數(shù)據(jù)備份策略完全備份：拷貝給定計算機(jī)或文件系統(tǒng)上的所有文件，而不管它是否被改變。增量備份：只備份在上一次備份后增加、改動的部分?jǐn)?shù)據(jù)。增量備份可分為多級，每一次增量都源自上一次備份后的改動部分。差異備份：只備份在上一次完全備份后有變化的部分?jǐn)?shù)據(jù)。如果只存在兩次備份，則增量備份和差異備份內(nèi)容一樣。累加備份：采用數(shù)據(jù)庫的管理方式，記錄累積每個時間點的變化，并把變化后的值備份到相應(yīng)的數(shù)組中，這種備份方式可恢復(fù)到指定點的時間點。數(shù)據(jù)鏡像軟件DRBD介紹數(shù)據(jù)鏡像軟件DRBD介紹分布式塊設(shè)備復(fù)制（DistributedReplicatedBlockDevice，DRBD），是一種基于軟件的、基于網(wǎng)絡(luò)的塊復(fù)制存儲解決方案。DRBD的核心功能就是數(shù)據(jù)的鏡像，實現(xiàn)方式是通過網(wǎng)絡(luò)來鏡像整個磁盤設(shè)備或磁盤分區(qū)，將一個節(jié)點的數(shù)據(jù)通過網(wǎng)絡(luò)實時地傳送到另一個遠(yuǎn)程節(jié)點，保證兩個節(jié)點間數(shù)據(jù)的一致性。DRDB的安裝與配置DRBD的安裝非常簡單，可以通過源碼和yum源方式進(jìn)行安裝。默認(rèn)讀取配置文件的路徑是/etc/drbd.confDRBD的基本功能實時性透明性同步鏡像異步鏡像DRBD的主要特性單主模式雙主模式復(fù)制模式傳輸完整性校驗?zāi)X裂通知和自動修復(fù)數(shù)據(jù)恢復(fù)extundelete是基于Linux的一個數(shù)據(jù)恢復(fù)工具，它通過分析文件系統(tǒng)的日志，解析出所有文件的inode信息，從而可以恢復(fù)Linux下主流的ext3,ext4文件系統(tǒng)下被誤刪除的文件。安裝extundelete可通過yum在線安裝方式安裝，也可通過源碼包編譯安裝。extundelete用法選項含義--version,-[vV]顯示軟件版本號。--help顯示軟件幫助信息。--superblock顯示超級塊信息。--journal顯示日志信息。--afterdtime時間參數(shù)，表示在某段時間之后被刪的文件或目錄。--beforedtime時間參數(shù)，表示在某段時間之前被刪的文件或目錄。--blockblk顯示數(shù)據(jù)塊“blk”的信息。--resto