unix服务器安全策略

简介:  /etc/profile运行umask 077chmod 550 gcc,gdb, vi /etc/ssh/sshd_config最后一行加入AllowUser root sysad...

 

/etc/profile运行umask 077

chmod 550 gcc,gdb,

 vi /etc/ssh/sshd_config

最后一行加入AllowUser root sysadmin

主机直接暴露在Internet或者位于其它危险的环境,有很多shell帐户或者提供HTTP和FTP等网络服务,一般应该在安装配置完成后使用 如下命令:

  chattr -R +i /bin /boot /etc /lib /sbin

  chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin

  chattr +a /var/log/messages /var/log/secure (...)

不让/有suid权利

1步mount -o remount,nosuid /

2步mount

3步 mount -o remount /

禁止所有ping的外出和进入的封包echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

 通过分析Web服务器的类型,大致可以推测出操作系统的类型,比如,Windows使用IIS来提供HTTP服务,而Linux中最常见的是Apache。

  默认的Apache配置里没有任何信息保护机制,并且允许目录浏览。通过目录浏览,通常可以获得类似 “Apache/1.3.27 Server at apache.linuxforum.net Port 80”或“Apache/2.0.49 (Unix) PHP/4.3.8”的信息。

  通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来。但是,Red Hat Linux运行的Apache是编译好的程序,提示信息被编译在程序里,要隐藏这些信息需要修改Apache的源代码,然后,重新编译安装程序,以实现替换里面的提示内容。

  以Apache 2.0.50为例,编辑ap_release.h文件,修改“#define AP_SERVER_BASEPRODUCT / "Apache/"”为“#define AP_SERVER_BASEPRODUCT /"Microsoft-IIS/5.0/"”。编辑 os/unix/os.h文件,修改“#define PLATFORM /"Unix/"”为“#define PLATFORM /"Win32/ "”。修改完毕后,重新编译、安装Apache。

  Apache安装完成后,修改httpd.conf配置文件,将“ServerTokens Full”改为 “ServerTokens Prod”;将“ServerSignature On”改为“ServerSignature Off”,然后存盘退出。重新启动Apache后,用工具进行扫描,发现提示信息中已经显示操作系统为Windows

 

DNS服务器安全配置useradd -s /bin/false -d /dev/null named

mkdir /var/run/named

chown named.named /var/run/named

chmod 700 /var/run/named

named -u named

echo "/usr/local/sbin/named -u named" >> /etc/rc.local

 

md5sum检验

md5sum文件的内容

/bin/bash

/bin/sh

/bin/pwd

/bin/uname

然后执行md5sum `cat md5sum` >list.md5

然后执行md5sum -c list.md5就能看出是否有改动的文件了

 

 

ssh的IP登陆访问限制

首先编辑/etc/pam.d/sshd

#%PAM-1.0
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
account    required     pam_access.so
password   include      system-auth
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    required     pam_loginuid.so

注意上面添加的account    required     pam_access.so
然后到/etc/security/access.conf里面编辑

-: cnbird : ALL EXCEPT 192.168.0.

只能让cnbird从192.168.0.这个网段访问


log日志的变态设置方法

首先介绍的是syslog的替代品,rsyslogd可以记录进mysql数据库

下载地址:http://www.rsyslog.com/

Syslog-ng

http://www.balabit.com/network-security/syslog-ng/

注意:绝对不要以root来运行日志检查程序。相反,应当先构造一个logs组,并将所有的日志文件chgrp为该组并赋予其读权限,然后以该组中的某个用户来执行日志检查程序.

日志分析软件:

logsentry:http://sourceforge.net/projects/sentrytools/

swatch:http://packetstormsecurity.org/UNIX/IDS/swatch-3.0b4.tar.gz

logsurfer:http://www.crypt.gen.nz/logsurfer/

http://tech.ddvip.com/2007-03/117338249620416.html 用LogSurfer+在Linux上监督登录文件


愚蠢的黑客cat /dev/null > /var/log/messages

防止这样的垃圾黑客chattr +a /var/log/messages]


最最变态的log日志服务器可以使用passlogd这个工具来进行伪造,passlogd把网卡设置成混杂模式,来监听和记录所有的syslog包.如果是交换环境中把交换机配置为向这一主机对应的端口转发所有包就可以了.


加密syslog传输过程

使用stunnel来进行双向加密

stunnel下载地址www.stunnel.org


目录
相关文章
|
存储 缓存 安全
【服务器开发系列】订单号生成策略
订单是整个电子商务的核心,整个电子商务的流程也是围绕订单展开的;本文与大家分享一下各大电子商务网站订单号的生成方式。
840 0
|
2天前
|
负载均衡 网络协议 安全
|
22天前
|
运维 监控 安全
构建高效稳定的Linux服务器:系统优化与安全策略
【5月更文挑战第29天】 在现代IT基础设施中,Linux服务器因其开源性、稳定性和高度可定制的特点而广泛被采用。然而,随着业务需求的不断增长,如何保证Linux服务器的高效稳定运行成为了运维人员必须面对的挑战。本文将深入探讨针对Linux服务器进行系统优化的策略,以及实施有效的安全措施,旨在帮助运维专业人员提升服务器性能,同时确保系统的安全稳定。
|
22天前
|
弹性计算 运维 监控
【阿里云弹性计算】ECS实例的生命周期管理:阿里云自动化工具与策略介绍
【5月更文挑战第29天】阿里云提供自动化工具和策略管理ECS实例生命周期,如资源编排服务(ROS)实现一键部署,通过模板定义实例配置;自动化运维服务(OOS)执行自动化运维任务;弹性伸缩策略动态调整实例数量;定时启动/停止策略节省成本;监控告警策略确保业务连续性。通过这些工具和策略,企业可实现ECS实例的高效管理。
59 2
|
26天前
|
弹性计算 监控 容灾
【阿里云弹性计算】云上灾备解决方案:基于阿里云 ECS 的业务连续性策略
【5月更文挑战第25天】阿里云ECS提供强大的云上灾备解决方案,保障企业业务连续性。通过高可用基础设施、数据备份和异地容灾服务,应对自然灾害、硬件故障等突发事件。示例代码展示如何配置数据备份。企业应合理规划资源,定期演练,监控优化灾备系统。阿里云将持续创新,为企业提供更优质的灾备解决方案,支持各类型企业在数字化时代稳定运行,实现业务连续性。
250 0
|
29天前
|
弹性计算 安全 Shell
【阿里云弹性计算】阿里云ECS安全加固:从访问控制到数据保护的全方位策略
【5月更文挑战第22天】本文详述了阿里云ECS的安全加固策略,包括访问控制(如安全组设置和密钥对管理)、系统安全加固(如安全补丁更新和防病毒措施)以及数据保护(如数据备份、恢复和加密)。通过这些措施,用户可增强ECS安全性,保障业务安全稳定运行。
84 0
|
1月前
|
存储 弹性计算 监控
【阿里云弹性计算】深入阿里云ECS配置选择:CPU、内存与存储的最优搭配策略
【5月更文挑战第20天】阿里云ECS提供多种实例类型满足不同需求,如通用型、计算型、内存型等。选择CPU时,通用应用可选1-2核,计算密集型应用推荐4核以上。内存选择要考虑应用类型,内存密集型至少4GB起。存储方面,系统盘和数据盘容量依据应用和数据量决定,高性能应用可选SSD或高效云盘。结合业务特点和预算制定配置方案,并通过监控应用性能适时调整,确保资源最优利用。示例代码展示了使用阿里云CLI创建ECS实例的过程。
100 5
|
7月前
|
缓存 负载均衡 应用服务中间件
Nginx服务器之负载均衡策略(6种)
Nginx服务器之负载均衡策略(6种)
235 0
|
9月前
|
存储 算法 Oracle
服务器数据恢复-UNIX类文件系统数据恢复可能性分析
服务器数据恢复环境: 基于UNIX系统,软件层级的数据灾难。 服务器故障: 1、存储结构出错。 2、删除数据。 3、文件系统格式化。 4、其他原因导致的数据丢失。
|
Unix Ruby Python
Python:gunicorn用于UNIX的Python WSGI HTTP服务器
Python:gunicorn用于UNIX的Python WSGI HTTP服务器
94 0