浅谈Linux系统检测防护

政林 2019-12-29 711浏览 0条评论
首页/正文
分享到: / / / /

浅谈Linux系统检测防护

类型:Linux系统检测防护技术经验

关键字:系统 漏洞 禁止

.一、引言

在过去的十几年里,Linux已经进入全球范围内许多企业的数据中心、科研和企业用户群体。基于它的廉价成本、灵活可设定性使Linux成为目前最通用操作系统。目前Linux也广泛应用在嵌入式系统上,如手机(Mobile Phone)、平板电脑(Tablet)、路由器(Router)、电视(TV)等,在移动设备上广泛使用的Android操作系统就是建立在Linux内核之上,同时还提供众多Linux发行版,供桌面用户和服务器用户选择。

随着Linux上开源应用、技术框架越来越多,导致Linux操作系统在整个服务器领域的应用越来越广,带来的安全问题也越来越多。

二、现象描述

Linux Bash严重安全漏洞

红帽公司发现一个名为 Shellshock(Bash Bug)的计算机软件系统漏洞,漏洞编号为CVE-2014-6271,安全专家称之为“破壳”,该漏洞可通过bash跳过计算机系统内部的屏蔽机制从而远程控制系统,Bash是一种语言解释器处理指令,主要应用于网络服务器和系统中。这个漏洞会允许外界植入可执行代码。黑客将可以远程发出遥控指令,不仅可以窃取服务器上的信息,更可以直接控制目标系统。受该漏洞影响的系统包括特定版本的Linux、Unix系统,以及使用bash语言解释器Mac OS X 10 Maverick系统。

  • 处理过程/主要做法
  1. Bash软件漏洞检测及解决方案,运行命令:#env -i  X='() { (a)=>\' bash -c 'echo date'; cat echo s\ ls 如果返回date表示安全:如果是系统时间,说明尚未脱离危险期。请尽快升级。请输入: #yum update -y bash 进行升级处理!此举只是更新了 bash 包,还需要重启系统才能生效。
  2. 当被入侵之后我们先用w命令查看是否有异常用户在登录,输入top命令提供了运行中系统的动态实时视图,下一步可以使用# ps aux | less命令,显示所有运行中的进程:pstree显示进程的树状图,找出可疑进程、文件、查明文件具体创建时间、威胁程度,可用ps -ef |grep 查看可疑进程是否存在父进程,kill-9杀死服务进程并仔细查看几次是否杀死,防止隐藏父进程自启,清除入侵木马程序文件、使服务器只运行所需要的服务、关闭没有使用的服务。
  3. 使用md5对/etc/passwd、group等文件进行加密保存,计划任务去进行对比一旦发现被篡改立即通知管理员查明情况。
  4. 升级软件、系统,确定服务器上所需要的服务、达到最小化软件安装、避免安装不必要的软件就是避免漏洞,软件、系统更新的范围从关键漏洞补丁到小 bug 的修复。
  5. 账户权限细分、最好是禁止root账户远程登录、创建一个受限用户账户、始终用它来管理任务。
  6. 加固或禁用SSH访问、默认情况下,密码认证用于通过 SSH 连接到您的服务器。加密密钥对更加安全,因为它用私钥代替了密码,使更难以被暴力破解。
  7. 设置口令有效最长时限 (编辑/etc/login.defs文件) 可以使用[root@linuxidc~]#chage -M 90  root      口令最短字符(如linux默认为5,可以通过编辑修改)只允许特定用户使用su命令成为root。编辑/etc/pam.d/su文件,在文件头部加上:auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel Red hat 7.0中su文件已做了修改,直接去掉头两行的注释符就可以了。
  8. 使用 Fail2Ban 保护 SSH 登录,它会在太多的失败登录尝试后禁止 IP 地址登录到你的服务器。由于合法登录通常不会超过三次尝试,因此如果服务器充满了登录失败的请求那就表示有恶意访问。Fail2Ban 可以监视各种协议,包括 SSH、HTTP 和 SMTP。默认情况下,Fail2Ban 仅监视 SSH,并且因为 SSH 守护程序通常配置为持续运行并监听来自任何远程 IP 地址的连接。
  9. 禁止ping命令,ping命令是计算机之间进行相互检测线路完好的一个应用程序,计算机间交流数据的传输没有经过任何的加密处理,可能在因特网上存在某个非法分子,通过专门的黑客攻击程序把在网络线路上传输的信息中途窃取,并利用偷盗过来的信息对指定的服务器或者系统进行黑客攻击,在Linux里,如果要想使ping没反应也就是用来忽略icmp包,因此我们可以在Linux的命令行中输入如下命令:echo 1 >/proc/sys/net/ipv4/icmp_echo_igore_all ;如果想恢复使用ping命令,就可以输入echo 0 >/proc/sys/net/ipv4/icmp_echo_igore_all命令。
  10. linux访问控制工具iptables、通常位于/sbin/iptables目录下,属于“用户态”的防火墙管理体系、采用了表和链的分层结构,分为filter、net、mangle、raw表和input、output、forward、prerouting、postrouting链。配置iptables有助于过滤出入端口和阻止使用暴力法的尝试登录,有效的控制服务器出入站流量。

四、经验总结

一个安全的系统必须采取多种安全措施,多管齐下才能更好的保证安全。假如一个Linux系统采取了以上各种安全措施,那么要想侵入你的系统,攻击者将不得不绕过防火墙、避开入侵检测系统、通过系统过滤器、逃过你的日志监视器、修改文件系统属性、破坏安全登录服务器才能最终达到目的。而其中任何一个环节都可能激发报警,安全维护人员可在最短时间拦截攻击者、找到被攻击原因,做好防护修补。

点击这里给我发
消息
最后修改:2019-12-29 20:00:34 © 著作权归作者所有
如果觉得我的文章对你有用,请随意赞赏
扫一扫支付

上一篇

发表评论

评论列表

还没有人评论哦~赶快抢占沙发吧~