收藏
下载资源

明明白白你的Linux服务器之安全篇

上传人:s9****2 文档编号:556662321 上传时间:2023-06-03 格式:DOCX 页数:15 大小:41.52KB
返回 下载 相关 举报
明明白白你的Linux服务器之安全篇_第1页
第1页 / 共15页
明明白白你的Linux服务器之安全篇_第2页
第2页 / 共15页
明明白白你的Linux服务器之安全篇_第3页
第3页 / 共15页
明明白白你的Linux服务器之安全篇_第4页
第4页 / 共15页
明明白白你的Linux服务器之安全篇_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《明明白白你的Linux服务器之安全篇》由会员分享,可在线阅读,更多相关《明明白白你的Linux服务器之安全篇(15页珍藏版)》请在金锄头文库上搜索。

1、明明白白白你的Linuux服务器安全篇(1)安全对于于linnux/uniix生产服服务器而而言是至至关重要要的,也也是每一一个系统统管理员员的基本本功课。本本文是系系列的第第四篇,下下面所列列的一切切是关于于Linnux服务器器的基本本设置,力力求用最最简单的的语言来来说明Linnux服务器器的基础础安全设设置,尤尤其适用用于新手手;如果果对Linnux服务器器的安全全有更高高要求,建建议配合合硬件防防火墙来来进行操操作。一、Liinuxx服务器器的硬件件防护我在项目目实施中中和自己己的网站站架设中中,发现现防DDOOS攻击及SQL注入、跨跨站脚本本、蠕虫虫、黑客客扫描和和攻击等等攻击效效果

2、不错错的方案案有:华赛三三层防火火墙+天泰web防火墙墙;Junnipeer系列防防火墙;如果你的的Linnux或FreeeBSSD前端无无任何硬硬件防护护,一下下要记得得开启ipttablles或ipffw防火墙墙。虽然然它们不不能防DDOOS攻击,但但在安全全防护上上或多或或少的有有所作用用;如果果是winndowws20003服务器器,建议议开启它它自带的的系统防防火墙,并并禁pinng。建议采用用64位的Linnux操作系系统,如如CenntOSS 5.4;如果果是UNIIX,建议议采用FreeeBSSD 88.0(也采用64位的)。多关关注下服服务器的的内核漏漏洞,现现在linnux

3、很多攻攻击都是是针对内内核的,保保证内核核版本为为2.66.9以上。二、远程程连接你你的Linnux服务器器对于远程程连接,建建议只允允许在内内网进行行ssh操作,而而拒绝外外网控制制,这样样做是比比较安全全的(此步操操作可能能要配合合公司的的网络工工程师来来操作)。如果非要要从外网网进行ssh操作,建建议正确确配置x-sshelll、Puttty等远程程连接工工具的公公钥和私私钥。rooot密码我我一般设设置为28位以上上,建议议用字母母+数字的的组合,如psSw0rdyuhongchun027nagios,而且某些重要的服务器必须只有几个人知道root密码,这个根据公司权限来设置,如果有公

4、司的系统管理员离职,root密码一定要更改;玩linux久了的人都应该知道,更改root密码不会影响linux的crontab计划任务(这个在windows2003就不一样了,如果随意更改administrator密码,会直接影响其计划任务运行)。三、Liinuxx服务器器如何防防ssh暴力破破解我的Naagioos外网监监控服务务器,刚刚开始测测试时取取的密码码是reddhatt,放进进公网一一天就被被人改了了,郁闷闷死了;后来环环境部署署成熟以以后发现仍然有有不少外外网ip在扫描描和试探探,看来来不用点点工具不不行啊;呵呵,我我尝试使使用大家家都推荐荐使用的的DennyHoostss,它是

5、是用Pytthonn2.33写的一一个程序序,它会会分析/vaar/llog/seccuree等日志志文件,当当发现同同一IP在进行行多次SSH密码尝尝试时就就会记录录IP到/ettc/hhostts.ddenyy文件,从从而达到到自动屏屏蔽该IP的目的的。DennyHoostss官方网网站为:检查安安装条件件1、首先先判断系系统安装装的sshhd是否支支持tcpp_wrrappperss(默认认都支持持)# lddd /usrr/sbbin/sshhdlibwwrapp.soo.0= /usrr/liib/llibwwrapp.soo.0 (0xx00446e0000)2、判断断默认安安装的

6、Pytthonn版本# pyythoon -VPythhon 2.33.43、已安安装Pytthonn2.33以上版版本的情情况可以以直接安安装DennyHoostss# cdd /uusr/loccal/srcc# wgget htttp:/jaaistt.dll.soourccefoorgee.neet/ssourrcefforgge/ddenyyhossts/DennyHoostss-2.6.ttar.gz# taar zzxf DennyHoostss-2.6.ttar.gz# cddDennyHoostss-2.6# pyythoon ssetuup.ppy iinsttalll程序

7、脚本本自动安安装到/ussr/ssharre/ddenyyhossts库文件自自动安装装到/ussr/llib/pytthonn2.33/siite-pacckagges/DennyHoostssdenyyhossts.py自动安安装到/ussr/bbin设置启启动脚本本# cdd /uusr/shaare/dennyhoostss/# cpp daaemoon-cconttroll-diist daeemonn-coontrrol# chhownn rooot daeemonn-coontrrol# chhmod 7700 daeemonn-coontrrol# grrep -v # dde

8、nyyhossts.cfgg-diist ddenyyhossts.cfgg# vvi ddenyyhossts.cfgg根据自己己需要进进行相应应的修改改denyyhossts.cfggSECUURE_LOGG = /vaar/llog/seccuree#ReddHatt/Feedorra CCoree分析该该日志文文件#其它版版本linnux根据dennyhoostss.cffg-ddistt内提示示选择。PURGGE_DDENYY = 30mm#过多久久后清除除DENYY_THHRESSHOLLD_IINVAALID = 11#允许无无效用户户(/etcc/paasswwd未列出出)登录

9、录失败的的次数DENYY_THHRESSHOLLD_VVALIID = 5#允许有有效(普普通)用用户登录录失败的的次数DENYY_THHRESSHOLLD_RROOTT = 3#允许rroott登录失失败的次次数HOSTTNAMME_LLOOKKUP=NO#是否做做域名反反解如果需要要DennyHoostss随系统统重启而而自动启启动,还还需做如如下设置置:# vii /eetc/rc.loccal加入下面面这条命命令/usrr/shharee/deenyhhostts/ddaemmon-conntrool sstarrt启动# /uusr/shaare/dennyhoostss/daaem

10、oon-cconttroll sttartt如果要使使DennyHoostss每次重重起后自自动启动动还需做做如下设设置:# cdd /eetc/iniit.dd# lnn -ss /uusr/shaare/dennyhoostss/daaemoon-cconttroll deenyhhostts# chhkcoonfiig -addd ddenyyhossts# chhkcoonfiig -leevell 3445 ddenyyhossts on然后就可可以启动动了:servvicee deenyhhostts sstarrtDenyyHossts配置文件:vi /etcc/deenyhho

11、stts.ccfgSECUURE_LOGG = /vaar/llog/seccuree #sssh日志文文件,它它是根据据这个文文件来判判断的。HOSTTS_DDENYY = /ettc/hhostts.ddenyy #控制用用户登陆陆的文件件PURGGE_DDENYY = 5m#过多久久后清除除已经禁禁止的BLOCCK_SSERVVICEE = ssshdd#禁止的的服务名名DENYY_THHRESSHOLLD_IINVAALIDD = 1#允许无无效用户户失败的的次数DENYY_THHRESSHOLLD_VVALIID = 100#允许普普通用户户登陆失失败的次次数DENYY_THHRES

12、SHOLLD_RROOTT = 5#允许rooot登陆失失败的次次数HOSTTNAMME_LLOOKKUP=NO#是否做做域名反反解DAEMMON_LOGG = /vaar/llog/dennyhoostss#自己的的日志文文件ADMIIN_EEMAIIL = yuuhonngchhun00271633.coom#管理员员邮件地地址,它会给给管理员员发邮件件下面这个个是全自自动下载载安装的的小脚本本(推荐),当然然安装后后还得手手动调整整配置文文件。insstalll_ddenyyhossts.sh脚本内内容如下下:#!/bbin/basshcd /usrr/loocall/srrcwgett

13、 htttp:/jjaisst.ddl.ssourrcefforgge.nnet/souurceeforrge/dennyhoostss/DeenyHHostts-22.6.tarr.gzztar zxff DeenyHHostts-22.6.tarr.gzzcd DDenyyHossts-2.66pythhon settup.py insstalllcd /usrr/shharee/deenyhhostts/cp ddaemmon-conntrool-ddistt daaemoon-cconttrollchowwn rroott daaemoon-cconttrollchmood 7700

14、daeemonn-coontroolgrepp -vv # dennyhoostss.cffg-ddistt dennyhoostss.cffgechoo /usrr/shharee/deenyhhostts/ddaemmon-conntrool sstarrt /etcc/rcc.loocallcd /etcc/innit.dln -s /usrr/shharee/deenyhhostts/ddaemmon-conntrool ddenyyhosstschkcconffig -aadd dennyhoostsschkcconffig -lleveel 3345 dennyhoostss on

15、nservvicee deenyhhostts sstarrt下面是hhosttsdeeny的示例:Connnecttionn too 1992.1168.0.1154 cloosedd.roootaautoolemmp # sshh 1992.1168.0.1154roott1992.1168.0.1154s ppasssworrd:Permmisssionn deenieed, pleeasee trry aagaiin.roott1992.1168.0.1154s ppasssworrd:Permmisssionn deenieed, pleeasee trry aagaiin.roott1992.1168.0.1154s ppasssworrd:Permmisssionn deenieed (pubblicckeyy,gsssappi-wwithh-miic,ppasssworrd)出现最后后这行表表示生

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 市场营销

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号