课下linux服务器安全策略

第九课Linux服务器安全策略（下一、Linux后门入侵检测工具rootkit是Linux平第九课Linux服务器安全策略（下一、Linux后门入侵检测工具rootkit是Linux平台下最常见的一种木马后门工它主要通过替换系统文件来达到rootkit主要有两种类型：文件级别和内核级别，下面分别进行简单介loginroot用户登录系统。攻击者通常在进入Linux系统后，会进行一系列的攻击动作，最常见件都被替换，那么在系统层面就很难发现rootkitrootkit入侵。检查件完整性的工具很多，常见的Tripwire、aide等，可以通过这些工具期检查文件系统的完整性，以检测系统是否被rootkitrootkitrootkit被入侵者修改过的内核会假装执行A程序，而实际上却执行了程序Brootkit后门rootkitrootkit被入侵者修改过的内核会假装执行A程序，而实际上却执行了程序Brootkit后门检测工确认服务器是否已经感染rootkit。在官方的资料中，RKHunter可以作的事情有MD5检测可疑的核心模块---309*309***root/usr/local/bin/rkhunter--check--这样，rkhunter9:30二、服务器遭受攻击后的处理过1处理服务器遭受攻击的一般思路（1）切断网络（2）查找攻击源可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了（3）分析入侵原因和途径（4）备份用户数据（5）重新安装系统（6）（3）分析入侵原因和途径（4）备份用户数据（5）重新安装系统（6）修复程序或系统漏洞（7）恢复数据和连接网络检查并锁定23、查看系统日志查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages4检查并3、查看系统日志查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages4检查并关闭系统可疑进程首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执[root@server~]#pidof1327612942然后进入内存目录，查看对应PID目录下exe[root@server~]#ls-allrwxrwxrwx1rootroot0Oct422:09/proc/13276/exe->[root@server~]#ls-al5、检查文件系统的完好性[root@server~]#rpm- c/etc/pam.d/system-ccc c/etc/pam.d/system-ccccc6、重新安装系统恢复数据三、linux软件防火)(Application-LevelGateway，也称Proxy防火墙)iptablesiptables是linux系统内嵌的一个防火墙软件，它集成在系统内核中因此执行效率非1、iptables的使用规范与语（1．iptableslinux内Linuxipfwlinux2.0ipchains，1、iptables的使用规范与语（1．iptableslinux内Linuxipfwlinux2.0ipchains，基linux2.2内核ipchains不但指令语法更容易理解，功ipfwiptables（2．iptables功能组LinuxiptablestablesIPiptables是有最基本的多个表格（tables）（chan链可以设置相应的规则和策略，下面详细讲述iptablesiptables3种常用的表选项，包括管理本机数据进出的filter管理防火墙内部主机和改变不同包及包头内容的mangle。每个表与其中链的用途如下INPUT主要是对外部数据包进入linux系统进行信息过OUTPUTFORWARD链mangle表包含一些规则用于标记高级路由的信息包，它可以改变不同的包及包mangle表包含一些规则用于标记高级路由的信息包，它可以改变不同的包及包头的内表有五个内建的链：PREROUTINGPOSTROUTINGOUTPUT，和（uo（chan（tabePREROUTING链是在数据包刚刚到达防火墙时，根据需要改变它的目的地址。例如DNATPOSTROUTING链在包就要离开防火墙之前改变其源地址，例如SNAT地主机的来源地址都是同一个IP，OUTPUT不常用，下面重点讲述的是Filtertable（3不常用，下面重点讲述的是Filtertable（3、iptables的执行流四、iptables使用1、iptables的启动与要使用iptables，首先要启动iptables服务，执行如下命令，启动iptables如果要设置iptables开机时默认启动，可以使用chkconfig2、防火墙规则的查看与清四、iptables使用1、iptables的启动与要使用iptables，首先要启动iptables服务，执行如下命令，启动iptables如果要设置iptables开机时默认启动，可以使用chkconfig2、防火墙规则的查看与清-后面接table，常见的有filter、NAT等，如果没有用“-t”指定table认使用filter---list，列出当前所有table的配置规则--IP---flush，清空某个指定table---delete-chain，删除使用者自定义的table-[root@localhost~]#iptables[-ttables][-L][-vn][-chkconfig--level35iptablesserviceiptablesstop或者/etc/init.d/iptablesserviceiptables 列出当前系统filtertable 列出当前系统filtertableb)下面是列出nat 3、制定防火a）设置预设规则[root@localhost~]#iptables-F[root@localhost~]#iptables-[root@localhost~]#iptables[root@localhost~]# iptables-tnat-L-nChainPREROUTING(policyACCEPT) protoptsource ChainPOSTROUTING(policyACCEPT) protoptsource ChainOUTPUT(policyACCEPT) protopt [root@localhost~]#iptables-L-nChainINPUT(policyACCEPT) protoptsource ChainFORWARD(policyACCEPT) protoptsource ChainOUTPUT(policyACCEPT) protopt 对于预设规则设置，我们一般将INPUT链设置的最严格，而对于预设规则设置，我们一般将INPUT链设置的最严格，而将FORWARD与OUTPUT置的较为宽松，预设规则的语法如下将上面linux代理服务器中filtertable的INPUT链设定为，其它设定为ACCEPT不能找到合适规则时才会执行，因此b）针对ip/网络、网络接口的过滤规则，iptables[root@localhost~iptablesttables]AI链io网络接口p协议>[-s来源IP/网络][-d目标IP/网络]-j[root@localhost~]#iptables-PINPUTDROP[root@localhost~]#iptables-POUTPUTACCEPT[root@localhost~]#iptables-PFORWARDACCEPT[root@localhost~]#iptables-L-nChainINPUT(policy protoptsource ChainFORWARD(policyACCEPT) protoptsource ChainOUTPUT(policyACCEPT) protopt ---policy，定义策略，针对filtertable有INPUT,OUTPUT,FORWARD3-后面接table，常见的有filter、NAT等，如果没有用“-t”指定tablefilter[root@localhost~]#iptables[-ttables]-下面举例说明iptables的用法连接局域网，ppp0是adsl上网的internet下面举例说明iptables的用法连接局域网，ppp0是adsl上网的internet-新增加一条规则，放到已有规则的最后-插入一条规则，如果没有制定插入规则的顺序，则新插入的变成第一条规-INPUT-指定数据包传出的那个网络接口。经常与OUTPUT链配合使-tcp、udp、icmp-个IP，也可以指定某段网络。IP：都可以。例如：-s!192.168.60.0/255.255.255.0-IP或者网络，跟参数“-s”-此参数后面指定要执行的动作，主要的动作有接受(ACCEPT)、抛弃(DROP)录此规则是让linux代理服务器接受所有的来源不是网络接口ppp0许了局域网的访问，局域网的所有主机不能访问internet从上面设置的几条规则来看，此规则是让linux代理服务器接受所有的来源不是网络接口ppp0许了局域网的访问，局域网的所有主机不能访问internet从上面设置的几条规则来看，并没有完全用到所有参数，例如“-d”、“-p”参数，这有个很重要的理念，那就是没有指定的参数规则，默认都是完全接受的c）tcp,udp协议的过滤规则，iptables[root@localhost~]#iptables-AINPUT-ippp0-ptcp--sport80-jsport端口范围限制来源的端口号码，端口号码可以是连续的，例如dport端口范围限制目标的端口号[root@localhost~]iptablesttables]AI链io网络接口ptcp,udp]s来源IP/网络][--sport端口范围d目标IP/网络][--dport端口范围>-j[root@localhost~]#iptables-AINPUT-ilo-j[root@localhost~]#iptables-AINPUT-i!ppp0-j[root@localhost~]#iptables–AINPUT-ieth0-s192.168.60.3-j[root@localhost~]#iptables–AINPUT–ieth0-s192.168.60.0/24–jdnsdns默认端口。此时局域网主机就可以访问internet为了维护方便，我们希望在linux服务器上开放sshd服务，以便远程连接，sshd默使用的是22端口，如果在系统上开放22端口，那么internet上所有主机都可以连接我们linux代理服务了，这样很不安全，这里仅仅允许来自222.91.99.0/28的端口范围的主机可以连接linux代理服务器，其它来源IP注意：如果在设定规则时用到“--sport”及“--dport”参数，就必须用“-p”参数定数据封包传输协议是tcpudp。为什么呢，因为端口是tcp、udp[root@localhost~]#iptables-AINPUT-ippp0-ptcp–s222.91.99.0/28>--sport1024:65534--dport22–j[root@localhost~]#iptables-AINPUT-ippp0-ptcp--dport22-jREJECT>--reject-withtcp-reset[root@localhost~]#iptables-AINPUT-ippp0-ptcp–s222.91.99.0/28>--sport1024:65534--dport22–j[root@localhost~]#iptables-AINPUT-ippp0-ptcp--dport22–j[root@localhost~]#iptables-AINPUT-ippp0-ptcp--dport80-j[root@localhost~]#iptables-AINPUT-ippp0-pudp-sport53-jd）d）实例一：只要是已建立的连接或者相关数据包就予以通过，不能识别或者没有任何状态的据包全部丢弃，设置如下规则[root@localhost~]#iptables-AINPUT-mstate---mac：网卡硬件地址（hardwareaddress）--ESTABLISHED：表示该封包属于某个已经建立的联机，处于ESTABLISHED状态的连接是非常容易理解的。只要发送并接到应答，连接就是ESTABLISHED状态了。一个