linux系统安全杂记三

最新推荐文章于 2024-10-13 14:53:03 发布
原创 最新推荐文章于 2024-10-13 14:53:03 发布 · 置顶 · 1.2k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#linux #安全
本文详细介绍了Linux系统的网络配置,包括查看网络参数、自定义iptables规则以增强安全性;日志审计,如启用rsyslog配置记录安全事件;以及使用john the ripper和Hydra工具进行弱口令审计。此外,还提到了后门程序检测工具chkrootkit和rootkit hunter的使用方法,以确保系统安全。

文章目录

07网络配置

检查网络参数

sysctl命令 -a 查看当前网络参数

  1. net.ipv4.icmp_echo_ignore_broadcasts = 1
    忽略ICMP广播:不会对ping请求做出回应,这样别人就不会通过ping来发现该主机
  2. net.ipv4.icmp_echo_ignore_all = 1
    忽略ICMP echo请求
  3. net.ipv4.ip_default_ttl = 128
    修改TTL为128,隐藏当前操作系统的正确类型,有些扫描器通过系统返回的TTL值来确定当前操作系统的类型
    sysctl -p 使更改生效

自定义规则

iptables命令使linux上常用的防火墙软件,使netfilter项目的一部分

在这里插入图片描述
从防火墙中增加、删除规则等,参数选项:

在这里插入图片描述
规则链名包括:
INPUT链:处理输入数据包
OUTPUT链:处理输出数据包
PORWARD链:处理转发数据包
动作包括
accept:接收数据包
DROP:丢弃数据包
REDIRECT:重定向、映射、透明代理

限制进入连接
在这里插入图片描述
(对ssh服务起到了防护)限制了访问本机的ip地址只能使从192.168.10.0到24的才能从22端口进入本机
在这里插入图片描述

限制外发连接
在这里插入图片描述
eth0网卡无法向外发起tcp连接

向外的udp包都会被丢弃掉
iptables -list查看规则,(内发规则链,外发规则链等)

08日志审计

配置rsyslog. conf 启用安全事件日志记录
编辑/etc/rsyslog.conf
配置:
在这里插入图片描述
其中 /var/adm/messages为日志文件
举例
系统的日志目录保存在 ls /var/log中
在这里插入图片描述

系统日志

  1. message日志:/var/log/messages
    messages中记录有运行信息和认证信息,对于追查恶意用户的登陆行为有很大帮助
  2. cron日志:/var/log/cron
    记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作
  3. secure日志:/var/log/
    若日志中出现连续大量的登录错误信息,则可能意味着远程主机在尝试破解ssh登录口令
    如:
    在这里插入图片描述
    可能使有ssh爆破口令,将日志导出做分析,看有没有登录成功,做回应账号定位
  4. last日志(直接输入last、lastlog命令)
    查看最近用户登录情况,last命令读取wtmp内容
    lastlog命令,查看系统内所有账户最后一次登录信息,该命令读取/var/log/lastlog内容

09安全工具

分析工具

系统自带的工具或命令
在这里插入图片描述
通过定位关键字查看恶意……

  1. grep命令的使用
    查找一句话木马 <?php eval($_post[cmd]);?>
    假设网站的目录为/app/website/,我们需要查看该目录下是否包含该形式的一句话木马文件:
    方法1—>
    在这里插入图片描述
    方法2—>
    在这里插入图片描述
    手工排查webshell

弱口令审计

弱口令就是用户名和密码都是系统默认的,没有改。或者只是一些简单的数字组合.很容易被黑客破解的加密强度不高的口令

工具一 john the ripper

john the ripper使用该工具时需要权限,能获取到目标系统的系统文件才可以。如果不能提取到一个加密后的密码文件是无法使用该工具的。
除了可以审计linux系统的还可以审计oracle数据库的弱口令
http://www.openwall.com/john/
步骤: 提取弱口令文件,按照格式,将密文中账号名对应后一一爆破
#john /etc/shadow --single
#john /etc/shadow --wordlist=pass.dic
两种常见的:

  1. john加上爆破的加密文件(etc shadow)和爆破参数single(提取账户名,利用账户名的格式变换来爆破对应的密码,比如会使用账户名的变体来作为密码)
  2. 搜集内部常见的弱口令,收集成字典做爆破
    在这里插入图片描述
    例如这里显示有8个hashes被爆破成功、
工具二 Hydra

Hydra不需要提取口令加密(密码)文件,通过在线爆破
缺点:可能会导致一些账户被锁定,需要跟系统管理员确定好相关安全配置再做对应的审计
在这里插入图片描述
-l 制定账号名,-p指定密码字典,192.168.0.1指定爆破的IP地址,ftp指定爆破的主机上的服务
这个命令是使用login(要破解的用户名)账户还有passlist(密码字典库)来爆破192.168.0.1上的ftp服务的login账户的密码

在这里插入图片描述
爆破的是192.168.0.1上面的smb服务的login账户的密码
举例:
在这里插入图片描述
用的是pw.txt密码字典

后门程序检测(工具)

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。

chkrootkit

用于UNIX/LINUX的本地rootkit检查工具
http://www/chkrootkit.org/
目前的工具能够进行rootkit检测的类型可以有60多种
检测命令: ./chkrootkit -q -r /再加上一个操作系统的根,就会对当前操作系统根下面所有目录的文件进行后门程序检测
官方说明的能够检测的rootkit的类型
在这里插入图片描述

rootkit hunter

http://rkhunter.sourceforge.net/
检测命令:rkhunter -check
在检查过程中,程序会随时打印出每一项检查结果是否会发生异常的恶意文件,检查结果生成一份报告,报告文件放在/var/log/rkhunter.log文件中。

Linux服务器安全必看:手把手教你用chkrootkit和rkhunter查杀Rootkit(附完整命令)
最新发布
weixin_29325955的博客
03-31 164
本文详细介绍了Linux服务器Rootkit的防御与查杀方法,重点讲解了chkrootkit和rkhunter的使用技巧。通过实战案例和完整命令,帮助管理员构建双重防御体系,有效检测和清除Rootkit,提升服务器安全性。
Linux安全检查
wqfhenanxc的专栏
09-06 6074
检查设备密码复杂度策略 1. 检查密码复杂度策略中设置的大写字母个数      2. 检查密码复杂度策略中设置的数字个数 3. 检查密码复杂度策略中设置的特殊字符个数 4. 检查密码复杂度策略中设置的小写字母个数 Redhat系统:修改/etc/pam.d/system-auth文件,  Suse9:修改/etc/pam.d/passwd文件,  Suse10,Suse11:修改/etc...
系统消息文件位置
babymouse1212的博客
05-02 487
系统消息文件位置: 各平台的系统日志位于以下特定位置: Linux: /var/log/messages Sun: /var/adm/messages HP-UX: /var/adm/syslog/syslog.log Tru64: /var/adm/messages AIX: /bin/errpt -a Windows: 使用事件查看器将应用程序日志和系统日志保存为 .TXT 文件,确保获取
Linux恶意攻击自查方案
W1124824402的博客
12-12 1915
实际上,/etc/rc.d/init.d和/etc/xinetd.d目录,以及/etc/rc.d/rc.local文件是通过软链接到/etc/rc*.d目录下执行加载的,而/etc/inittab是启动配置文件,因此重点关注/etc/rc0.d~rc6.d目录下的文件。注:各服务的启动脚本存放在/etc/init.d/和/etc/xinetd.d目录下,对于没有或无法使用chkconfig命令的系统,可通过创建或删除到/etc/rc*.d目录下的软链接,手工实现管理服务开机是否启动。
Linux系统的LOG日志文件及入侵后日志的清除
海阔天空
03-18 5974
UNIX网管员主要是靠系统的LOG,来获得入侵的痕迹.当然也有第方工具记录入侵系统的 痕迹,UNIX系统存放LOG文件,普通位置如下: /usr/adm - 早期版本的UNIX /var/adm - 新一点的版本使用这个位置 /var/log - 一些版本的Solaris,linux BSD,Free BSD使用这个位置 /etc - 多数UNIX版本把utmp放在这里,有些也把wt
Linux配置系统日志
pointfish的专栏
05-14 2450
Linux的系统日志守护程序syslogd被激活后,系统遇到的错误信息将被记录到指定的文件中。 激活系统日志守护程序需执行以下任务: 1、创建系统日志文件 以 root 用户身份登录 如果系统日志文件不存在,使用 touch 命令在合适的目录中创建它: AIX :touch /var/spool/syslog HP-UX :touch /var/adm/syslog/syslog.lo
Linux杂记
li963820454的博客
01-06 455
Linux系统安全入门 1. 起源与属性 1991年由芬兰大学生开创 是源代码开放的UNIX的分支 Linux的发行遵循GNU的通用公共许可证 2. 内核说明 组成方式: 主版本号.次版本号.修订次数 如: 2.4.17 3. 1 4. 1 5. 1 6. 1 ...
linux学习杂记
hehangkakou的博客
03-18 303
linux学习杂记
linux杂记
aaaaa_2的博客
10-13 349
LINUX 使用技巧杂记@
solaris学习8:日志syslog
weixin_33735077的博客
02-25 376
类日志子系统: 1、 连接时间日志:记录写入到/var/log/wtmp、/var/run/utmp中,login程序更新wtmp、utmp文件,使系统管理员跟踪谁在何时登录到系统 2、 进程统计: 由内核执行,当一个进程终止时为每个进程在统计进程文件(pacct、acct)中写入一条记录,为系统中基本服务提供命令使用统计。 3、错误日志: /var/adm/mess...
syslog.conf 配置(2)
dunhuacc1234的专栏
07-26 1915
因为Debian下默认的好多log文件,所以准备修改syslog.conf将/var/log 目录的不必要的文件搞掉..1: syslog.conf的介绍    对于不同类型的Unix,标准UnixLog系统的设置,实际上除了一些关键词的不同,系统的syslog.conf格式是相
ubuntu系统没有/var/log/messages系统日志文件解决办法
热门推荐
feinifi的博客
06-30 1万+
在ubuntu系统中,有时候,我们需要通过journalctl -xe来查看服务启动日志,但是这个日志打印不全,所以还是需要通过/var/log/messages这个文件来看。 在一些新的ubuntu系统中,这个文件是不存在的,我们需要设置,修改文件/etc/rsyslog.d/50-default.conf 我们可以看到,为什么messages文件在/var/log目录下没有,因为被注释掉了,我们根据需要开启,或者新增一行配置即可: *.info;mail.no...
Shell脚本学习笔记-系统管理
NowOrNever
06-24 1730
Solaris系统上Shell脚本学习。 文件系统 /sbin主要放置一些系统管理的必备程序,例如fdisk,ifconfig,mount等 /usr/sbin主要存放一些并非必备的系统管理工具。例如df,host,ping,swap,tar等。 /bin主要放置一些用户必备程序。 /usr/bin主要存放一些并非必备的用户程序。     很多程序都在/bin和/usr/bin下面
Linux系统安全
chen6814的博客
07-20 2169
Linux系统发展历程 Linux发展历史 Linux系统诞生于1991年,由芬兰大学生(linus Torvalds)和后来陆续加入的众多爱好者共同开发完成。 Linux是开源软件,是源代码开放的Linux分支。具备现代一切功能完整的UNIX系统所具备的全部特征。 Linux的发行遵守GNU的通用公共许可证。 关于内核版本 主版本号.此版本号.修订次数 例:5.10.28 官网:www.kernel.org 如果次版本号为偶数,则为稳定版。 文件系统 二级目录 /bin 放置的是在单人维护模式下还能被操
linux 日志wipe,Linux系统的LOG日志文件及***后日志的清除
weixin_28783937的博客
05-07 438
UNIX网管员主要是靠系统的LOG,来获得***的痕迹.当然也有第方工具记录***系统的 痕迹,UNIX系统存放LOG文件,普通位置如下:/usr/adm - 早期版本的UNIX/var/adm - 新一点的版本使用这个位置/var/log - 一些版本的Solaris,linux BSD,Free BSD使用这个位置/etc - 多数UNIX版本把utmp放在这里,有些也把wtmp放在这里,s...
logadm 配置
weixin_34252090的博客
01-09 1018
使用 logadm 管理日志 如果 poold 处于活动状态,则 logadm.conf 文件将包含管理缺省文件 /var/log/pool/poold 的条目。此条目为: /var/log/pool/poold -N -s 512k一、有关课程设置1、安全概述一个好的安全管理计划应该包括A、 安全策略B、 物理安全C、 平台安全D、网络安全E、 应用安全F、 安全操...
Linux基础
JOKERSNEAKER的博客
06-02 322
基础知识 一、Linux系统基本结构** 1.系统安装及分区 系统安装: 以RedHat8.0为例 系统安装博客链接: https://blog.csdn.net/JOKERSNEAKER/article/details/105456947. 如何分区?交换分区大小? Linux分区方式是:先有目录,再将磁盘上的物理地址映射到目录中。 Linux系统对分区的基本要求 1、最少要有一个根/分区,用来存放系统文件及程序。其大小至少在5GB以上。 2、要有一个swap(交换)分区,它的作用相当于 Windows里
linux oracle日志目录_详解各个系统主机日志及数据库日志收集--AIX、redhat、HP-UX等...
weixin_29522547的博客
02-01 2014
概述今天主要针对主机和数据库日志的一些收集做一下记录总结,下面一起来看看吧~一、主机系统日志收集:创建主机日志收集目录:--Unix/Linux创建存放系统日志的文件夹:# mkdir -p /var/collect/OS1、LinuxLinux系统日志文件: /var/log/messages将最近1000条日志输出到linux1000.log文件中:# tail -1000 /var/log/...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值