ECS Linux服务器如何配置网站以及绑定域名
Ubuntu安装vncserver实现图形化访问
阿里云Docker镜像库
ECS linux中添加ftp用户,并设置相应的权限
CentOS65安装vncserver实现图形化访问
Linux SCP命令复制传输文件的用法
Mysql,phpmyadmin密码忘了怎么办
Linux下l2tp客户端xl2tpd的安装配置
使用SFTP方式传输文件
ECS Linux系统盘网站数据更换至数据盘
WDCP的报错处理
Linux中PHP如何安装curl扩展方法
修改Linux服务器的ssh端口
ECS Linux配置vnc文档
运维分享--阿里云linux系统mysql密码修改脚本
20步打造最安全的Nginx Web服务器
SSH配置存在问题,导致登录和传输数据很慢
ECS Linux下如何查看定位当前正在运行的Nginx的配置文件
ECS 服务器CentOS系统如何开放端口
查看Linux下默认的DNS
FTP主动被动模式配置混乱导致无法登录
linux环境配置phpmyadmin
ECS Linux系统下VSFTP配置的FTP上传文件报错“553 Could not create file”
ECS Linux Mysql启动提示Too many arguments (first extra is 'start')
运维分享--阿里云linux系统ssh远程连接检查脚本
ECS Linux系统授权mysql外网访问
ECS Linux服务器nginx禁止空主机头配置
ECS Linux服务器通过FTP无法查看到htaccess文件
ECS Linux服务器下Mysql自动备份脚本的使用方法
ECS-linux授权mysql外网访问
用date命令修改Linux系统的时间为什么无效
运维分享--阿里云linux系统web日志分析脚本
ECS Linux服务器messagebus默认关闭导致安装桌面环境后无法正常使用
ECS Nginx+php中php-fpm参数配置
运维分享--阿里云linux系统mysql连接检查脚本
iptables的conntrack表满了导致访问网站很慢
运维分享--阿里云linux系统带宽监测脚本
如何调整目录文件的拥有者和拥有组
yum *** 作报错处理
ECS Linux配置vsftpd限制FTP账户访问其它目录
vsftp报错:500 OOPS: vsftpd: cannot locate user specified in 'ftp_username':ftp
Linux主机系统目录误 *** 作权限修改为777修复方法
ECS Nginx中>
1、首先,连接相应linux主机,进入到linux命令行状态下,等待输入shell指令。
2、在linux命令行下输入shell指令:cat /proc/cpuinfo,按回车,会看到cpu的信息。
3、输入shell指令:fdisk -l,按回车,会看到硬盘的信息。
众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。linux被认为是一个比较安全的Internet服务器,作为一种开放源代码 *** 作系统,一旦linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。然而,系统管理员往往不能及时地得到信息并进行更正,这就给黑客以可乘之机。相对于这些系统本身的安全漏洞,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。服务器上运行的服务越多,不当的配置出现的机会也就越多,出现安全问题的可能性就越大。对此,下面将介绍一些增强linux/Unix服务器系统安全性的知识。一、系统安全记录文件 *** 作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行"#more/var/log/secure greprefused"来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。二、启动和登录安全性1#echo》/etc/issue然后,进行如下 *** 作:#rm-f/etc/issue#rm-f/etc/issue三、限制网络访问1(ro,root_squash)/dir/to/exporthost2(ro,root_squash)/dir/to/export是您想输出的目录,host是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。#/usr/sbin/exportfs-a2"表示允许IP地址192允许通过SSH连接。配置完成后,可以用tcpdchk检查:#tcpdchktcpchk是TCP_Wrapper配置检查工具,它检查您的tcpwrapper配置并报告所有发现的潜在/存在的问题。3登录终端设置/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,您可以编辑/etc/securetty且注释掉如下的行。#tty1#tty2#tty3#tty4#tty5#tty6这时,root仅可在tty1终端登录。4避免显示系统和版本信息。如果您希望远程登录用户看不到系统和版本信息,可以通过一下 *** 作改变/etc/inetdconf文件:telnetstreamtcpnowaitroot/usr/sbin/tcpdintelnetd-h加-h表示telnet不显示系统信息,而仅仅显示"login:"四、防止攻击1阻止ping如果没人能ping通您的系统,安全性自然增加了。为此,可以在/etc/rcd/rclocal文件中增加如下一行:大部分linux都差不多在外观首选项里关闭特殊“视觉效果”后,下面配置可以流畅地运行Ubuntu:
CPU:700 MHz;
内存:384 MB;
硬盘:6 GB 剩余空间;
显卡:800x600以上分辨率;
首先当然要取得机器的IP,用户名和密码。
登陆之后,首先看到的就是机器的名称,一般提示符就有了,如[root@localhost root]#。
这其中的localhost就是机器名了如果用命令来查看的话就是hostname。
查看系统内核:uname –a。
查看 *** 作系统的版本(我现在只用过redhat,所以只以这个为例):cat /etc/redhat-release。
查看网络配置信息:ifconfig
输出如下信息:eth0 Link encap:Ethernet HWaddr 00:XX:XX:XX:XX:XX
inet addr:1013101 Bcast:1013255 Mask:2552552550
……
eth1 Link encap:Ethernet HWaddr 00:XX:XX:XX:XX:XX
inet addr:1012101 Bcast:1012255 Mask:2552552550
……
lo Link encap:Local Loopback
inet addr:127001 Mask:255000
UP LOOPBACK RUNNING MTU:16436 Metric:1。
说明当前有三个网卡:eth0,eth1,lo;其中lo的ip是127001,是用于测试的虚拟接口
如果要对每个网卡查看更详细的信息就需要分别查看其配置文件
对eth0
执行less /etc/sysconfig/network-scripts/ifcfg-eth0
输出如下信息
DEVICE=eth0 设备名称
HWADDR=00:XX:XX:XX:XX:XX 物理地址
ONBOOT=yes
TYPE=Ethernet
BOOTPROTO=none
IPADDR=1013101 ip地址
GATEWAY=10131 网关
NETMASK=2552552550 掩码
对eth1
执行less /etc/sysconfig/network-scripts/ifcfg-eth1,输出结果与上面类似。
查看当前打开的服务:chkconfig –list。
查看当前打开的端口:netstat –an。
查看磁盘信息:fdisk –l、df –h。
查看cpu的信息:cat /proc/cpuinfo。
查看内存信息:cat /proc/meminfo。
查看板卡信息:lspci、cat /proc/pci。
查看当前系统运行情况:ps –aux、top (类似于windows的任务管理器,可以看到当前cpu,内存的使用情况)。
使用一些安全测试的办法与工具对服务器进行风险检测,找出服务器的脆弱点以及存在的安全缺陷。针对服务器 *** 作系统自身的安全测试,包括一些系统配置、主机漏洞扫描等等
查看服务器 *** 作系统当前用户是否为root用户,尽量避免使用root用户登录,启动其他服务程序,除非是一些需要root权限的安全工具,前提需要保证工具来源可信。终端需要 who 既可以查看当前登录用户。
登录到Linux系统,此时切换到root用户,下载lynis安全审计工具,切换到lynis运行脚本目录,执行 /lynis --check-all –Q 脚本语句,开始对本地主机扫描审计,等待扫描结束,查看扫描结果。
登录到Linux系统,切换到root用户,使用命令行方式安装Clamav 杀毒软件,安装完毕需要更新病毒库,执行扫描任务,等待扫描结束获取扫描结果,根据扫描结果删除恶意代码病毒;
登录到Linux系统,切换到root用户,下载Maldetect Linux恶意软件检测工具,解压缩后完成安装。运行扫描命令检测病毒,等待扫描结束获取扫描报告,根据扫描报告删除恶意病毒软件;
登录到Linux系统,切换到root用户,下载Chkrootkit后门检测工具包,解压缩后进入 Chkrootkit目录,使用gcc安装Chkrootkit,安装成功即开始Chkrootkit扫描工作,等待扫描结束,根据扫描结果恢复系统;
登录到Linux系统,切换到root用户,下载RKHunter 后门检测工具包,解压缩后进入 RKHunter 目录,执行命令安装RKHunter ,安装成功即开始启用后门检测工作,等待检测结束,根据检测报告更新 *** 作系统,打上漏洞对应补丁;
使用下面工具扫描Web站点:nikto、wa3f、sqlmap、safe3 … …
扫描Web站点的信息: *** 作系统类型、 *** 作系统版本、端口、服务器类型、服务器版本、Web站点错误详细信息、Web目录索引、Web站点结构、Web后台管理页面 …
测试sql注入,出现几个sql注入点
测试xss攻击,出现几个xss注入点
手动测试某些网页的输入表单,存在没有进行逻辑判断的表单,例如:输入邮箱的表单,对于非邮箱地址的输入结果,任然会继续处理,而不是提示输入错误,返回继续输入。
针对风险测试后得到的安全测试报告,修复系统存在的脆弱点与缺陷,并且进一步加强服务器的安全能力,可以借助一些安全工具与监控工具的帮助来实现。
对服务器本身存在的脆弱性与缺陷性进行的安全加固措施。
使用非root用户登录 *** 作系统,使用非root用户运行其他服务程序,如:web程序等;
web权限,只有web用户组用户才能 *** 作web应用,web用户组添加当前系统用户;
数据库权限,只有数据库用户组用户才能 *** 作数据库,数据库用户组添加当前系统用户;
根据安全审计、恶意代码检查、后门检测等工具扫描出来的结果,及时更新 *** 作系统,针对暴露的漏洞打上补丁。
对于发现的恶意代码病毒与后门程序等及时删除,恢复系统的完整性、可信行与可用性。
部署在服务器上的Web站点因为程序员编写代码时没有注意大多的安全问题,造成Web服务站点上面有一些容易被利用安全漏洞,修复这些漏洞以避免遭受入侵被破坏。
配置当前服务器隐藏服务器信息,例如配置服务器,隐藏服务器类型、服务器的版本、隐藏服务器管理页面或者限制IP访问服务器管理页面、Web站点错误返回信息提供友好界面、隐藏Web索引页面、隐藏Web站点后台管理或者限制IP访问Web站点后台。
使用Web代码过滤sql注入或者使用代理服务器过滤sql注入,这里更加应该使用Web代码过滤sql注入,因为在页面即将提交给服务器之前过滤sql注入,比sql注入到达代理服务器时过滤,更加高效、节省资源,用户体验更好,处理逻辑更加简单。1) 安装SNMP
略,请参阅LINUX系统SNMP安装说明,一般情况下Linux中 的均已经自动安装了SNMP服务。以下命令可以检测SNMP服务是否安装以及安装的文件包。
[root@idc ~]# rpm -qa |grep snmp
net-snmp-libs-512-11EL47
net-snmp-512-11EL47
2) 配置SNMP
按照如下方式修改/etc/snmp/snmpdconf文件
A、修改默认的community string(SUM中SNMP读值密码)
com2sec notConfigUser default public
将public修改为你才知道的字符串
将“default”改为你想哪台机器可以看到你 的snmp信息,比如SUM所在IP为:10101010, 就改成这个IP。不改表示所有机器充许。
B、把下面的#号去掉
#view mib2 included isoorgdodinternetmgmtmib-2 fc
启用全部功能可以使用如下一行(如果没有可以加入一行):
view all included 1 80
C、把下面的语句
access notConfigGroup "" any noauth exact systemview none none
改成:
access notConfigGroup "" any noauth exact mib2 none none
或是:
access notConfigGroup "" any noauth exact all none none
3) 启动与停止SNMP
一般使用:service snmpd start|stop|restart命令。或是:
#/etc/rcd/initd/snmpd restart
4) 防火墙
如果Linux启动了防火墙,请开放UDP的161端 口。确保Linux的iptables防火墙对SUM监控服务器开放 了udp 161端口的访问权限
可使用iptables L n 查看当前iptables规则
可编辑/etc/sysconfig/iptables文 件来修改iptables规则。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)