如何检查Linux系统服务器的安全性

如何检查Linux系统服务器的安全性,第1张

但由于该 *** 作系统是一个多用户 *** 作系统,黑客们为了在攻击中隐藏自己,往往会选择 Linux作为首先攻击的对象。那么,作为一名Linux用户,我们该如何通过合理的方法来防范Linux的安全呢?下面笔者搜集和整理了一些防范 Linux安全的几则措施,现在把它们贡献出来,恳请各位网友能不断补充和完善。 1、禁止使用Ping命令Ping命令是计算机之间进行相互检测线路完好的一个应用程序,计算机间交流数据的传输没有 经过任何的加密处理,因此我们在用ping命令来检测某一个服务器时,可能在因特网上存在某个非法分子,通过专门的黑客程序把在网络线路上传输的信息中途 窃取,并利用偷盗过来的信息对指定的服务器或者系统进行攻击,为此我们有必要在Linux系统中禁止使用Linux命令。在Linux里,如果要想使 ping没反应也就是用来忽略icmp包,因此我们可以在Linux的命令行中输入如下命令: echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢复使用ping命令,就可以输入 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all2、注意对系统及时备份为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Linux完好的系统进 行备份,最好是在一完成Linux系统的安装任务后就对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修 改过。如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后 可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高,那么可以将光盘设置为可启动的并且将验证工作作为系统启 动过程的一部分。这样只要可以通过光盘启动,就说明系统尚未被破坏过。 3、改进登录服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别,使用一个更安全的登录服务器 来取代Linux自身的登录工具也可以进一步提高安全。在大的Linux网络中,最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满 足所有系统登录需求并且拥有足够的磁盘空间的服务器系统,在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志 文件的能力。 4、取消Root命令历史记录在Linux下,系统会自动记录用户输入过的命令,而root用户发出的命令往往具有敏感的 信息,为了保证安全性,一般应该不记录或者少记录root的命令历史记录。为了设置系统不记录每个人执行过的命令,我们可以在Linux的命令行下,首先 用cd命令进入到/etc命令,然后用编辑命令来打开该目录下面的profile文件,并在其中输入如下内容: HISTFILESIZE=0
HISTSIZE=0当然,我们也可以直接在命令行中输入如下命令: ln -s /dev/null ~/bash_history5、为关键分区建立只读属性Linux的文件系统可以分成几个主要的分区,每个分区分别进行不同的配置和安装,一般情况 下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生 了改变,那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽 量将它们设置为只读,并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。 当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等,其自身的性质就决定了不能将它们设置为只读,但应该不允许它具有执行权限。 6、杀掉攻击者的所有进程假设我们从系统的日志文件中发现了一个用户从我们未知的主机登录,而且我们确定该用户在这台 主机上没有相应的帐号,这表明此时我们正在受到攻击。为了保证系统的安全被进一步破坏,我们应该马上锁住指定的帐号,如果攻击者已经登录到指定的系统,我 们应该马上断开主机与网络的物理连接。如有可能,我们还要进一步查看此用户的历史记录,再仔细查看一下其他用户是否也已经被假冒,攻击者是否拥有有限权 限;最后应该杀掉此用户的所有进程,并把此主机的IP地址掩码加入到文件hostsdeny中。 7、改进系统内部安全机制我们可以通过改进Linux *** 作系统的内部功能来防止缓冲区溢出,从而达到增强Linux系 统内部安全机制的目的,大大提高了整个系统的安全性。但缓冲区溢出实施起来是相当困难的,因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存 中的什么位置出现。缓冲区溢出预防起来也十分困难,系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此,许多人甚至包括 Linux Torvalds本人也认为这个安全Linux补丁十分重要,因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是,这些补丁也会导致对执行栈的 某些程序和库的依赖问题,这些问题也给系统管理员带来的新的挑战。 8、对系统进行跟踪记录为了能密切地监视黑客的攻击活动,我们应该启动日志文件,来记录系统的运行情况,当黑客在攻 击系统时,它的蛛丝马迹都会被记录在日志文件中的,因此有许多黑客在开始攻击系统时,往往首先通过修改系统的日志文件,来隐藏自己的行踪,为此我们必须限 制对/var/log文件的访问,禁止一般权限的用户去查看日志文件。当然,系统中内置的日志管理程序功能可能不是太强,我们应该采用专门的日志程序,来 观察那些可疑的多次连接尝试。另外,我们还要小心保护好具有根权限的密码和用户,因为黑客一旦知道了这些具有根权限的帐号后,他们就可以修改日志文件来隐 藏其踪迹了。 9、使用专用程序来防范安全有时,我们通过人工的方法来监视系统的安全比较麻烦,或者是不周密,因此我们还可以通过专业 程序来防范系统的安全,目前最典型的方法为设置陷井和设置蜜罐两种方法。所谓陷井就是激活时能够触发报警事件的软件,而蜜罐(honey pot)程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序,一旦出现入侵事件系统可以很快发出报警。在许多大的网络中, 一般都设计有专门的陷井程序。陷井程序一般分为两种:一种是只发现入侵者而不对其采取报复行动,另一种是同时采取报复行动。 10、将入侵消灭在萌芽状态入侵者进行攻击之前最常做的一件事情就是端号扫瞄,如果能够及时发现和阻止入侵者的端号扫瞄 行为,那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器,也可以是一个复杂的入侵检测系统或可配置的防火墙。我们可以采用诸 如Abacus Port Sentry这样专业的工具,来监视网络接口并且与防火墙交互 *** 作,最终达到关闭端口扫瞄攻击的目的。当发生正在进行的端口扫瞄时,Abacus Sentry可以迅速阻止它继续执行。但是如果配置不当,它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。正确地使用这个软件将能够有效地防止对 端号大量的并行扫瞄并且阻止所有这样的入侵者。 11、严格管理好口令前面我们也曾经说到过,黑客一旦获取具有根权限的帐号时,就可以对系统进行任意的破坏和攻 击,因此我们必须保护好系统的 *** 作口令。通常用户的口令是保存在文件/etc/passwd文件中的,尽管/etc/passwd是一个经过加密的文件, 但黑客们可以通过许多专用的搜索方法来查找口令,如果我们的口令选择不当,就很容易被黑客搜索到。因此,我们一定要选择一个确保不容易被搜索的口令。另外,我们最好能安装一个口令过滤工具,并借用该工具来帮助自己检查设置的口令是否耐得住攻击。

首先 、用top命令查看
top - 16:15:05 up 6 days, 6:25, 2 users, load average: 145, 177, 214
Tasks: 147 total, 1 running, 146 sleeping, 0 stopped, 0 zombie
Cpu(s): 02% us, 02% sy, 00% ni, 869% id, 126% wa, 00% hi, 00% si
Mem: 4037872k total, 4003648k used, 34224k free, 5512k buffers
Swap: 7164948k total, 629192k used, 6535756k free, 3511184k cached
查看126% wa
IO等待所占用的CPU时间的百分比,高过30%时IO压力高
其次、 用iostat -x 1 10
avg-cpu: %user %nice %sys %iowait %idle
000 000 025 3346 6629
Device: rrqm/s wrqm/s r/s w/s rsec/s wsec/s rkB/s wkB/s avgrq-sz avgqu-sz await svctm %util
sda 000 000 000 000 000 000 000 000 000 000 000 000 000
sdb 000 1122 1700 900 19200 921600 9600 460800 12379 13723 103343 1317 10010
sdc 000 000 000 000 000 000 000 000 000 000 000 000 000
查看%util 10010 %idle 6629
如果 %util 接近 100%,说明产生的I/O请求太多,I/O系统已经满负荷,该磁盘可能存在瓶颈。
idle小于70% IO压力就较大了,一般读取速度有较多的wait
同时可以结合vmstat 查看查看b参数(等待资源的进程数)
vmstat -1
如果你想对硬盘做一个IO负荷的压力测试可以用如下命令
time dd if=/dev/zero bs=1M count=2048 of=direct_2G
此命令为在当前目录下新建一个2G的文件
我们在新建文件夹的同时来测试IO的负荷情况

域名绑定

Tomcat服务绑定域名的方法

ECS Linux系统域名绑定host后ping测试不生效

Nginx绑定多个域名的方法

ECS Linux无法解析hosts里面绑定域名的排查方法

服务器登陆

ECS Linux无法远程连接的检查方法

ECS Linux远程ssh报错read: Connection reset by peer

ECS Linux ssh连接服务器报错CONNECTION RESET by peer

ECS Linux通过Xshell 配置密钥key免密码登录

ECS服务器Linux *** 作系统远程ssh密码错误

ECS Linux SSH服务配置异常导致连接提示bad configuration option错误

ECS Linux系统非root用户登入报“Resource temporarily unavailable”

ECS Linux服务器ssh远程连接需要验证证书

文件权限问题导致Linux ECS服务器SSH连接时输入密码后挂起

ssh登录报错-bash: fork: retry: Resource temporarily unavailable

ECS SSH提示“Disconnected:No supported authentication methods avai

ECS SSH客户端SecureCRT和PuTTY连接超时设置

ECS Linux系统登录提示信息

ECS CentOS系统进入单用户模式的方法

ECS Linux登陆时报错:Your account is Locked Maximum account of fail attempts was reac

ssh 连接提示 The host key database does not contain an entry for the hostname 的处理方法

ECS Linux 服务器通过远程管理终端登陆不显示

ECS Linux 无法 SSH 连接提示 ssh_exchange_identification: read: Connection reset by pee

Linux 无法远程开启 ssh 服务报错/var/empty/sshd must be owned by root and not group or wo

ECS Linux SSH 提示 account is currently not avaiable

ssh配置证书登录

Linux Centos 7 SSH无法连接

ECS Linux环境异常修改/etc/security/limitsconf导致SSH无法登录

ECS Linux服务器ssh登录正常,管理终端登录闪退

Gentoo SSH authentication failure无法远程

root用户被禁止ssh登录,提示pam_listfile(sshd:auth): Refused user root for service ssh

ECS Linux 服务器公钥密钥SSH登录

Linux无法远程

Linux_centos 系统ssh能登陆,远程终端管理无法登陆的排查思路

ECS Linux ssh登录时出现WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

limitsconf设置错误导致Linux系统ECS无法登陆

ECS Linux ssh host key文件丢失导致无法远程

使用秘钥认证方式远程登录Linux系统

ssh中由于Allowusers配置不当导致密码错误无法远程连接

ECS Linux系统设置只通过sftp连接不能通过ssh方式连接

ECS Linux服务器通过sshd_config限制用户登录的方法

ECS Linux启动sshd服务出现/var/empty/sshd无法访问

ECS Linux因redis自启失败导致系统无法正常启动

ECS Centos卡在启动进度条问题排查方法

ECS Linux服务器ssh连接提示:Too many authentication failures for root

ECS Linux服务器如何 *** 作SSH只对单个IP开放

用户ssh远程报错too many authentication failures for root

ECS Linux系统ssh登录命令行,显示“-bash-41#”,不能显示用户名和主机名

ECS linux结束正在登录的远程终端

Linux云服务器ssh服务启动失败的解决方法

ECS Linux服务器SSH出现报错Host key verification failed

ECS Linux服务器ssh免密码登录另外一台服务器

ECS Centos7系统ssh服务启动失败,导致ssh远程连接不上

ECS Linux服务器ssh禁止root用户登陆导致ssh远程连接失败

ECS Linux sshd重启报错must be owned by root and group or world-writable

禁用了ssh的密码认证方式导致无法登陆

ubuntu如何添加sudo用户且不需要录入密码

centos7下重启sshd服务的 *** 作方法

ECS Ubuntu 1404 64位系统管理终端实现图形化界面

Xshell或Putty连接Linux无法正常显示中文

ECS SSH客户端断开后保持进程继续运行

ECS RedHat Linux 配置SELinux导致SSH无法远程登录

ECS Linux服务器启动后立即关机

ECS Linux系统无法SSH免密码登陆

ECS Linux无法登陆module is unknown

ECS Linux服务器登录报错UNEXPECTED INCONSISTENCY;RUN fsck MANUALLY

ECS Linux服务器重启后卡在引导界面解决方法

ECS Linux服务器SSH权限错误导致无法远程处理

/etc/pamd/login中的无效配置导致ECS Linux登录失败

Linux服务器ssh远程连接提示Could not chdir to home directory解决方法

ECS Linux服务器root用户无法ssh远程登陆处理

ECS Linux 服务器解除ssh登陆后被锁定或暂停输入输出的终端

ECS linux服务器通过hostsallow和hostsdeny限制远程登录IP

ECS Linux系统sshd服务自动停止

ECS Linux系统sshd服务所需要的目录权限

ECS Linux服务器客户端登录失败系统提示welcome to emergency mode! after logging in type

服务器RSA Hash信息变化导致SSH登录出现Host key verification failed错误

ECS Linux系统重置后SSH无法连接的解决方法

ECS Linux 系统限制用户登陆方法

ECS SSH无法登陆提示 Did not receive identification string from IP,Read from sock faile

ECS Linux上SSH服务无法启动报错must be owned by root

ECS Linux文件系统挂载错误导致SSH无法远程连接

ECS Linux误修改系统目录属组引发SSH服务异常导致无法远程登录

ECS ssh无法登陆,提示fatal: No supported key exchange algorithms [preauth]

ECS Linux su切换用户时提示无法设置用户ID资源暂时不可用

ECS Linux安装启用NetworkManager服务导致无法远程连接

ECS Linux系统修改grubconf进入单用户方法

ssh 登陆服务器出现 Host key verification failed 告警

Linux认证题目汇总

Linux诞生于1991年10月,至今已有二十多年历史。Linux是一套免费且功能完整的UNIX软件。且它有32位和64位的 *** 作系统,运作稳定且有效率,被广泛用作服务器 *** 作系统。我收集了一些Linux认证题目汇总,希望大家认真练习!

1fsck对文件系统的检查最先是从文件系统的____开始的 (单选题)

AMBR B磁盘块 C超级块 D块链表

答案:C

2系统交换分区的类型代号为 (单选题)

A82 B83 C0b D17

答案:A

3如果我们需要设置一个文件,使它们作为可执行文件运行时,该进程是作为文件所有者的权限,此时我们需要额外设置该文件的_____。(单选题)

Aseg-GID位 B粘滞位 Cset-UID位 DUMASK

答案:C

4通过修改文件___,可以设定开机时候自动安装的文件系统(单选题)

A/etc/mtab B/etc/fastboot C/etc/fstab D/etc/inetdconf

答案:C

5/etc/fstab文件中,表示允许linux启动是的检查次序的参数在第几列信息栏中(单选题)

A4 B 5 C 6 D 其它

答案:C

6使用at规划任务是为了删除已规划好的工作任务,可使用___工具(单选题)

Aatq B atrm C rm D del

答案:B

7我们将逻辑分区建立在___分区上(单选题)

A从分区 B扩展分区 C主分区 D第二分区

答案:B

8执行ps命令,有如下输出,如果需要终止bash的运行,则采用的方法是(单选题)

PIDTTY TIME CMD

336pts/1 00:00:00 login

337pts/1 00:00:00 bash

356pts/1 00:00:00 ps

A#kill bash B #kill pts/l C #kill -9 337 D #kill !337

答案:C

9root文件系统一旦安装完毕,内核将启动名为___的程序,这也是指导过程完成后,内核运行的第一个程序。(单选题)

Alogin B rcd C init D startup

答案:C

10为了将归档文件/myftptgz解压缩到当前目录下,我们可以使用(单选)。

A:tarcvzf/myftptgz B:tar xvzf /myftptgz

C:tarvzfmytptgz D:tar ztvf /myftptgz

答案:B

11为了保证系统的安全,现在的LINUU系统一般将/etc/passwd密码文件加密后,保存在__文件(单选)。

A/etc/group B:etc/netgroup

c:/etc/libasafenotify D:etc/shadow

答案:D

12为起用分区的quota支持,需要修改/etc/fstab文件的`__内容(单选)。

A:mountoptions B:fsckorder

C:filesystemtype D:doupfrequency

答案:A

13我们一般使用__工具来建立分区上的文件系统(单选)

A:mknod B:fdisk C:format D:mkfs

答案:D

14init启动进程需要读取_____配置文件。(单选)

A:/etc/INITTAB B :sbin/init

C:/etc/sysvinit D:/bin/sh

答案:A

15NFS是一个基于XDR和RPC顶层的应用。作为系统之间的高层接口,本地客户机把指定的 *** 作翻译成一整套指令并传达给远程机器,然后远程机器返回传输结果,所以在使用NFS服务前, ________服务一定要打开。(单选题)

ANIS B NFS C TIP D PORTMAP

答案:D

16我们可以修改默认的启动级别为 _______,使得系统重启后自动采用 XWindow方式登录。(单选题)

A 3 B 5 C2 D 1

答案:B

17在使用edquota 配置组用户磁盘定额内容时,我们需要加上_______参数。(单选题)

A -u B -t C-a D -g

答案:D

18在tty1 上,执行下列命令的进程进程号为 _________。(单选题)

$chmod 644 dirtxt &

[3] 164

A 1 B 3 C 164 D 644

答案:C

19在/etc/crontab 文件中可以定义的执行任务的小时列表栏中,可以选择的范围是(单选题)

A0-12 B 1-12 C 0-23 D 1-24

答案:C

(未完待续) ;


1、类Unix系统(英文:Unix-like)是指继承UNIX的设计风格演变出来的系统(比如GNU/Linux、FreeBSD、OpenBSD、SUN公司的Solaris、Minix、QNX等),这些 *** 作系统虽然有的是自由软件,有的是商业软件,但都相当程度地继承了原始UNIX的特性,有许多相似处,但是它们却并不含有UNIX的源代码。


2、UNIX的源代码为SCO公司所有,属于商业软件,UNIX的商标权和UNIX标准认定属于OPENGROUP所有。由于UNIX标准认定价格昂贵,所以唯一获得UNIX标准认定的为苹果的MACOS系统。


3、Linux,全称GNU/Linux,是一种免费使用和自由传播的类UNIX *** 作系统,其内核由林纳斯·本纳第克特·托瓦兹于1991年10月5日首次发布,它主要受到Minix和Unix思想的启发,是一个基于POSIX的多用户、多任务、支持多线程和多CPU的 *** 作系统。


4、Linux的基本思想有两点:第一,一切都是文件;第二,每个文件都有确定的用途。其中第一条详细来讲就是系统中的所有都归结为一个文件,包括命令、硬件和软件设备、 *** 作系统、进程等等对于 *** 作系统内核而言,都被视为拥有各自特性或类型的文件。至于说Linux是基于Unix的,很大程度上也是因为这两者的基本思想十分相近。


5、Linux是一款免费的 *** 作系统,用户可以通过网络或其他途径免费获得,并可以任意修改其源代码。


6、Linux支持多用户,各个用户对于自己的文件设备有自己特殊的权利,保证了各用户之间互不影响。


7、Linux可以运行在多种硬件平台上,如具有x86、680x0、SPARC、Alpha等处理器的平台。此外Linux还是一种嵌入式 *** 作系统,可以运行在掌上电脑、机顶盒或 游戏 机上。2001年1月份发布的Linux 24版内核已经能够完全支持Intel64位芯片架构。


8、由于Linux系统的处理能力非常强悍,具备不可比拟的稳定性特征,因而Linux系统就不用经常进行重启,Linux系统的变化可以在配置的过程中实现,所以Linux服务器出现故障的概率比较小,所以很多企业组织在计算机配置的过程中经常使用Linux系统,从而降低服务器发生崩溃的可能性。


9、在Linux之下,远程的登录系统具备两种认证的形式:即密钥与密码认证。其中,密钥认证的形式,主要是将公钥储存在远程的服务器之上,私钥存储在本地。当进行系统登陆的时候,再通过本地的私钥,以及远程的服务器公钥,进行配对认证的 *** 作,若是认证的匹配度一致,则用户便能够畅通无阻的登录系统。此类认证的方式,并不会受到暴力破解的威胁。与此同时,只需要确保本地私钥的安全,使其不会被黑客所**即可,攻击者便不能够通过此类认证方式登陆到系统中。所以,推荐使用密钥方式进行系统登陆。


10、Linux *** 作系统的常用命令:


常用命令及技巧

1、date:打印或者设置系统的日期和时间

2、stty-a:可以查看或者打印控制字符(Ctrl-C、Ctrl-D、Ctrl-Z等)

3、passwd:用passwd-h查看

4、logout,login:登录shell的登录和注销命令

5、more,less,head tail:显示或部分显示文件内容

6、lp/lpstat/cancel,lpr/lpq/lprm:打印文件

7、chmod u+x:更改文件权限

8、rm -fr dir:删除非空目录

9、cp -R dir:拷贝目录

10、fg jobid:可以将一个后台进程放到前台

11、kill的作用:send a signal to a process、eg:kill-9发送的是SIG_KILL信号,具体发送什么信号可以通过man kill查看、

12、ps的用法,ps-e或ps-o pid,ppid,session,tpgid,comm(其中session显示的sessionid,tpgid显示前台进程组id,comm显示命令名称)

13 ip a 查看 ip 地址信息的命令

14 zcat /proc/configgz > config 到内核配置文件


关于Linux *** 作系统,你知道哪些知识点,可以在评论区补充!



欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/10275733.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-07
下一篇 2023-05-07

发表评论

登录后才能评论

评论列表(0条)

保存