audit审计
权限可以是rwx ,a文件或目录的属性发生变化 -k 后面的可以自定义一个名称
安装审计软件包,并启动服务
[root@web1 ~]# yum -y install audit
[root@web1 ~]# systemctl enable --now auditd
P2 配置审计
查看审计状态,及审计规则
[root@web1 ~]# auditctl -s #查看状态
[root@web1 ~]# auditctl -l #查看规则
[root@web1 ~]# auditctl -D #删除规则
添加临时审计规则记录/etc/passwd文件变化
[root@web1 ~]# auditctl -w /etc/passwd -p rw -k passwd_rules #-p后面加审计的行为,可以跟r,w,x,a(文件或者目录的属性发生变化),-k给这条审计取的名称,便于识别
[root@web1 ~]# cat /etc/passwd #终端一查看文件
[root@web1 ~]# useradd dd #创建用户
[root@web1 ~]# ausearch -k passwd_rules -i | grep useradd
日志产生的位置:/var/log/audit/audit.log
NGINX加固
--with-模块 --without-模块
隐藏版本 server_tokens off
拒绝非法请求 if($request_method !~^(GET|POST)$){
return 44444;
}
限制并发量
防止缓存溢出
账户安全(chage)
账户有效期
-l查看 -E 设置 -1
chage -l xxxx账户名
chage -E 时间 账户名称
chage -E -1 账户名
密码锁定
-l -S -u
passwd -l 账户名称
passwd -S 账户名称
passwd -u 账户名称
文件安全(chattr)
锁定文件 +i 仅追加文件+a
chattr +a 文件名称
chattr +i 文件名称
chattr -a 文件名称
chattr -i 文件名称
关闭不需要的服务(或者卸载)
cups.service 打印服务
postfix.service 邮件服务
NetworkManager.service 网络管理服务(network可以替代)
firewalld 防火墙(iptables可以替代)
atd.service 一次性计划任务(crond可以替代)
bluetooth.service 蓝牙服务
autofs.service 自动挂载
pcscd.service 智能卡设备资源管理器
用户提权
su - 默认root 或者根据用户切换
sudo
修改/etc/sudoers xxx 主机=(root) 命令
!可以取反
ssh配置
/etc/ssh/sshd_config
禁止root登录: PermitRootLogin no
限时登录 LoginGraceTime 1m
白名单AllowUser
黑名单DenyUser
加密与解密
md5sum文件名称
对称加密 gpg -c gpg -d
AIDE入侵检测
/etc/aide.conf
被攻击前 aide --init
被攻击后,校验数据mv aide.db.new.gz aide.db.gz
aide --check
抓包与扫描
格式:nmap [扫描类型] [选项] <扫描目标>
常用的扫描类型
-sS TCP SYN扫描(半开)
-sT TCP连接扫描(全开)
-sU UDP扫描
-sP ICMP扫描
-A目标系统全面分析
tcpdump -i 网卡名 -A host 192.168.2.5 and tcp port 21
-A转为ACSII码,以方便阅读
-w将数据包信息保存到指定文件
-r从指定文件读取数据包信息
-i指定监控的网络接口(默认监听第一个网卡)
类型 host net port portrange
方向 src dst
协议 tcp udp ip wlan arp
多个条件组合and or not