まず、システム監査
1.1概要
1.2展開の監査
ソフトウェアのインストール
[root@proxy ~]# yum -y install audit
[root@proxy ~]# cat /etc/audit/auditd.conf
log_file = /var/log/audit/audit.log
[root@proxy ~]# systemctl start auditd //日志文件
auditctlコマンド
auditctlコマンド制御と監査システム設定のルールは、アクションがログ記録されるか決定します
[root@proxy ~]# auditctl -s //查询状态
[root@proxy ~]# auditctl -l //查看规则
[root@proxy ~]# auditctl -D //删除所有规则
定義暫定規則
auditctl -w -p特権-kログのパス名
[root@proxy ~]# auditctl -w /etc/passwd -p wa -k passwd_change
//设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
[root@proxy ~]# tailf /var/log/audit/audit.log //查看日志
永久的なルールを定義
コンフィギュレーション・ファイル/etc/audit/rules.d/audit.rules/
[プロキシルートを@〜]#Vimの/etc/audit/rules.d/audit.rule
-w / etc / passwdファイルWAを-p - passwd_changes K
-wは/ usr / sbinに/ -k partition_disks FDISK -Px
通过工具搜索日志
系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log,ausearch options -if file_name可以指定文件名。
```bash
[root@proxy ~]# auditctl -w /root/22.sh -p wa -k 22_wa
[root@proxy ~]# echo 33 >> 22.sh
[root@proxy ~]# ausearch -k 22_wa //查看日志
[root@proxy ~]# aureport //生成审计报告;是对整个日志的内容做统计
[root@proxy ~]# aureport -ts yesterday -te now //生成昨天到现在的审计报告,其他选项找man
ログの出力
時間、時間>月3月9日夜05時28分23秒2020
のユーザはuid = 0
コマンドCOMM =「XXXX」
コマンドパラメータの
実行結果の成功=はい
第二に、セキュリティサービス
nginxのセキュリティの最適化が含まれます:Doが同時実行を制限し、情報の修正版をモジュールを削除しないで、バッファオーバーフローを防止するための不正な要求を拒否します。
MySQLのセキュリティの最適化が含まれます:初期化スクリプトのセキュリティ、パスワードセキュリティ、バックアップと復元、データのセキュリティを。
Tomcatのセキュリティの最適化は、次のとおりです。隠すバージョン情報、右側を下に開始するには、デフォルトのテストページを削除します。
2.1 nginxのセキュリティ
削除不要なモジュール
のソフトウェアをインストールするには、コンパイル時にカスタマイズすることができますどのような機能やモジュールだけでなく、必要に必要のないモジュール、パラメータはいくつかのモジュール-with使用して開くことができるソフトウェアのNignxモジュラー設計は、-without Aを使用して無効にすることができますこれらのモジュール。右常にインストールプログラムを最小化!
ここでは無効に特定のモジュールケースは以下のとおりです。
[root@proxy ~]# tar -xf nginx-1.12.tar.gz
[root@proxy ~]# cd nginx-1.12
[root@proxy nginx-1.12]# ./configure \
>--without-http_autoindex_module \ //禁用自动索引文件目录模块,默认是开启的
>--without-http_ssi_module
[root@proxy nginx-1.12]# make
[root@proxy nginx-1.12]# make install
修正されたバージョン情報、および非表示の特定のバージョン番号
デフォルトnginxのことでは抜け穴の特定のバージョンを確認するためにそれらを緩和、利便性をもたらすには、攻撃者に情報をバージョン情報とバージョン番号が表示されます。
あなたは次の操作を行い、バージョン番号の情報を保護する必要がある場合は、バージョン番号を非表示にすることができます
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
… …
http{
server_tokens off; //在http下面手动添加这么一行
… …
}
[root@proxy ~]# nginx -s reload
[root@proxy ~]# curl -I http://192.168.4.5 //查看服务器响应的头部信息
ただし、サーバーソフトウェアがnginxのを示すために使用され、この情報は、以下の方法で変更することができます。
[root@proxy nginx-1.12]# vim +48 src/http/ngx_http_header_filter_module.c
//注意:vim这条命令必须在nginx-1.12源码包目录下执行!!!!!!
//该文件修改前效果如下:
static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;
//下面是我们修改后的效果:
static u_char ngx_http_server_string[] = "Server: Jacob" CRLF;
static u_char ngx_http_server_full_string[] = "Server: Jacob" CRLF;
static u_char ngx_http_server_build_string[] = "Server: Jacob" CRLF;
//修改完成后,再去编译安装Nignx,版本信息将不再显示为Nginx,而是Jacob
[root@proxy nginx-1.12]# ./configure
[root@proxy nginx-1.12]# make && make install
[root@proxy nginx-1.12]# killall nginx
[root@proxy nginx-1.12]# /usr/local/nginx/sbin/nginx //启动服务
[root@proxy nginx-1.12]# curl -I http://192.168.4.5 //查看版本信息验证
2.2限界の同時実行
DDOS攻撃者は、(などの接続数、帯域幅、を含む)サーバリソースを占有、多数の同時接続を送り、これは待ちの状態で、通常のユーザーにつながるか、サーバーにアクセスすることはできません。
次のようにngx_http_limit_req_module nginxのモジュールを提供し、DDOS攻撃のリスクを減らすことができる、操作は次のとおりです。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
… …
http{
… …
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
listen 80;
server_name localhost;
limit_req zone=one burst=5;
}
}
//备注说明:
//limit_req_zone语法格式如下:
//limit_req_zone key zone=name:size rate=rate;
//上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
//1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
//每秒中仅接受1个请求,多余的放入漏斗
//漏斗超过5个则报错
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
[root@client ~]# ab -c 100 -n 100 http://192.168.4.5/ //客户端使用ab测试软件测试效果
2.3は、不正な要求を拒否します
サイトは、ユーザーが、サーバーに必要なリソースへのアクセスを接続することができ、多くの方法で定義されているHTTPプロトコルを使用しています。しかし、一般的に唯一の実用化が取得し、ポストする必要があります。
表に示すようにHTTPの方法は、特定の意味を要求-1。
無修正サーバ構成する前に、別の試験方法を使用してクライアントの要求:
[root@client ~]# curl -i -X GET http://192.168.4.5 //正常
[root@client ~]# curl -i -X HEAD http://192.168.4.5 //正常
//curl命令选项说明:
//-i选项:访问服务器页面时,显示HTTP的头部信息
//-X选项:指定请求服务器的方法
nginxのは、以下が提供する不正な要求メソッドを拒否することができます:
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
http{
server {
listen 80;
#这里,!符号表示对正则取反,~符号是正则匹配符号
#如果用户使用非GET或POST方法访问网站,则retrun返回444的错误信息
if ($request_method !~ ^(GET|POST)$ ) {
return 444;
}
}
}
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
サーバー構成を変更した後、クライアントは異なる試験方法を使用して要求します。
[root@client ~]# curl -i -X GET http://192.168.4.5 //正常
[root@client ~]# curl -i -X HEAD http://192.168.4.5 //报错
2.4バッファオーバーフローを防ぐために
クライアントがサーバーに接続すると、サーバーは接続状態に関する情報を格納するために使用されるキャッシュの様々な可能になります。
攻撃者が多数の接続要求を送信し、サーバは制限をキャッシュ行わない場合は、オーバーフローメモリデータ(スペースの不足)することが可能です。
nginxのは、設定ファイルを変更し、さまざまなバッファパラメータを調整し、効果的にこぼれるのリスクを減らすことができます。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
http{
client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
… …
}
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
2.5データベースのセキュリティ
初期のセキュリティスクリプト
MariaDBやMySQLのインストール後、デフォルトのrootパスワードなし、と誰もが操作できることをテストテスト・データベースを提供します。私たちは、rootのパスワードを設定するのに役立ち、そして別のホストからリモート・データベースに着陸ルートを禁止し、テスト・データベースのテストを削除することができ、スクリプトのmysql_secure_installationの名前があります。
[root@proxy ~]# systemctl status mariadb
//确保服务已启动
[root@proxy ~]# mysql_secure_installation
//执行初始化安全脚本
パスワードのセキュリティを
手動でMariaDBやMySQLデータベースのパスワード方式を変更します。
[root@proxy ~]# mysqladmin -uroot -predhat password 'mysql'
//修改密码,旧密码为redhat,新密码为mysql
[root@proxy ~]# mysql -uroot -pmysql
MariaDB [(none)]>set password for root@'localhost'=password('redhat');
//使用账户登录数据库,修改密码
MariaDB [(none)]> select user,host,password from mysql.user;
+--------+---------+---------------------------------------------+
| user | host | password |
+--------+---------+---------------------------------------------+
| root | localhost | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
| root | 127.0.0.1 | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
| root | ::1 | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
+--------+-----------+--------------------------------------------+
パスワードの変更に成功、およびパスワードがデータベースに暗号化されて、問題は何ですか?問題は、あなたのパスワードを明示的に記録されていることを確認するには、以下の平文のパスワードです。
[root@proxy ~]# cat .bash_history
mysqladmin -uroot -pxxx password 'redhat'
//通过命令行修改的密码,bash会自动记录历史,历史记录中记录了明文密码
[root@proxy ~]# cat .mysql_history
set password for root@'localhost'=password('redhat');
select user,host,password from mysql.user;
flush privileges;
//通过mysql命令修改的密码,mysql也会有所有操作指令的记录,这里也记录了明文密码
またビンログログデータベースはまた、(5.6バージョンの修正後)、プレーンテキストのパスワードを持っています。
どのように解決するには?
1.は、クリアテキストログインを使用したバージョン5.6、後に適切なバージョンを選択していない、自分の履歴を管理
TCP層からファイアウォールのACLの設定(ネットワーク・データベース外の連絡先の禁止)を使用して、(加害者を見つけるために)2.ログ、行動監査。
データのバックアップと復元
まず、バックアップデータベース(ユーザー名はrootであることを注意し、パスワードはRedHatのです):
[root@proxy ~]# mysqldump -uroot -predhat mydb table > table.sql
//备份数据库中的某个数据表
[root@proxy ~]# mysqldump -uroot -predhat mydb > mydb.sql
//备份某个数据库
[root@proxy ~]# mysqldump -uroot -predhat --all-databases > all.sql
//备份所有数据库
次に、データベースを復元(ユーザー名はrootであることに注意してください、パスワードはRedHatのです):
[root@proxy ~]# mysql -uroot -predhat mydb < table.sql //还原数据表
[root@proxy ~]# mysql -uroot -predhat mydb < mydb.sql //还原数据库
[root@proxy ~]# mysql -uroot -predhat < all.sql //还原所有数据库
2.6データセキュリティ
サーバー(192.168.4.5)には、データベース・アカウントを作成します。
[root@proxy ~]# mysql -uroot -predhat
//使用管理员,登陆数据库
MariaDB [(none)]> grant all on *.* to tom@'%' identified by '123';
//创建一个新账户tom
tcpdumpのパケットキャプチャ(192.168.4.5)を使用します
[root@proxy ~]# tcpdump -w log -i any src or dst port 3306
//抓取源或目标端口是3306的数据包,保存到log文件中
クライアント(192.168.4.100)は、リモートからのデータベースサーバ(192.168.4.5)に上陸しました
[root@client ~]# mysql -utom -p123 -h 192.168.4.5
//在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器(192.168.4.5)
//用户名为tom,密码为123
MariaDB [(none)]> select * from mysql.user;
//登陆数据库后,任意执行一条查询语句
データパケットを取得するために、サーバーに戻って確認してください
どのようにクリアテキストで問題を解決するには?
ローカルデータベースからログインし、サーバへのSSHリモート接続を使用して、そして後に(ネットワーク環境が知らない人をキャプチャしていないため、ネットワーク内のデータの伝送を避けるため)。
または(ネットワークに送信されるデータが暗号化されていることを確認するために)HTTP + SSLは、MySQLと同様に、SSL MySQLサーバを使用してSSL暗号化をサポートして暗号化されてもよいです。
2.7 Tomcatのセキュリティ
マスター設定ファイル(隠しバージョン情報)Tomcatの変更、バージョン情報を非表示にする
サーバーのバージョン情報を表示するコマンドを使用して、変更されていない旧バージョン情報
注:プロキシIPアドレス192.168.2.5がプロキシ192.168.2.100、クライアントアクセスサーバーとして、ここで使用されています。
[root@proxy ~]# curl -I http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看头部信息
[root@proxy ~]# curl -I http://192.168.2.100:8080
//访问存在的页面文件,查看头部信息
[root@proxy ~]# curl http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看错误信息
Tomcatの変更コンフィギュレーションファイル、(192.168.2.100で動作)修正バージョン情報:
[root@web1 tomcat]# yum -y install java-1.8.0-openjdk-devel
[root@web1 tomcat]# cd /usr/local/tomcat/lib/
[root@web1 lib]# jar -xf catalina.jar
[root@web1 lib]# vim org/apache/catalina/util/ServerInfo.properties
//根据自己的需要,修改版本信息的内容
[root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh //关闭服务
[root@web1 lib]# /usr/local/tomcat/bin/startup.sh //启动服务
修正後は、クライアントは再び(操作192.168.2.5中)バージョン情報を表示するには:
[root@proxy ~]# curl -I http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看头部信息
[root@proxy ~]# curl -I http://192.168.2.100:8080
//访问存在的页面文件,查看头部信息
[root@proxy ~]# curl http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看错误信息
(192.168.2.100で動作)サーバのパラメータを手動で追加、サーバの設定ファイルTOMCAT再び改変、変更されたバージョン情報:
[root@web1 lib]# vim /usr/local/tomcat/conf/server.xml
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000" redirectPort="8443" server="jacob" />
[root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh //关闭服务
[root@web1 lib]# /usr/local/tomcat/bin/startup.sh //启动服务
修正後は、クライアントは再び(操作192.168.2.5中)バージョン情報を表示するには:
2.8ダウングレード開始
デフォルトの管理者アカウントのルートシステムを使用して、Tomcatは普通のユーザーで利用するようにサービスを開始し、サービスを開始するために進みました。
[root@web1 ~]# useradd tomcat
[root@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
//修改tomcat目录的权限,让tomcat账户对该目录有操作权限
[root@web1 ~]# su -c '/usr/local/tomcat/bin/startup.sh' tomcat
//使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务
[root@web1 ~]# chmod +x /etc/rc.local //该文件为开机启动文件
[root@web1 ~]# vim /etc/rc.local //修改文件,添加如下内容
su -c /usr/local/tomcat/bin/startup.sh tomcat
デフォルトのテストページを削除します
[root@web1 ~]# rm -rf /usr/local/tomcat/webapps
三、、Linuxのセキュリティパッチ
パッチの差分とパッチツールの使用
:要件
使用diffを比較するファイルの差分
パッチファイルを生成するために差分を使用して
古いバージョンにパッチを適用するpatchコマンドを使用して
diffのコマンドの共通オプション:
(パッチを使用して)-uヘッダ情報出力統一コンテンツ、コンピュータを修正する必要のあるファイルを知っている
すべてのリソース(あなたは、ディレクトリを比較することができます)コントラストディレクトリを再帰的に-r
テキストとしてすべてのファイル-a(含みますバイナリ)
第二のファイルになるためにどのように空のファイル(空のファイルとして-Nフリーのファイル)
3.1比較差単一のファイル
1)スクリプトは、2つのバージョン、バージョンV1のための1つに書き込まれ、v2はバージョンです。
[root@proxy ~]# cat test1.sh //v1版本脚本
#!/bin/bash
echo "hello wrld"
[root@proxy ~]# cat test2.sh //v2版本脚本
#!/bin/bash
echo "hello the world"
echo "test file"
2)構文diffコマンドを使用して
、ファイルの異なるバージョンのビューの違いにdiffコマンドを使用します。
[root@proxy ~]# diff test1.sh test2.sh //查看文件差异
[root@proxy ~]# diff -u test1.sh test2.sh //查看差异,包含头部信息
3)単一ファイルのコードのパッチを適用するパッチコマンドを使用して
生成パッチファイルを
[root@proxy demo]# diff -u test1.sh test2.sh > test.patch
コマンドパッチのパッチを使用し
たコードと同じディレクトリにコードをパッチ
[root@proxy demo]# yum -y install patch
[root@proxy demo]# patch -p0 < test.patch //打补丁
patching file test1.sh
//patch -pnum(其中num为数字,指定删除补丁文件中多少层路径前缀)
//如原始路径为/u/howard/src/blurfl/blurfl.c
//-p0则整个路径不变
//-p1则修改路径为u/howard/src/blurfl/blurfl.c
//-p4则修改路径为blurfl/blurfl.c
//-R(reverse)反向修复,-E修复后如果文件为空,则删除该文件
[root@proxy demo]# patch -RE < test.patch //还原旧版本,反向修复
ディレクトリ内のすべてのファイルの違いの比較3.2
1)実験環境を準備します
[root@proxy demo]# tree source1/ //source1目录下2个文件
|-- find
`-- test.sh
[root@proxy demo]# tree source2/ //source1目录下3个文件
|-- find
|-- test.sh
`-- tmp.txt
//注意:两个目录下find和test.sh文件内容不同,source2有tmp.txt而source1没有该文件
2)パッチファイルを作ります
[root@proxy demo]# diff -u source1/ source2/
//仅对比了文本文件test.sh;二进制文件、tmp都没有对比差异,仅提示,因为没有-a和-N选项
[root@proxy demo]# diff -Nu source1/ source2/
//对比了test.sh,并且使用source2目录的tmp.txt与source1的空文件对比差异。
[root@proxy demo]# diff -Nua source1/ source2/
//对比了test.sh、tmp.txt、find(程序)。
3)すべてのコードのディレクトリパッチのパッチコマンドを使用します
材料のために以前作成したソース1とソース2ディレクトリを使用してコードの下では、パッチファイルを生成します
[root@proxy ~]# cd demo
[root@proxy demo]# diff -Nuar source1/ source2/ > source.patch
コードにパッチを適用するpatchコマンドを使用します
[root@proxy demo]# ls
source1 source2 source.patch
[root@proxy demo]# cat source.patch //对比的文件有路径信息
--- source1/test.sh 2018-02-07 22:51:33.034879417 +0800
+++ source2/test.sh 2018-02-07 22:47:32.531754268 +0800
@@ -1 +1 @@
-hello world
+hello the world
[root@proxy demo]# cd source1
[root@proxy source1]# patch -p1 < ../source.patch
