2ケース2:強化、共通のセキュリティ・サービス
2.1問題
この場合は、主に次のタスクのアクションを実行するには、一般的なネットワークサービスのセキュリティを強化するために、最適化が必要です。
- nginxの設定最適化セキュリティサービス
- MySQLデータベースのセキュリティ設定の最適化
- Tomcatのセキュリティの設定を最適化
2.2プログラム
nginxのセキュリティの最適化が含まれます:Doが同時実行を制限し、情報の修正版をモジュールを削除しないで、バッファオーバーフローを防止するための不正な要求を拒否します。
MySQLのセキュリティの最適化が含まれます:初期化スクリプトのセキュリティ、パスワードセキュリティ、バックアップと復元、データのセキュリティを。
Tomcatのセキュリティの最適化は、次のとおりです。隠すバージョン情報、右側を下に開始するには、デフォルトのテストページを削除します。
ステップ2.3
この場合は、以下の手順で達成する必要があります。
ステップ1:nginxの最適化サービスのセキュリティ設定
1)不要なモジュールを削除して
nginxのは、モジュール式のソフトウェア設計であるだけでなく、機能とモジュールが必要なこれらのモジュールを必要としないものを、パラメータはいくつかのモジュール-with使用して開くことができますソフトウェアをインストールするには、コンパイル時にカスタマイズすることができ、あなたは-without使用することができます無効に特定のモジュール。右常にインストールプログラムを最小化!
ここでは無効に特定のモジュールケースは以下のとおりです。
[root@proxy ~]# tar -xf nginx-1.12.tar.gz
[root@proxy ~]# cd nginx-1.12
[root@proxy nginx-1.12]# ./configure \
>--without-http_autoindex_module \ //禁用自动索引文件目录模块
>--without-http_ssi_module
[root@proxy nginx-1.12]# make
[root@proxy nginx-1.12]# make install
2)修正バージョン情報、および非表示の特定のバージョン番号
デフォルトnginxのことでは抜け穴の特定のバージョンを確認するためにそれらを緩和、利便性をもたらすには、攻撃者に情報をバージョン情報とバージョン番号が表示されます。
バージョン番号情報が操作を実行するために、遮蔽する必要がある場合、バージョン番号を隠すことができます。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
… …
http{
server_tokens off; //在http下面手动添加这么一行
… …
}
[root@proxy ~]# nginx -s reload
[root@proxy ~]# curl -I http://192.168.4.5 //查看服务器响应的头部信息
ただし、サーバーソフトウェアがnginxのを示すために使用され、この情報は、以下の方法で変更することができます。
[root@proxy nginx-1.12]# vim +48 src/http/ngx_http_header_filter_module.c
//注意:vim这条命令必须在nginx-1.12源码包目录下执行!!!!!!
//该文件修改前效果如下:
static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;
//下面是我们修改后的效果:
static u_char ngx_http_server_string[] = "Server: Jacob" CRLF;
static u_char ngx_http_server_full_string[] = "Server: Jacob" CRLF;
static u_char ngx_http_server_build_string[] = "Server: Jacob" CRLF;
//修改完成后,再去编译安装Nignx,版本信息将不再显示为Nginx,而是Jacob
[root@proxy nginx-1.12]# ./configure
[root@proxy nginx-1.12]# make && make install
[root@proxy nginx-1.12]# killall nginx
[root@proxy nginx-1.12]# /usr/local/nginx/sbin/nginx //启动服务
[root@proxy nginx-1.12]# curl -I http://192.168.4.5 //查看版本信息验证
3)同時の量を制限
DDOS攻撃者は、などの接続数、帯域幅、などのサーバリソースを()タイアップ、多数の同時接続を送り、これは待ちの状態で、通常のユーザーにつながるか、サーバーにアクセスすることはできません。
次のようにngx_http_limit_req_module nginxのモジュールを提供し、DDOS攻撃のリスクを減らすことができる、操作は次のとおりです。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
… …
http{
… …
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
listen 80;
server_name localhost;
limit_req zone=one burst=5;
}
}
//备注说明:
//limit_req_zone语法格式如下:
//limit_req_zone key zone=name:size rate=rate;
//上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
//1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
//每秒中仅接受1个请求,多余的放入漏斗
//漏斗超过5个则报错
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
ABテストの結果を使用してクライアントソフトウェア:
[root@client ~]# ab -c 100 -n 100 http://192.168.4.5/
4)要求が無効である拒否
のサイトには、ユーザーは、サーバーに必要なリソースへのアクセスを接続することができ、多くの方法で定義されているHTTPプロトコルを使用しています。しかし、一般的に唯一の実用化が取得し、ポストする必要があります。
HTTPリクエストメソッドの意味は、表に示されています。
無修正サーバ構成する前に、別の試験方法を使用してクライアントの要求:
[root@client ~]# curl -i -X GET http://192.168.4.5 //正常
[root@client ~]# curl -i -X HEAD http://192.168.4.5 //正常
//curl命令选项说明:
//-i选项:访问服务器页面时,显示HTTP的头部信息
//-X选项:指定请求服务器的方法
nginxのはによって提供さ不正な要求メソッドを拒否できます。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
http{
server {
listen 80;
#这里,!符号表示对正则取反,~符号是正则匹配符号
#如果用户使用非GET或POST方法访问网站,则retrun返回444的错误信息
if ($request_method !~ ^(GET|POST)$ ) {
return 444;
}
}
}
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
サーバー構成を変更した後、クライアントは異なる試験方法を使用して要求します。
[root@client ~]# curl -i -X GET http://192.168.4.5 //正常
[root@client ~]# curl -i -X HEAD http://192.168.4.5 //报错
4)、バッファオーバーフローを防止するために
、クライアントがサーバーに接続するとき、サーバは、接続のステータス情報を格納するために使用される様々なバッファを可能にするであろう。
攻撃者が多数の接続要求を送信し、サーバは制限をキャッシュ行わない場合は、オーバーフローメモリデータ(スペースの不足)することが可能です。
nginxのは、設定ファイルを変更し、さまざまなバッファパラメータを調整し、効果的にこぼれるのリスクを減らすことができます。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
http{
client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
… …
}
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
ステップ2:データベースのセキュリティ
1)初期化スクリプトのセキュリティ
MariaDBやMySQLのインストール後、デフォルトのrootパスワードなし、と誰もが操作できることをテストテスト・データベースを提供します。私たちは、ルート、rootログイン用のパスワードを設定するのに役立ち、別のホストからリモートデータベースを禁止し、テスト・データベースのテストを削除することができ、スクリプトのmysql_secure_installationの名前があります。
[root@proxy ~]# systemctl status mariadb
//确保服务已启动
[root@proxy ~]# mysql_secure_installation
//执行初始化安全脚本
2)セキュリティパスワードを
手動でMariaDBやMySQLデータベースのパスワード方式を変更します。
[root@proxy ~]# mysqladmin -uroot -predhat password 'mysql'
//修改密码,旧密码为redhat,新密码为mysql
[root@proxy ~]# mysql -uroot -pmysql
MariaDB [(none)]>set password for root@'localhost'=password('redhat');
//使用账户登录数据库,修改密码
MariaDB [(none)]> select user,host,password from mysql.user;
+--------+---------+---------------------------------------------+
| user | host | password |
+--------+---------+---------------------------------------------+
| root | localhost | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
| root | 127.0.0.1 | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
| root | ::1 | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
+--------+-----------+--------------------------------------------+
パスワードの変更に成功、およびパスワードがデータベースに暗号化されて、問題は何ですか?問題は、あなたのパスワードを明示的に記録されていることを確認するには、以下の平文のパスワードです。
[root@proxy ~]# cat .bash_history
mysqladmin -uroot -pxxx password 'redhat'
//通过命令行修改的密码,bash会自动记录历史,历史记录中记录了明文密码
[root@proxy ~]# cat .mysql_history
set password for root@'localhost'=password('redhat');
select user,host,password from mysql.user;
flush privileges;
//通过mysql命令修改的密码,mysql也会有所有操作指令的记录,这里也记录了明文密码
またビンログログデータベースはまた、(5.6バージョンの修正後)、プレーンテキストのパスワードを持っています。
どのように解決するには?
自分の歴史の良い管理は、TCP層(外部ネットワークの連絡先データベースを禁止する)からファイアウォール設定ACLを使用して、(加害者を見つけるために)5.6バージョン、ログ、行動監査の適切なバージョンを選択した後、クリアテキストログインを使用していない
3)データのバックアップと復元します
まず、データベースをバックアップ(ユーザー名はrootであることに注意してください、パスワードはRedHatのです):
[root@proxy ~]# mysqldump -uroot -predhat mydb table > table.sql
//备份数据库中的某个数据表
[root@proxy ~]# mysqldump -uroot -predhat mydb > mydb.sql
//备份某个数据库
[root@proxy ~]# mysqldump -uroot -predhat --all-databases > all.sql
//备份所有数据库
次に、データベースを復元(ユーザー名はrootであることに注意してください、パスワードはRedHatのです):
[root@proxy ~]# mysql -uroot -predhat mydb < table.sql //还原数据表
[root@proxy ~]# mysql -uroot -predhat mydb < mydb.sql //还原数据库
[root@proxy ~]# mysql -uroot -predhat < all.sql
4)データセキュリティ
サーバー(192.168.4.5)には、データベース・アカウントを作成します。
[root@proxy ~]# mysql -uroot -predhat
//使用管理员,登陆数据库
MariaDB [(none)]> grant all on *.* to tom@'%' identified by '123';
//创建一个新账户tom
tcpdumpのパケットキャプチャ(192.168.4.5)を使用します
[root@proxy ~]# tcpdump -w log -i any src or dst port 3306
//抓取源或目标端口是3306的数据包,保存到log文件中
リモートログインサーバーからクライアント(192.168.4.100)データベース(192.168.4.5)
[root@client ~]# mysql -utom -p123 -h 192.168.4.5
//在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器(192.168.4.5)
//用户名为tom,密码为123
MariaDB [(none)]> select * from mysql.user;
//登陆数据库后,任意执行一条查询语句
データパケットを取得するために、サーバーに戻って確認してください
[root@proxy ~]# tcpdump -A -r log
//使用tcpdump查看之前抓取的数据包,很多数据库的数据都明文显示出来
どのように解決するには?
ローカルデータベースからログインし、サーバへのSSHリモート接続を使用して、そして後に(ネットワーク環境が知らない人をキャプチャしていないため、ネットワーク内のデータの伝送を避けるため)。
それとも、HTTP + SSLは、MySQLと同様に、暗号化MySQLサーバにSSLを使用することができます(ネットワークに送信されるデータが暗号化されていることを確認するため)SSL暗号化をサポートしています。
ステップ3:Tomcatのセキュリティ
1)Tomcatのメイン設定ファイル(隠しバージョン情報)を変更、バージョン情報を非表示にする
サーバーのバージョン情報を表示するコマンドを使用して、変更されていない旧バージョン情報を
プロキシIPアドレス192.168.2.5プロキシクライアントアクセス192.168.2.100として、ここで使用されます。ノートをサーバー。
[root@proxy ~]# curl -I http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看头部信息
[root@proxy ~]# curl -I http://192.168.2.100:8080
//访问存在的页面文件,查看头部信息
[root@proxy ~]# curl http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看错误信息
変更Tomcatの設定ファイル、(192.168.2.100で動作)修正バージョン情報:
[root@web1 tomcat]# yum -y install java-1.8.0-openjdk-devel
[root@web1 tomcat]# cd /usr/local/tomcat/lib/
[root@web1 lib]# jar -xf catalina.jar
[root@web1 lib]# vim org/apache/catalina/util/ServerInfo.properties
//根据自己的需要,修改版本信息的内容
[root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh //关闭服务
[root@web1 lib]# /usr/local/tomcat/bin/startup.sh //启动服务
修正後は、クライアントは再び(操作192.168.2.5中)バージョン情報を表示するには:
[root@proxy ~]# curl -I http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看头部信息
[root@proxy ~]# curl -I http://192.168.2.100:8080
//访问存在的页面文件,查看头部信息
[root@proxy ~]# curl http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看错误信息
(192.168.2.100で動作)サーバのパラメータを手動で追加、再びTomcatサーバ構成ファイル、変更されたバージョン情報を更新日:
[root@web1 lib]# vim /usr/local/tomcat/conf/server.xml
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000" redirectPort="8443" server="jacob" />
[root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh //关闭服务
[root@web1 lib]# /usr/local/tomcat/bin/startup.sh //启动服务
修正後は、クライアントは再び(操作192.168.2.5中)バージョン情報を表示するには:
[root@proxy ~]# curl -I http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看头部信息
[root@proxy ~]# curl -I http://192.168.2.100:8080
//访问存在的页面文件,查看头部信息
[root@proxy ~]# curl http://192.168.2.100:8080/xx
//访问不存在的页面文件,查看错误信息
2)スタートダウングレード
サービスを開始するために、高度なシステム管理者アカウントのルートを使用して、デフォルトのTomcatを、一般ユーザの利用するためにサービスを開始します。
[root@web1 ~]# useradd tomcat
[root@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
//修改tomcat目录的权限,让tomcat账户对该目录有操作权限
[root@web1 ~]# su -c /usr/local/tomcat/bin/startup.sh tomcat
//使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务
[root@web1 ~]# chmod +x /etc/rc.local //该文件为开机启动文件
[root@web1 ~]# vim /etc/rc.local //修改文件,添加如下内容
su -c /usr/local/tomcat/bin/startup.sh tomcat
3)デフォルトのテストページを削除します。
[root@web1 ~]# rm -rf /usr/local/tomcat/webapps/*