Linux服務器安全策略
一、Linux後門***檢測工具
rootkit主要有兩種類型:文件級別和內核級別
文件級別:文件被修改,如常用命令,帶寬***
內核級別:像鏡像中植入
rootkit後門檢測工具RKHunter:
https://rootkit.nl/projects/rootkit_hunter.html
https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.2/
阿里雲:雲盾,取向商業化
雲鎖
WAF+iptables
WAF:
Web應用防護系統(也稱:網站應用級***防禦系統。英文:Web Application Firewall,簡稱: WAF)。利用國際上公認的一種說法:Web應用防火牆是通過執行一系列針對HTTP/HTTPS的安全策略來專門爲Web應用提供保護的一款產品。
二、處理服務器遭受***的一般思路
1、一般思路
1)切斷網絡
2)查找***源
查看系統日誌和登錄日誌/var/log/message和/var/log/secure和dmesg命令
3)分析***原因和途徑
ps -ef 查看到帶[]的是系統進程
僞裝進程:如.vcjcjcjc .vgvgchchec .ssshd .a .b .1
查看crontab內容,是否有異常定時任務,/etc/crontab
系統漏洞、程序漏洞
4)備份用戶數據
5)重新安裝系統
6)修復程序或系統漏洞
7)恢復數據和連接網絡
2、檢測並鎖定可疑用戶
w命令
3、查看系統日誌
/var/log/message和/var/log/secure和dmesg命令,家目錄下.bash_history
4、檢查並關閉系統可疑進程
kill掉進程,然後刪除文件
1)ps -ef 查看pid
2)根據pid查文件:ll /proc/25199/exe或ll /proc/25199/fd
pidof命令:
pidof sshd
5、檢查文件系統的完整性
6、重新安裝系統恢復數據
堡壘機:類似防火牆,門衛,訪問內網服務器需先進過堡壘機。
麒麟堡壘機:iso鏡像