1、root 長且複雜的密碼
2、放置SSH的暴力破解,使用iptables的recent或者 DenyHost工具。
3、用戶管理方面:
4、系統用戶越少越好
5、對數據庫的用戶權限要嚴格控制
6、分析系統日誌
7、檢查 message日誌,是否有硬件損壞。
8、檢查重要文件的完整性。AIDE
9、停掉不必要的服務。
10、做***測試。
11、部署***檢查軟
流量檢測工具:ntop
linux訪問流程: 客戶端->iptables->tcp_wrappers->service
iptables,基於IP、協議,端口進行控制的
tcp-wrappers,對服務本身進行控制的(/etc/hosts.allow,/etc/host.deny)
<service >:<ip ,domain,hostname ....>:<allow|deny>
也可以寫在 /etc/hosts.allow
sshd:192.168.10.0/255.255.255.0
service ,基於行爲進行控制的
linux下的***檢測工具:
IDS新寵:PSAD
Psad是端口掃描***檢測程序的簡稱,它作爲一個新工具,可以與iptables和Snort等緊密合作,向我們展示所有試圖進入網絡的惡意企圖。這是筆者首選的Linux***檢測系統。它使用了許多snort工具,它可以與fwsnort和iptables的日誌結合使用,意味着你甚至可以深入到應用層並執行一些內容分析。它可以像Nmap一樣執行數據包頭部的分析,向用戶發出警告,甚至可以對其進行配置以便於自動阻止可疑的IP地址。
事實上,任何***檢測系統的一個關鍵方面是捕獲並分析大量的數據。如果不這樣做,那隻能是盲目亂來,並不能真正有效地調整IDS.我們可以將PSAD 的數據導出到AfterGlow 和 Gnuplot中,從而可以知道到底是誰正在***防火牆,而且是以一種很友好的界面展示。
老當益壯:Snort
正如一位可信任的老人,隨着年齡的增長,Snort也愈發成熟。它是一款輕量級且易於使用的工具,可以獨立運行,也可以與psad和iptables 一起使用。我們可以從Linux的發行版本的程序庫中找到並安裝它,比起過去的源代碼安裝這應該是一個很大的進步。至於保持其規則的更新問題,也是同樣的簡單,因爲作爲Snort的規則更新程序和管理程序,oinkmaster也在Linux發行版本的程序庫中。
Snort易於管理,雖然它有一些配置上的要求。要開始使用它,默認的配置對大多數網絡系統並不適用,因爲它將所有不需要的規則也包括在其中。所以我們要做的第一件事情是清除所有不需要的規則,否則就會損害性能,並會生成一些虛假的警告。
另外一個重要的策略是要以祕密模式運行Snort,也就是說要監聽一個沒有IP地址的網絡接口。在沒有爲它分配IP地址的接口上,如ifconfig eth0 up,以-i選項來運行Snort,如snort –i eth0.還有可能發生這樣的事情:如果你的網絡管理程序正運行在系統中,那它就會“有助於”展現出還沒有配置的端口,因此建議還是清除網絡管理程序。
Snort可以收集大量的數據,因此需要添加BASE(基本分析和安全引擎),以便於獲得一個友好的可視化的分析工具,它以較老的ACID(***數據庫分析控制檯)爲基礎。
簡潔方便:chkrootkit和rootkit
Rootkit檢測程序chkrootkit和rootkit Hunter也算是老牌的rootkit檢測程序了。很明顯,在從一個不可寫的外部設備運行時,它們是更可信任的工具,如從一個CD或寫保護的USB驅動器上運行時就是這樣。筆者喜歡SD卡,就是因爲那個寫保護的的開關。這兩個程序可以搜索已知的rooktkit、後門和本地的漏洞利用程序,並且可以發現有限的一些可疑活動。我們需要運行這些工具的理由在於,它們可以查看文件系統上的/proc、ps和其它的一些重要的活動。雖然它們不是用於網絡的,但卻可以快速掃描個人計算機。
多面手:Tripwire
Tripwire是一款***檢測和數據完整性產品,它允許用戶構建一個表現最優設置的基本服務器狀態。它並不能阻止損害事件的發生,但它能夠將目前的狀態與理想的狀態相比較,以決定是否發生了任何意外的或故意的改變。如果檢測到了任何變化,就會被降到運行障礙最少的狀態。
如果你需要控制對Linux或UNIX服務器的改變,可以有三個選擇:開源的Tripwire、服務器版Tripwire、企業版Tripwire.雖然這三個產品有一些共同點,但卻擁有大量的不同方面,使得這款產品可以滿足不同IT環境的要求。
如開源的Tripwire對於監視少量的服務器是合適的,因爲這種情形並不需要集中化的控制和報告;服務器版Tripwire對於那些僅在 Linux/UNIX/Windows平臺上要求服務器監視並提供詳細報告和最優化集中服務器管理的IT組織是一個理想的方案;而企業版Tripwire 對於需要在Linux/UNIX/Windows服務器、數據庫、網絡設備、桌面和目錄服務器之間安全地審覈配置的IT組織而言是最佳選擇。
原文出自【比特網】,轉載請保留原文鏈接:http://soft.chinabyte.com/os/443/11827943.shtml