转自 http://linuxart.blog.51cto.com/686203/844011
使用iptables进行轻量级别的防护。
limit模块
限制单位时间内,机器所能承受最大并发量。
演示limit的例子
# iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT
# iptables -A INPUT -p icmp -j DROP
结合http协议
# iptables -A INPUT -p tcp --dport 80 -m limit --limit 10000/s --limit-burst 10000 -j ACCEPT
# iptables -A INPUT -p tcp --dport 80 -j DROP
缺点:不会根据IP来进行限制,仅仅是对所有的请求进行统计从而实现限制。
connlimit模块
限制单个IP与服务器最多建立的连接数。
安装模块:
patch-o-matic-ng-20090507.zip
使用例子:
限制当个IP只能和服务器最多建立16个连接
# iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 -j DROP
====================================
硬盘加密
11.jpg ---> ext3 --> sda1
11.jpg --> ext3 ---> 加密层 --> sda1
sda1 ---> 解密 --> ext3 --> 11.jpg
cryptsetup工具加密硬盘数据
1、新建一个分区(使用现有分区,原有的数据就会完全丢失)
2、对需要加密的分区进行初始化
# cryptsetup --verbose --verify-passphrase -c aes-cbc-plain luksFormat /dev/sda9
WARNING!
========
This will overwrite data on /dev/sda9 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
3、加密完成之后,每次使用都需要把映射出来的加密设备打开,去操作该设备。
# cryptsetup luksOpen /dev/sda9 sda9_crypt
Enter LUKS passphrase for /dev/sda9:
key slot 0 unlocked.
Command successful.
生成了一个映射的设备 sda9_crypt
数据----> ext3 ---> sda9_crypt ----加密处理----> /dev/sda9
# ll /dev/mapper/sda9_crypt
4、格式化后存放数据。
# mkfs.ext3 /dev/mapper/sda9_crypt
# mount /dev/mapper/sda9_crypt /mnt
5、取消挂载,关闭加密的分区
# umount /dev/mapper/sda9_crypt
# cryptsetup luksClose sda9_crypt
修改密码:
新增加一个密码
# cryptsetup luksAddKey /dev/sda9
Enter any LUKS passphrase: 《--旧密码
Verify passphrase: 再次确认
key slot 0 unlocked.
Enter new passphrase for key slot: 《--新密码
Verify passphrase:
Command successful.
删除旧密码,必须保留至少一个密码
# cryptsetup luksDelKey /dev/sda9 0 《--- 0是密码slot编号
Command successful.
=================================
基于主机的***检测软件(HIDS)
工作原理:
监控系统重要文件的变更。
rpm工具
# rpm -Vf /etc/httpd/conf/httpd.conf
S.5....T c /etc/httpd/conf/httpd.conf
S file Size differs
M Mode differs (includes permissions and file type)
5 MD5 sum differs
D Device major/minor number mismatch
L readLink(2) path mismatch
U User ownership differs
G Group ownership differs
T mTime differs
只支持由rpm包释放出来的文件
tripwire
1、安装
# rpm -ivh tripwire-2.4.1.1-1.el5.i386.rpm
2、配置
# cd /etc/tripwire/
# ls
twcfg.txt twpol.txt
修改策略
# man twpolicy
- Ignore the following properties
+ Record and check the following properties
a Access timestamp
b Number of blocks allocated
c Inode timestamp (create/modify)
d ID of device on which inode resides
g File owner’s group ID
i Inode number
l File is increasing in size (a "growing file")
m Modification timestamp
n Number of links (inode reference count)
p Permissions and file mode bits
r ID of device pointed to by inode
(valid only for device objects)
s File size
t File type
u File owner’s user ID
C CRC-32 hash value
H Haval hash value
M MD5 hash value
S SHA hash value
# vim twpol.txt
定一个简单的策略
(
rulename = "webroot check",
severity = $(SIG_HI)
)
{
/share/08/ ->$(SEC_CRIT);
!/share/08/sec_01;
!/share/08/ula_05.txt;
}
3、生成密钥
# /usr/sbin/tripwire-setup-keyfiles
分别输入sitekey 私钥,localkey公钥密码
还有把策略文件和配置文件进行签名
tw.cfg , tw.pol
4、初始化系统文件的状态数据,保存到数据文件中
# tripwire --init
...
Wrote database file: /var/lib/tripwire/dev.upl.com.twd
The database was successfully generated.
5、测试
根据策略的规则进行检查
# tripwire --check --rule-name "webroot check"
...
Performing integrity check...
Wrote report file: /var/lib/tripwire/report/dev.upl.com-20110831-153115.twr
....
查看报告文件
# twprint --print-report --twrfile /var/lib/tripwire/report/dev.upl.com-20110831-153115.twr
检查所有文件:
# tripwire --check
Wrote report file: /var/lib/tripwire/report/dev.upl.com-20110831-154224.tw
报告中,有很多文件是不存在,会出现报错,还有一些文件被修改了但这些文件你认为正常的修改操作,不想在下一次检测中再次出现警告,应该数据文件,把这些更改的操作纳入数据文件中:
# LANG=C tripwire --update --twrfile /var/lib/tripwire/report/dev.upl.com-20110831-154224.twr
Added:
[x] "/share/08/sec_05/DedecmsV55-UTF8-Final.tar.gz"
Removed:
[x] "/share/08/11.txt"
Modified:
[x] "/share/08"
[x] "/share/08/sec_05" 《---保留x,就说明要把该文件的最新状态更新到数据库
《--哪些文件是正常的修改操作,就应该保留x
保存退出,输入公钥密码就能更新数据文件
Please enter your local passphrase:
Wrote database file: /var/lib/tripwire/dev.upl.com.twd
====================================
一些基本的安全操作:
托管到安全的受信任的机房。
设定bois密码,屏蔽掉软区引导,光驱引导,网络引导等其他外设引导
设定grub密码
设定强壮系统密码。指定好密码策略,密码一定要加密,使用屏蔽口令,删除没有用的帐号或者禁止使用这些帐号
禁止快捷键重启
停止没有用的服务
修改系统的登录用的banner: /etc/issue, /etc/issue.net