Linux服務(wù)器安全策略

1 服務(wù)器一般安全策略：

1） 最好使用硬件防火墻，如果沒有，則使用iptables+TCP_Wrappers構(gòu)建安全策略。

2） 密碼絕對安全，24位以上

3） 采取密鑰登陸，防止暴力破解，禁止root登陸，普通用戶+密鑰認(rèn)證+IP限制+用戶限制

4） 定期分析系統(tǒng)的日志文件，如last，lastlog，

5） 定期采用grep error /var/log/messages檢查服務(wù)器是否存在硬件損壞的情況

6） 停掉不必要的服務(wù)，強(qiáng)化內(nèi)核。

iptables主機(jī)型防火墻腳本：

#!/bin/bash

iptables -F

iptables -F -t nat

iptables -X

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -A INPUT -p tcp -m multiport --dport 80,22,3306 -j ACCEPT

TCP_Wrappers訪問控制：

[root@localhost ~]# rpm -q tcp_wrappers

tcp_wrappers-7.6-58.el6.i686

[root@localhost ~]# ldd /usr/sbin/sshd | grep 'libwrap'

libwrap.so.0 => /lib/libwrap.so.0 (0x00c4f000)

/etc/hosts.allow：允許策略

/etc/hosts.deny：拒絕策略

訪問控制基本原則：首先檢查/etc/hosts.allow，如果找到匹配策略則允許訪問，否則繼續(xù)查找/etc/hosts.deny，如果找到匹配的策略，則拒絕訪問，如果以上兩個(gè)文件都沒有找到則允許訪問。

• 寬松的策略：允許所有，拒絕個(gè)別
  

vim /etc/hosts.deny 

sshd:192.168.154.1

• 嚴(yán)格的策略：拒絕所有，允許個(gè)別

vim /etc/hosts.allow

sshd:192.168.154.1

vim /etc/hosts.deny 

sshd:ALL

ALL:103.197.244.10    #拒絕訪問所有服務(wù)

2 服務(wù)器遭受***后的一般處理流程：

1）切斷網(wǎng)絡(luò)；

2）查找***源：分析系統(tǒng)日志文件和登陸日志文件，（如發(fā)現(xiàn)可疑用戶，中斷其遠(yuǎn)程連接）

如：

[root@localhost ~]# tail -f /var/log/messages

[root@localhost ~]# lastlog

[root@localhost ~]# lastb                            #查看失敗的登陸記錄

[root@localhost ~]# tail -f /var/log/secure          #查看用戶相關(guān)的安全日志

[root@localhost ~]# pkill -kill -t  pts/0              #把異常登陸用戶踢出去

3）分析***原因和途徑；

遭受***的原因是多方面的，可能是系統(tǒng)漏洞，也可能是程序漏洞導(dǎo)致的，需要找到***源和途徑，才能刪除和修復(fù)漏洞。

4）備份數(shù)據(jù)；

5）重裝系統(tǒng)（根據(jù)實(shí)際情況決定，如提供在線服務(wù)顯然不可行）

6）修復(fù)程序或系統(tǒng)漏洞

7）恢復(fù)數(shù)據(jù)和網(wǎng)絡(luò)；