Home Sign Up Sign In
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ioiioi
V2EX  ›  Linux

请分享一下针对linux的防范措施

  •   
  •   ioiioi · May 21, 2012 · 5223 views
    This topic created in 5103 days ago, the information mentioned may be changed or developed.
    hi,最近我管理的一台服务器被入侵了,造成的影响是:
    1、这台服务器被黑客利用,干了非法的勾当,惊动了高层;
    2、黑客将日志全删了,找不到入侵的时间和动作;

    目前,我的压力非常大,存在相同漏洞的服务器还有50台,有没有运维的兄弟说说今后如何加固这台服务器,包括事前防范和事后追踪这两个方面来谈。

    我想到的有:

    一、事前防范
    如何防止暴力破解

    二、事后追踪
    如何保证日志不被删除
  • 服务器
  • 黑客
  • 日志
    13 replies    1970-01-01 08:00:00 +08:00
    eric_q
        1
    eric_q  
       May 21, 2012
    只允许ssh-key登录禁止密码登录
    禁止root用户

    denyhost防暴破,定期分析日志

    sshd只监听内网连接
    ratazzi
        2
    ratazzi  
       May 21, 2012
    fail2ban 可以针对 ftp ssh 等服务暴力破解等自动生成 iptables 规则进行防范
    ioiioi
        3
    ioiioi  
    OP
       May 21, 2012
    嗯,fail2ban是可以防一下,另外,假如不幸被攻破,黑客利用root权限进行非法操作,我如何保证日志不被其删除?
    ioiioi
        4
    ioiioi  
    OP
       May 21, 2012
    @eric_q
    实际上我很怀疑是内网的用户直接用root来操作本服务器,只是他将日志删除了,我们找不到罪证。
    kfc315
        5
    kfc315  
       May 21, 2012
    日志定时传送到可信服务器。
    ri0day
        6
    ri0day  
       May 21, 2012   ❤️ 1
    1.所有服务或者程序分配一个账号来跑并设置成不能登录,就算你应用有问题通过应用入侵了也干不了事情。如果内部处理逻辑的程序只bind内网地址。有条件的话对服务做chroot
    2.root不能远程登录。用户使用证书登录。
    3.重要文件备份
    4.iptables只开启要用的端口
    5.监控日志。发现特定条件触发报警。
    ioiioi
        7
    ioiioi  
    OP
       May 21, 2012
    hmm,这些服务器都是部署在客户处,可信服务器也只能部署在互联网上,如何保证日志的转发是安全的,不会被截获?
    ri0day
        8
    ri0day  
       May 21, 2012
    你确定他删除了日志 就找不到证据么。。看看每个用户目录下的 .bash_history,以及 btmp ,utmp 这些文件。
    dndx
        9
    dndx  
       May 21, 2012
    惊动了高层这句话把我震到了,敢问LZ是特殊部门?
    9hills
        10
    9hills  
       May 21, 2012
    @ioiioi 那就是管理问题了。
    首先有很多人有root权限么?root权限应该只给极少数的人。
    其次日志要中心化存储,他要删只能删本地日志。日志是系统核心,一定要妥善管理。
    把root密码设为随机数,统一用sudo,谁在那时提权一看便知。

    最后,该报警就报警。
    ioiioi
        11
    ioiioi  
    OP
       May 21, 2012
    @dndx
    理解有误,理解有误,高层指的是单位的领导

    @9hills
    嗯,的确,之前的管理不是很规范,我总结了一下:

    1、维护人员分配非特权账号,并且通过ssh-key登录;
    2、日志要通过加密隧道,上传到中心服务器;譬如syslog-ng或rsyslog均可
    3、监控日志,发现特定条件触发报警,不过这部分我心里还没谱,不知道通过何种解决方案实现。
    4、有条件的对应用进行chroot;
    5、iptables开放特定端口

    另外,不知道SElinux和AppArmor不知道效果如何?
    cyg07
        12
    cyg07  
       May 23, 2012
    你的LINUX提供了什么服务?
    WEB还是其它的,是不是运行在ROOT权限下?如页面的执行权限。
    更多的原因是服务运行在一个不应该运行的权限下导致的。
    clino
        13
    clino  
       May 23, 2012
    我刚在所有服务器上装了 denyhosts

    另外,这个是不是楼主po的? http://www.sxsoft.com/index.php/proj/content/show/57428 linux下通过http post上传日志文件
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1167 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 87ms · UTC 18:09 · PVG 02:09 · LAX 11:09 · JFK 14:09
    ♥ Do have faith in what you're doing.