(1)修改ssh埠並禁止root登入、禁用密碼登入
## 修改埠,個人覺得作用並不明顯,人家乙個埠掃瞄立馬能找到你伺服器開啟了哪些埠,我們還需要做更多的限制。
(2)對登陸的ip做白名單限制(iptables、/etc/hosts.allow、/etc/hosts.deny)
可以專門找兩台機器作為堡壘機,其他機器做白名單後只能通過堡壘機登陸,將機房伺服器的登陸進去的口子收緊;
另外,將上面限制ssh的做法用在堡壘機上,並且最好設定登陸後的二次驗證環境(google-authenticator身份驗證)
(3)嚴格的sudo許可權控制
(4)使用chattr命令鎖定伺服器上重要資訊檔案,如/etc/passwd、/etc/group、/etc/shadow、/etc/sudoers、/etc/sysconfig/iptables、/var/spool/cron/root等
(5)禁ping(echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all)
(6)安裝denyhosts
## denyhosts是python語言寫的乙個程式,它會分析sshd的日誌檔案(/var/log/secure),當發現重 復的攻擊時就會記錄ip到/etc/hosts.deny檔案,從而達到自動遮蔽ip的功能。
(7)把所有軟體公升級到新版本
(8)修改所有軟體預設埠號
(9)開啟ssh/authorized_keys, 刪除不認識的金鑰
(10)刪除使用者列表中陌生的帳號
(11)封了他的ip
ls -l ~/.bash_history
lrwxrwxrwx 1 jd jd 9 oct 10 19:40 /home/jd/.bash_history -> /dev/null # 這是乙個致命的資訊
grep :x:0: /etc/passwd # 正常只有一行,因為只有乙個使用者的uid為0
who # 看下是否有外國ip登入中,加到hosts.deny或者防火牆:iptables –a output –d 175.124.123.26 –j drop
skill -9 -t pts/5 # 殺掉外來ip登入程序
skill -9 -v /dev/pts/* # 殺死/登出所有使用者
netstat -ntpl # 檢視最後一欄是否有異常程序
檢視異常登入:
grep "199.66.90" -r /var/log/secure*
grep connection -r /var/log/secure* >> lsl.sh
cat /var/log/secure|awk '/failed/'
grep "failed password for invalid user" /var/log/secure | awk '' | uniq -c | sort -nr | more # 檢視被嘗試密碼登入的資訊
lastb | awk '' | sort | uniq -c | sort -nr # 檢視ip試圖登入的次數
(1)ifconfig檢視外網絡卡頻寬是否消耗得異常多:
## 被木馬感染,系統頻寬被打滿。網絡卡流量跑滿
(2)top看系統cpu也被打滿。記憶體占用還好:
(3)ps命令,ls命令執行無輸出。這個時候我們需要清醒的意識到,這些系統命令已經病被病毒程式替換了。我們的系統已經變得不可靠了,任何命令的執行都有可能進一步拉起病毒。
入侵排查:
(1)用busybox命令
(2)busybox last命令是檢視系統登陸日誌,比如系統被reboot或登陸情況
(3)cat /etc/passwd # 檢視是否有異常的系統使用者
(4)grep 「0」 /etc/passwd # 檢視是否產生了新使用者,uid和gid為0的使用者
(5)ls -l /etc/passwd # 檢視passwd的修改時間,判斷是否在不知的情況下新增使用者
(6)awk -f: '3==0 ' /etc/passwd # 檢視是否存在特權使用者
(7)awk -f: 'length(2)==0' /etc/passwd # 檢視是否存在空口令帳戶
(8)top #仔細檢查異常程序pid ;ls -l /proc/pid/exe 檢視異常程序命令所在地
(9)crontab -l ; cat /etc/crontab # 檢視異常計畫任務
(10)ls /tmp/ # 檢視tmp目錄異常檔案
(11)ll /etc/init.d/ # 檢視是否有開機自啟動的異常檔案
(12)ll /root/.ssh/
## killall -9 nshbsjdy # 直接用killall殺掉程序
## echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all # 禁ping設定
## 能自我開機啟動,要麼/etc/rc.d/.d}/下有啟動指令碼,要麼有cron計畫任務
Linux基本防護
1 chage 修改賬戶屬性 格式 chage 選項 引數 賬戶名稱 chage l jim 最近一次密碼修改時間 9月 21,2019 密碼過期時間 從不 密碼失效時間 從不 帳戶過期時間 從不 兩次改變密碼之間相距的最小天數 0 兩次改變密碼之間相距的最大天數 99999 在密碼過期之前警告的天...
Linux基本防護措施
root svr5 passwd s lisi 檢視狀態 lisi lk 2013 08 14 0 99999 7 1 密碼已被鎖定。3 驗證使用者lisi已無法登入,說明鎖定生效 輸入正確的使用者名稱 密碼,始終提示 login incorrect 無法登入。4 解除對使用者lisi的鎖定 roo...
Linux基本防護措施
本案例要求練習linux系統的基本防護措施,完成以下任務 禁止普通使用者使用reboot halt poweroff程式 修改使用者zhangsan的賬號屬性,設定為2015 12 31日失效 禁止登入 鎖定使用者lisi的賬戶,使其無法登入,驗證效果後解除鎖定 鎖定檔案 etc resolv.co...