CentOS安全防护实例
(1) 借助iptables的recent模块限制IP连接数
可以限制瞬间连接数过大的恶意IP(比如web应用防护,但不适用于LVS+Keepalived集群环境)
防护指令如下
# 允许一个客户端60秒内可以发起20个对web服务器的连接
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --name web --set
# iptables默认将日志输出到/var/log/messages
iptables -A INPUT -m recent --update --name web --seconds 60 --hitcount 20 -j LOG --log-prefix 'HTTP attack: '
iptables -A INPUT -m recent --update --name web --seconds 60 --hitcount 20 -j DROP
效率的产生是因为netfilter在网络应用的低层级上就实现了封堵,调用资源少。这如同硬件防火墙在转发面就实现封堵,而不会上升到控制面。
(2) 防SSH暴力破解
使用工具DenyHosts,原理为:
python2写成,分析/var/log/secure日志文件,当发现同一IP在进行多次SSH登陆尝试时,就会将IP记录到tcpwrappers配置文件/etc/hosts.deny中。
- 环境确认
ldd /sbin/sshd | grep libwrap
回显
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f2844d53000)
说明你所使用的sshd支持TCP Wrappers。
python -V 查看版本是不是2.x.x
可以用如下命令统计一下可疑IPv4地址的数量
cat /var/log/secure | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | uniq -c
可以结合iptables再限制:
#每分钟对ssh的新连接只允许两个,已建立的连接不限制
iptables -P INPUT DROP
iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp –dport 22 -m limit –limit 2/minute –limit-burst 2 -m state –state NEW -j ACCEPT
- 安装
方式一:
# Debian/Ubuntu
$ sudo apt-get install denyhosts
# RedHat/CentOS
$ yum update
$ yum install denyhosts
或者
$ wget http://ftp.tu-chemnitz.de/pub/linux/dag/redhat/el7/en/x86_64/rpmforge/RPMS/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm
$ rpm -Uvh rpmforge-release*rpm
$ yum install denyhosts
$ systemctl status denyhosts
或者
$ service denyhosts status
$ chkconfig denyhosts on
# Archlinux
$ yaourt denyhosts
# Gentoo
$ emerge -av denyhosts
//白名单配置
$ vim /etc/hosts.allow
//添加你的IP到白名单
$ sshd: Your_IP
//黑名单配置
$ vim /etc/hosts.deny
//如果要禁止所有连接,那就
$ sshd: ALL **
//查看denyhosts收集到的恶意ip
$ cat /etc/hosts.deny
denyhosts配置详解
配置文件/etc/denyhosts.conf
或者
/etc/denyhosts/denyhosts.cfg
具体可以使用如下命令查看:
rpm -ql denyhosts
PURGE_DENY: removed HOSTS_DENY entries that are older than this time
when DenyHosts is invoked with the --purge flag
format is: i[dhwmy]
Where 'i' is an integer (eg. 7)
'm' = minutes
'h' = hours
'd' = days
'w' = weeks
'y' = years
# yum install denyhosts -y
# cp denyhosts.cfg denyhosts.cfg.bak
# vim denyhosts.cfg
############ THESE SETTINGS ARE REQUIRED ############
SECURE_LOG = /var/log/secure #sshd的登陆日志文件
HOSTS_DENY = /etc/hosts.deny #将需要阻止的IP写入到hosts.deny,所以这个工具只支持调用TCP Wrapper的协议
PURGE_DENY = 1h #过多久后清除已阻止的IP,即阻断恶意IP的时长(1小时)
BLOCK_SERVICE = sshd #作用的服务名
DENY_THRESHOLD_INVALID = 1 #允许无效用户(不在/etc/passwd中)登录失败的次数
DENY_THRESHOLD_VALID = 5 #允许普通有效用户登录失败的次数
DENY_THRESHOLD_ROOT = 3 #允许root登录失败的次数
DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该文件夹
WORK_DIR = /var/lib/denyhosts #将deny的host或ip记录到work_dir中
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=NO #是否做域名反解
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHost启动的pid记录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务
############ THESE SETTINGS ARE OPTIONAL ############
ADMIN_EMAIL = wawa@163.com #设置管理员邮件地址
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts <nobody@localhost>
SMTP_SUBJECT = DenyHosts Report from $[HOSTNAME]
AGE_RESET_VALID=5d
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
######### THESE SETTINGS ARE SPECIFIC TO DAEMON MODE ##########
DAEMON_LOG = /var/log/denyhosts #denyhost服务日志文件
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h #该项与PURGE_DENY 设置成一样,也是清除hosts.deniedssh 用户的时间
方式二:
cd /usr/local/src
tar zxvf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
python setup.py install
程序脚本自动安装到/usr/share/denyhosts
库文件安装到/usr/lib/python2.3/site-packages/DenyHosts
denyhosts.py 自动安装到/usr/bin
设置启动脚本
cd /usr/share/denyhosts
cp daemon-control-dist daemon-control
chown root daemon-control
chmod 700 daemon-control
grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg
echo "/usr/share/denyhosts/daemon-control start" >> /etc/rc.local
cd ln -s /usr/share/denyhosts/daemon-control denyhosts
chkconfig --add denyhosts
chkconfig --level 35 denyhosts on
service denyhosts start
注意CentOS7的开启
/etc/rc.local -> rc.d/rc.local
#!/bin/bash
# THIS FILE IS ADDED FOR COMPATIBILITY PURPOSES
#
# It is highly advisable to create own systemd services or udev rules
# to run scripts during boot instead of using this file.
#
# In contrast to previous versions due to parallel execution during boot
# this script will NOT be run after all other services.
#
# Please note that you must run 'chmod +x /etc/rc.d/rc.local' to ensure
# that this script will be executed during boot.
touch /var/lock/subsys/local
/usr/share/denyhosts/daemon-control start
在登陆过程中如果出现如下信息,表示/etc/hosts.deny已经生效:
Permission denied (publickey,gssapi-with-mic,password)
或者
ssh_exchange_identification: read: Connection reset
查看/etc/hosts.deny,发现有
sshd: 192.168.30.1
(3) 作为应用程序执行者的用户
一定要将其Shell设定为 nologin
(4) 查看登陆记录
命令:last
涉及的log文件 /var/log/wtmp
chmod 640 /var/log/wtmp
(5) 不定期检查硬件损害情况
grep error /var/log/messages
(6) 使用chkrootkit检查rootkit
chkrootkit -n| grep 'INFECTED'
或者使用脚本加入cron
# cat chkrootkit.sh
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# Run the chkrootkit
/usr/bin/chkrootkit > $TMPLOG
# Output the log
cat $TMPLOG | logger -t chkrootkit
# bindshe of SMTPSllHow to do some wrongs
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# If the rootkit have been found,mail root
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
(7) 开源IPS
CentOS安全防护实例的更多相关文章
- centos 安装多实例数据库
在Centos下安装多个MySql 5.7① 下载MySql 解压版安装包② 编写安装脚本③ 将脚本和安装包放置同一目录④ 编写my.cnf文件并放置在/etc/ 目录下⑤ 赋予脚本运行权限并运行⑥ ...
- CentOS 6 多实例 编译安装mariadb-5.5.59
系统平台: CentOS release 6.9 (Final) 内核 2.6.32-696.el6.x86_64 1.去官网下载适合的源码包 http://mariadb.org/ mariadb- ...
- CentOS防火墙操作实例(启动、停止、开、闭端口)
注:防火墙的基本操作命令: 查询防火墙状态: [root@localhost ~]# service iptables status<回车> 停止防火墙: [root@localh ...
- centos网络配置实例
1.配置DNS vim /etc/resolv.conf nameserver 192.168.0.1 nameserver 8.8.8.8 nameserver 8.8.4.4 2.配置网关 r ...
- Centos网络配置
网上搜索:centos网络配置的方法,主要包括dns.网关.IP地址,主要是配置resolv.conf\network\ifcfg-eth0这些网络配置文件. 稍后我会就centos7的网络配置进行实 ...
- centos 配置固定ip
centos下网络配置方法(网关.dns.ip地址配置) 来源:互联网 作者:佚名 时间:07-13 00:32:07 [大 中 小] 本文介绍了centos网络配置的方法,centos网络配置主要包 ...
- centos 安装node js环境
node.js支持多种平台安装,其中Win平台安装比较简单,下面重点讲解下Linux平台的安装步骤.本文以CentOS平台为实例,不准备讲 解采取源码编译安装方式,而是采取在node.js网站下载已经 ...
- centos下配置DNS
centos网络配置实例 1,配置DNSvi /etc/resolv.conf加入: 代码如下: nameserver 192.168.0.1 nameserver 8.8.8.8 nameserve ...
- centos下配置dns,gateway,ip
centos网络配置实例 1,配置DNS vi /etc/resolv.conf 加入: 代码如下: nameserver 192.168.0.1 nameserver 8.8.8.8 names ...
随机推荐
- 【Java】SpringBoot整合RabbitMQ
介绍 RabbitMQ 即一个消息队列,主要是用来实现应用程序的异步和解耦,同时也能起到消息缓冲,消息分发的作用. RabbitMQ是实现AMQP(高级消息队列协议)的消息中间件的一种,AMQP,即A ...
- window 下 Atom 侧边栏字体大小设置
在 File 处找到 Settings 点击 找到 Themes 点击 找到 your stylesheet 点击 在 .tree-view 处设置即可, (按照 css 样式来写即可保存生效).
- LR之流程
一.新建事务 如何估算一个业务流程呢?一个业务流程的持续时间:登录,预定机票等等的花费时间,通常是几个步骤构成的,所以在LR中需要标记事物,作为评测业务的时间. 1.打开Basic_Tutorial脚 ...
- Linux内核调试方法总结之Jprobes
Jprobes [用途] 类似于Kprobes和Return Probes,区别在于,Kprobes可以在任意指令处插入探针,Jprobes只在函数入口插入探针,而Return Probes则是在函数 ...
- Powershell指令集_2
目录 目录 获取证书 Get-Childitem 调用REST API Invoke-RestMethod 选择对象属性 Select-Object 导入模块 Invoke-Expression 路径 ...
- 阶段1 语言基础+高级_1-3-Java语言高级_1-常用API_1_第5节 String类_3_字符串的常量池
字符换是可以共享使用的,那么怎么去共享使用呢 三种方式去创建字符串.然后三种分别进行比较 3的地址和1.2的地址不一样 在堆里面有一块空间叫做字符串常量池,从jdk1.7开始.字符串常量池在堆中 字符 ...
- JMeterContext----上下文
http://jmeter.apache.org/api/org/apache/jmeter/threads/JMeterContext.html org.apache.jmeter.threads ...
- element-ui走马灯如何实现图片自适应 长度和高度 自适应屏幕大小
最近写用vue2.0写一个项目,用到了走马灯效果,由于项目赶时间,想偷下懒,第一次引用了element组件(纯JS也可以写的出来,赶时间嘛,懂得....),结果用了发现一个问题,element的组件( ...
- Android Bitmap变迁与原理解析(4.x-8.x)
App开发不可避免的要和图片打交道,由于其占用内存非常大,管理不当很容易导致内存不足,最后OOM,图片的背后其实是Bitmap,它是Android中最能吃内存的对象之一,也是很多OOM的元凶,不过,在 ...
- Good teachers,they inspire you, they entertain you,and you end up learning a ton even when you don't know it.
pardon. v. 原谅.抱歉.再说一次 honourable.adj.值得钦佩的 specification.n.规格.标准 amongst.prep.在...中 gallon.n.加仑 comp ...