如何检查Linux系统服务器的安全性

如何检查Linux系统服务器的安全性,第1张

  但由于该操作系统是一个多用户操作系统,黑客们为了在攻击中隐藏自己,往往会选择 Linux作为首先攻击的对象。那么,作为一名Linux用户,我们该如何通过合理的方法来防范Linux的安全呢?下面笔者搜集和整理了一些防范 Linux安全的几则措施,现在把它们贡献出来,恳请各位网友能不断补充和完善。 1、禁止使用Ping命令Ping命令是计算机之间进行相互检测线路完好的一个应用程序,计算机间交流数据的传输没有 经过任何的加密处理,因此我们在用ping命令来检测某一个服务器时,可能在因特网上存在某个非法分子,通过专门的黑客程序把在网络线路上传输的信息中途 窃取,并利用偷盗过来的信息对指定的服务器或者系统进行攻击,为此我们有必要在Linux系统中禁止使用Linux命令。在Linux里,如果要想使 ping没反应也就是用来忽略icmp包,因此我们可以在Linux的命令行中输入如下命令: echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢复使用ping命令,就可以输入 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all2、注意对系统及时备份为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Linux完好的系统进 行备份,最好是在一完成Linux系统的安装任务后就对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修 改过。如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后 可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高,那么可以将光盘设置为可启动的并且将验证工作作为系统启 动过程的一部分。这样只要可以通过光盘启动,就说明系统尚未被破坏过。 3、改进登录服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别,使用一个更安全的登录服务器 来取代Linux自身的登录工具也可以进一步提高安全。在大的Linux网络中,最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满 足所有系统登录需求并且拥有足够的磁盘空间的服务器系统,在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志 文件的能力。 4、取消Root命令历史记录在Linux下,系统会自动记录用户输入过的命令,而root用户发出的命令往往具有敏感的 信息,为了保证安全性,一般应该不记录或者少记录root的命令历史记录。为了设置系统不记录每个人执行过的命令,我们可以在Linux的命令行下,首先 用cd命令进入到/etc命令,然后用编辑命令来打开该目录下面的profile文件,并在其中输入如下内容: HISTFILESIZE=0

HISTSIZE=0当然,我们也可以直接在命令行中输入如下命令: ln -s /dev/null ~/bash_history5、为关键分区建立只读属性Linux的文件系统可以分成几个主要的分区,每个分区分别进行不同的配置和安装,一般情况 下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生 了改变,那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽 量将它们设置为只读,并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。 当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等,其自身的性质就决定了不能将它们设置为只读,但应该不允许它具有执行权限。 6、杀掉攻击者的所有进程假设我们从系统的日志文件中发现了一个用户从我们未知的主机登录,而且我们确定该用户在这台 主机上没有相应的帐号,这表明此时我们正在受到攻击。为了保证系统的安全被进一步破坏,我们应该马上锁住指定的帐号,如果攻击者已经登录到指定的系统,我 们应该马上断开主机与网络的物理连接。如有可能,我们还要进一步查看此用户的历史记录,再仔细查看一下其他用户是否也已经被假冒,攻击者是否拥有有限权 限;最后应该杀掉此用户的所有进程,并把此主机的IP地址掩码加入到文件hostsdeny中。 7、改进系统内部安全机制我们可以通过改进Linux操作系统的内部功能来防止缓冲区溢出,从而达到增强Linux系 统内部安全机制的目的,大大提高了整个系统的安全性。但缓冲区溢出实施起来是相当困难的,因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存 中的什么位置出现。缓冲区溢出预防起来也十分困难,系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此,许多人甚至包括 Linux Torvalds本人也认为这个安全Linux补丁十分重要,因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是,这些补丁也会导致对执行栈的 某些程序和库的依赖问题,这些问题也给系统管理员带来的新的挑战。 8、对系统进行跟踪记录为了能密切地监视黑客的攻击活动,我们应该启动日志文件,来记录系统的运行情况,当黑客在攻 击系统时,它的蛛丝马迹都会被记录在日志文件中的,因此有许多黑客在开始攻击系统时,往往首先通过修改系统的日志文件,来隐藏自己的行踪,为此我们必须限 制对/var/log文件的访问,禁止一般权限的用户去查看日志文件。当然,系统中内置的日志管理程序功能可能不是太强,我们应该采用专门的日志程序,来 观察那些可疑的多次连接尝试。另外,我们还要小心保护好具有根权限的密码和用户,因为黑客一旦知道了这些具有根权限的帐号后,他们就可以修改日志文件来隐 藏其踪迹了。 9、使用专用程序来防范安全有时,我们通过人工的方法来监视系统的安全比较麻烦,或者是不周密,因此我们还可以通过专业 程序来防范系统的安全,目前最典型的方法为设置陷井和设置蜜罐两种方法。所谓陷井就是激活时能够触发报警事件的软件,而蜜罐(honey pot)程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序,一旦出现入侵事件系统可以很快发出报警。在许多大的网络中, 一般都设计有专门的陷井程序。陷井程序一般分为两种:一种是只发现入侵者而不对其采取报复行动,另一种是同时采取报复行动。 10、将入侵消灭在萌芽状态入侵者进行攻击之前最常做的一件事情就是端号扫瞄,如果能够及时发现和阻止入侵者的端号扫瞄 行为,那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器,也可以是一个复杂的入侵检测系统或可配置的防火墙。我们可以采用诸 如Abacus Port Sentry这样专业的工具,来监视网络接口并且与防火墙交互操作,最终达到关闭端口扫瞄攻击的目的。当发生正在进行的端口扫瞄时,Abacus Sentry可以迅速阻止它继续执行。但是如果配置不当,它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。正确地使用这个软件将能够有效地防止对 端号大量的并行扫瞄并且阻止所有这样的入侵者。 11、严格管理好口令前面我们也曾经说到过,黑客一旦获取具有根权限的帐号时,就可以对系统进行任意的破坏和攻 击,因此我们必须保护好系统的操作口令。通常用户的口令是保存在文件/etc/passwd文件中的,尽管/etc/passwd是一个经过加密的文件, 但黑客们可以通过许多专用的搜索方法来查找口令,如果我们的口令选择不当,就很容易被黑客搜索到。因此,我们一定要选择一个确保不容易被搜索的口令。另外,我们最好能安装一个口令过滤工具,并借用该工具来帮助自己检查设置的口令是否耐得住攻击。

Linux系统如何查看服务的运行状态?

1 前言

本文主要讲解如何在Linux系统上查看服务的运行状态。

Linux系统提供各种系统服务(如进程管理、登录服务、日志、计划任务等)和网络服务(如远程登录、电子邮件、打印机、web主机、数据存储、文件传输、域名解析(使用DNS)、动态IP地址分配(使用DHCP)等等)。

Linux系统如何查看服务的运行状态

从技术上讲,服务是一个进程或一组进程(通常称为守护进程),在后台连续运行,等待请求(特别是来自客户机的请求)。

Linux支持不同的方式来管理服务,比如启动、停止、重启、开机自启动等,大多数最新的Linux发行版在使用相同的进程管理器-systemd。

systemd是Linux系统和服务管理器init进程的一个替代品,它与SysV和LSB init脚本兼容,systemctl命令是管理systemd的主要工具。

systemd的组件

systemd的组件

在本教程中,我们将演示如何查看Linux系统中systemd可管理的所有服务。

2 如何查看Linux系统中systemd可管理的所有服务

当您不带任何参数运行systemctl命令时,它将打印所有已加载的systemd单元的列表(请阅读systemd文档以获得有关systemd单元的更多信息)。显示各服务单元的状态(无论是活动的还是非活动的)。

systemctl

如何查看Linux系统中systemd可管理的所有服务

列出系统上所有已加载的服务,查看它们活动状态,是否正在运行、是否关闭、是否启动失败。

systemctl list-units --type=service

或者

systemctl --type=service

列出系统上所有已加载的服务,查看它们活动状态

要列出所有已加载但已经设置开机自启动的服务

systemctl list-units --type=service --state=active

systemctl --type=service --state=active

要列出所有已加载但已经设置开机自启动的服务

查看所有正在运行的服务:

systemctl list-units --type=service --state=running

systemctl --type=service --state=running

查看所有正在运行的服务

如果经常使用前面的命令,可以在创建别名命令,编辑bashrc文件

vim ~/bashrc

添加以下内容,创建别名命令running_services。

alias running_services='systemctl list-units --type=service --state=running'

保存文件并退出。使用running_services命令查看服务器上所有已加载、正在运行的服务的列表。

running_services

此外,服务的一个重要方面是它们使用的端口。要确定守护进程监听的端口,可以使用netstat或ss工具,如下所示。

其中-l选项表示打印所有监听的套接字,-t显示所有TCP连接,-u显示所有UDP连接,-n表示打印数字端口号(而不是应用程序名称),-p表示显示应用程序名称。

netstat -ltup | grep sshd

或者

ss -ltup | grep sshd

第五列显示套接字:本地地址:端口。在本例中,进程sshd正在端口22上监听。

查看守护进程监听的端口

此外,如果您的服务器防火墙服务运行的状态,使用以下命令查看已经允许或者阻塞的端口或者服务

查看防火墙服务运行的状态

firewall-cmd --list-services

firewall-cmd --list-ports

Ubuntu 用户

sudo ufw status

3 总结

在本教程中,我们演示了如何在Linux中查看systemd下运行的服务及这些服务的运行状态。我们还介绍了如何检查服务正在监听的端口,以及如何查看在防火墙服务已经允许或者阻塞的服务和端口号。

  1 free命令

  

  命令格式:free -m

  

  用途:用于检查有关系统RAM的使用情况(查看系统的可用和已用内存)。

  

  可用内存计算公式:

  

  可用内存=free +buffers +cached, 实际操作即:215 +11+57 =253MB。

  

  2 vmstat 指令

  

  命令格式:vmstat -s(参数)

  

  用途:用于查看系统的内存存储信息,是一个报告虚拟内存统计信息的小工具,vmstat 命令报告包括:进程、内存、分页、阻塞IO、中断、磁盘、CPU。

  

  3 /proc/meminfo 指令

  

  命令格式:cat/proc/meminfo

  

  用途:用于从/proc文件系统中提取与内存相关的信息。这些文件包含有系统和内核的内部信息。

  

  SwapFree中的交换内存。

  

  PS:你还可以使用命令less /proc/meminfo 直接读取该文件。通过使用less 命令,可以在长长的输出中向上和向下滚动,找到你需要的内容哦~

  

  4 top 指令

  

  命令格式:top

  

  用途:用于打印系统中的CPU和内存使用情况。

  

  PS:如果你想让top 显示更友好的内存信息,使用命令top -o %MEM,这会使top 按进程所用内存对所有进程进行排序。

  

  5 htop 指令

  

  命令格式:htop

  

  用途:详细分析CPU和内存使用情况。

  

  PS:如果你终端没安装htop,先通过指令来安装。

  

  命令格式:sudo apt-get update

  

  接着输入以下指令

  

  命令格式:sudo apt install htop

  

  等一切安装结束之后。请输入以下指令即可。

怎样在linux上使用BIND建立DNS服务器?

1、安装DNS服务器组件:安装bindyuminstall-ybindbind-chrootbind-utils

2、编辑DNS主配置文件:vi/etc/namedconf修改主配置文件

3、接着修改namedrfc1912zones文件,vi/etc/namedrfc1912zones

4、添加设置DNS正向解析:修改zone配置文件,正向解析:cd/var/named/cpnamedlocalhostszlptcnzoneviszlptcnzone(要和主配置文件里面定义的zone文件名一致)

5、修改zone配置文件,反向解析:cd/var/named/cpnamedlocalhost32168192zonevi0168192zone(要和主配置文件里面定义的zone文件名一致)

6、更改防火墙设置和selinux设置:Getenforce(查看selinux是否开启)setenforce0vi/etc/sysconfig/iptables#配置防火墙端口-AINPUT-mstate--stateNEW-mtcp-ptcp--dport53-jACCEPT-AINPUT-mstate--stateNEW-mudp-pudp--dport53-jACCEPT-AINPUT-mstate--stateNEW-mtcp-ptcp--dport953-jACCEPTserviceiptablesrestart#重启防火墙,使规则生效

7、启动DNS服(注意DNS服务名称在linux是叫做bind):servicenamedstart

8、测试检测域信息是否正常(重要):检查之前先看下配置文件有没有读取权限ll/var/named(如果没有读取全线,chmod+r/var/named/即可)

9、检查bind文件配置过程中容易出错:以下命令用以检查bind配置文件及zone文件语法named-checkconf/etc/namedconfnamed-checkzoneszlptcn/var/named/szlptcnzone

10、启动重启DNS服务,查看服务状态:servicenamedrestartservicenetworkrestart用户端测试解析,通过nslookup进行测试。

linuxdns永久配置文件是啥?

Linux可以实现域名解析,一般需要配置这几个文件

/etc/hosts//配置本机主机名,可以省略

/etc/hostconf//必须的,本地dns客户端的配置文件

/etc/resolvconf//必须的,配置dns服务器地址

linux的senbmail怎么设置dns?

vi/etc/sysconfig/network-script/ifcfg-网卡名进入网络编辑

IPADDR=你的IP地址

NETMASK=子网掩码

GATEWAY=网关

DNS1=你要设置的DNS服务器IP地址

二、vi/etc/resolvconf

添加一条

nameserver8888#8888便是你需要设置的DNS服务器地址

linux设置网卡ip和dns?

一般都是字符界面下#ifconfig与windows下的ipconfig一样,看网卡信息。

#setup会出现一个蓝色的界面,选择“networkconfiguration”下面就能配置IP地址、DNS了。

ipvi/etc/sysconfig/ifeth0

Linux配置手册(五)Linux配置域名服务器(DNS)?

构建缓存域名服务器检查域名服务包挂在光盘并安装服务包需要安装bind-936-4P1el5Bind-chroot-936-4P1el5Bind-libs-936-4P1el5Bind-utils-936-4P1el5Caching-nameserver-936-4P1el5i386rpm修改配置文件vi/var/named/chroot/etc/namedconf启动服务验证构建主域名服务器配置主配置文件vim/var/named/chroot/etc/namedconf修改区域配置文件

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 如何检查Linux系统服务器的安全性

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情