©2016-2024 Matools All rights reserved,
粤ICP备17059708号
一 部署audit监控文件
1
审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。
审计能够记录的日志内容:
a) 日期与事件以及事件的结果
b) 触发事件的用户
c) 所有认证机制的使用都可以被记录,如ssh等
d) 对关键数据文件的修改行为等都可以被记录
2 配置audit审计系统
1)安装软件包,查看配置文件(确定审计日志的位置)
[root@proxy ~]# yum -y install audit //安装软件包 [root@proxy ~]# cat
/etc/audit/auditd.conf //查看配置文件,确定日志位置 log_file = /var/log/audit/audit.log
//日志文件路径 [root@proxy ~]# systemctl start auditd //启动服务 [root@proxy ~]#
systemctl enable auditd //设置开机自启
2)配置审计规则
可以使用auditctl命令控制审计系统并设置规则决定哪些行为会被记录日志
[root@proxy ~]# auditctl -s //查询状态 [root@proxy ~]# auditctl -l //查看规则
[root@proxy ~]# auditctl -D //删除所有规则
定义临时文件系统规则:
语法格式:auditctl -w path -p permission -k key_name
**path为需要审计的文件或目录
**权限可以是r,w,x,a(文件或目录的属性发生变化)
**Key_name为可选项,方便识别哪些规则生成特定的日志项
[root@proxy ~]# auditctl -w /etc/passwd -p wa -k passwd_change
//设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志 [root@proxy ~]# auditctl -w /etc/selinux/
-p wa -k selinux_change //设置规则,监控/etc/selinux目录 [root@proxy ~]# auditctl -w
/usr/sbin/fdisk -p x -k disk_partition //设置规则,监控fdisk程序 [root@proxy ~]#
auditclt -w /etc/ssh/sshd_conf -p warx -k sshd_config //设置规则,监控sshd_conf文件
如果需要创建永久审计规则,则需要修改规则配置文件
[root@proxy ~]# vim /etc/audit/rules.d/audit.rules -w /etc/passwd -p wa -k
passwd_changes -w /usr/sbin/fdisk -p x -k partition_disks
3 查看并分析日志
1)手动查看日志
查看SSH的主配置文件/etc/ssh/sshd_conf,查看audit日志信息
[root@proxy ~]# tailf /var/log/audit/audit.log type=SYSCALL
msg=audit(1517557590.644:229228): arch=c000003e syscall=2 success=yes exit=3
a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0 items=1 ppid=7654
pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0
tty=pts2 ses=3 comm="cat" exe="/usr/bin/cat"
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config" ..
.. #内容分析 # type为类型 # msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数) #
arch=c000003e,代表x86_64(16进制) # success=yes/no,事件是否成功 # a0-a3是程序调用时前4个参数,16进制编码了
# ppid父进程ID,如bash,pid进程ID,如cat命令 # auid是审核用户的id,su - test, 依然可以追踪su前的账户 #
uid,gid用户与组 # tty:从哪个终端执行的命令 # comm="cat" 用户在命令行执行的指令 # exe="/bin/cat" 实际程序的路径
# key="sshd_config" 管理员定义的策略关键字key # type=CWD 用来记录当前工作目录 # cwd="/home/username"
# type=PATH # ouid(owner's user id) 对象所有者id # guid(owner's groupid) 对象所有者id
2)通过工具搜索日志
系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log,ausearch options
-if file_name可以指定文件名
[root@proxy ~]# ausearch -k sshd_config -i
//根据key搜索日志,-i选项表示以交互式方式操作
二 加固常见服务的安全
Nginx安全优化包括:删除不要的模块、修改版本信息、限制并发、拒绝非法请求、防止buffer溢出。
MySQL安全优化包括:初始化安全脚本、密码安全、备份与还原、数据安全。
Tomcat安全优化包括:隐藏版本信息、降权启动、删除默认测试页面.
1 优化Nginx服务的安全配置
Nignx是模块化设计的软件,需要什么功能与模块以及不需要哪些模块,都可以在编译安装软件时自定义,使用–with参数可以开启某些模块,使用–without可以禁用某些模块。最小化安装永远都是对的方案!
[root@proxy nginx-1.12]# ./configure \ >--without-http_autoindex_module \
//禁用自动索引文件目录模块 >--without-http_ssi_module [root@web33 nginx-1.12.2]#
./configure --help | grep "\-\-without" --without-select_module disable select
module --without-poll_module disable poll module --without-http_charset_module
disable ngx_http_charset_module ………………
2) 修改版本信息,并隐藏具体的版本号
认Nginx会显示版本信息以及具体的版本号,这些信息给攻击者带来了便利性,便于他们找到具体版本的漏洞。
如果需要屏蔽版本号信息,执行如下操作,可以隐藏版本号。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf … … http{ server_tokens
off; //在http下面手动添加这么一行 … … } [root@proxy ~]# nginx -s reload [root@proxy ~]#
curl -I http://192.168.4.5 //查看服务器响应的头部信息
但服务器还是显示了使用的软件为nginx,通过如下方法可以修改该信息。隐藏ngninx软件信息,显示为Jacob
[root@proxy nginx-1.12]# vim src/http/ngx_http_header_filter_module.c
//注意:vim这条命令必须在nginx-1.12源码包目录下执行!!!!!!
//该文件修改前效果如下:
static u_char ngx_http_server_string[] = "Server: nginx" CRLF; static u_char
ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF; static u_char
ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;
//下面是我们修改后的效果:
static u_char ngx_http_server_string[] = "Server: Jacob" CRLF; static u_char
ngx_http_server_full_string[] = "Server: Jacob" CRLF; static u_char
ngx_http_server_build_string[] = "Server: Jacob" CRLF;
//修改完成后,再去编译安装Nignx,版本信息将不再显示为Nginx,而是Jacob
[root@proxy nginx-1.12]# ./configure [root@proxy nginx-1.12]# make && make
install [root@proxy nginx-1.12]# killall nginx [root@proxy nginx-1.12]#
/usr/local/nginx/sbin/nginx //启动服务 [root@proxy nginx-1.12]# curl -I
http://192.168.4.5 //查看版本信息验证
3) 限制并发量
DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态。
Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险,操作方法如下:
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf … … http{ … …
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { listen 80;
server_name localhost; limit_req zone=one burst=5; } }
//备注说明:
//limit_req_zone语法格式如下:
//limit_req_zone key zone=name:size rate=rate;
//上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
//1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
//每秒中仅接受1个请求,多余的放入漏斗
//漏斗超过5个,超过的多出来的请求将会被拒绝
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
模仿小型Doos攻击:
在另一终端访问nginx服务器:
[root@web44 ~]# ab -c 100 -n 100 http://192.168.4.33/
注意用ab压力测试工具时,IP地址后面需要加斜线/
Document Path: / Document Length: 6 bytes Concurrency Level: 100 Time taken
for tests: 0.062 seconds Complete requests: 100 //100个请求被处理,没有失败 Failed
requests: 0
修改配置文件加入以下内容(注意放在http块下,与server同级)
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
漏斗中最多每秒5个请求:(注意放在server块下)
limit_req zone=one burst=5;
再次测试:
[root@web44 ~]# ab -c 100 -n 100 http://192.168.4.33/ Concurrency Level: 100
Time taken for tests: 5.003 seconds Complete requests: 100 Failed requests: 94
//94个连接失败,被拒绝
4)拒绝非法的请求
网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post。
未修改服务器配置前,客户端使用不同请求方法测试:
[root@client ~]# curl -i -X GET http://192.168.4.5 //正常 [root@client ~]# curl
-i -X HEAD http://192.168.4.5 //正常
//curl命令选项说明:
//-i选项:访问服务器页面时,显示HTTP的头部信息
//-X选项:指定请求服务器的方法
通过如下设置可以让Nginx拒绝非法的请求方法:
root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf http{ server { listen 80;
#这里,!符号表示对正则取反,~符号是正则匹配符号 #如果用户使用非GET或POST方法访问网站,则retrun返回444的错误信息 if
($request_method !~ ^(GET|POST)$ ) { return 444; } } } [root@proxy ~]#
/usr/local/nginx/sbin/nginx -s reload
修改服务器配置后,客户端使用不同请求方法测试:
[root@client ~]# curl -i -X GET http://192.168.4.5 //正常 [root@client ~]# curl
-i -X HEAD http://192.168.4.5 //报错 [root@client ~]# curl -i -X POST
http://192.168.4.33 HTTP/1.1 405 Not Allowed Server: aaa Date: Mon, 10 Dec 2018
06:12:16 GMT Content-Type: text/html Content-Length: 166 Connection: keep-alive
<html> <head><title>405 Not Allowed</title></head> <body bgcolor="white">
<center><h1>405 Not Allowed</h1></center> <hr><center>nginx</center> </body>
</html>
注意:这里POST方法出现405 状态码,原因为 Apache、IIS、Nginx等绝大多数web服务器,都不允许静态文件响应POST请求
5)防止buffer溢出
当客户端连接服务器时,服务器会启用各种缓存,用来存放连接的状态信息。
如果攻击者发送大量的连接请求,而服务器不对缓存做限制的话,内存数据就有可能溢出(空间不足)。
修改Nginx配置文件,调整各种buffer参数,可以有效降低溢出风险。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf http{
client_body_buffer_size 1K; //数据包正文缓存大小 client_header_buffer_size 1k;
//数据包头缓存包头的最小值 client_max_body_size 1k; //数据包正文缓存最大值
large_client_header_buffers 2 1k; //数据包头缓存最大值 … … } [root@proxy ~]#
/usr/local/nginx/sbin/nginx -s reload
三 数据库安全:
1)初始化安全脚本
安装完MariaDB或MySQL后,默认root没有密码,并且提供了一个任何人都可以操作的test测试数据库。有一个名称为mysql_secure_installation的脚本,该脚本可以帮助我们为root设置密码,并禁止root从远程其他主机登陆数据库,并删除测试性数据库test。
[root@proxy ~]# systemctl status mariadb
//确保服务已启动
[root@proxy ~]# mysql_secure_installation
//执行初始化安全脚本
2)修改密码成功,而且密码在数据库中是加密的,有什么问题吗?问题是你的密码被明文记录了,下面来看看明文密码:
[root@proxy ~]# cat .bash_history mysqladmin -uroot -pxxx password 'redhat'
//通过命令行修改的密码,bash会自动记录历史,历史记录中记录了明文密码
[root@proxy ~]# cat .mysql_history set password for
root@'localhost'=password('redhat'); select user,host,password from mysql.user;
flush privileges;
//通过mysql命令修改的密码,mysql也会有所有操作指令的记录,这里也记录了明文密码
删除历史记录:
[root@web33 ~]# >.bash_history [root@web33 ~]# > .mysql_history
另外数据库还有一个binlog日志里也有明文密码(5.6版本后修复了)。
怎么解决?
管理好自己的历史,不使用明文登录,选择合适的版本5.6以后的版本,
日志,行为审计(找到行为人),使用防火墙从TCP层设置ACL(禁止外网接触数据库)
3)数据备份与还原
这里省1万字
4)数据安全
在服务器上(192.168.4.5),创建一个数据库账户
[root@proxy ~]# mysql -uroot -predhat
//使用管理员,登陆数据库
MariaDB [(none)]> grant all on *.* to tom@'%' identified by '123';
//创建一个新账户tom
使用tcpdump抓包(192.168.4.5)
[root@proxy ~]# tcpdump -w log -i any src or dst port 3306
//抓取源或目标端口是3306的数据包,保存到log文件中
客户端(192.168.4.100)从远程登陆数据库服务器(192.168.4.5)
[root@client ~]# mysql -utom -p123 -h 192.168.4.5
//在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器
<https://xn--192-lp6e.168.4.xn--100mysql-8g0mv8ct8bfxsgmev8br4m3t0bzirliij2hnzaw35skdgl1wjt3jscar06t>
(192.168.4.5)
//用户名为tom,密码为123
MariaDB [(none)]> select * from mysql.user;
//登陆数据库后,任意执行一条查询语句
回到服务器查看抓取的数据包
[root@proxy ~]# tcpdump -A -r log
//使用tcpdump查看之前抓取的数据包,很多数据库的数据都明文显示出来
如何解决?
可以使用SSH远程连接服务器后,再从本地登陆数据库(避免在网络中传输数据,因为网络环境中不知道有没有抓包者)。
或者也可以使用SSL对MySQL服务器进行加密,类似与HTTP+SSL一样,MySQL也支持SSL加密(确保网络中传输的数据是被加密的)。
四 Tomcat安全性
1 隐藏版本信息、修改tomcat主配置文件(隐藏版本信息) //可以看到服务器版本号
未修改版本信息前,使用命令查看服务器的版本信息
[root@proxy ~]# curl -I http://192.168.2.100:8080/xx //访问不存在的页面文件,查看头部信息
[root@proxy ~]# curl -I http://192.168.2.100:8080 //访问存在的页面文件,查看头部信息
[root@proxy ~]# curl http://192.168.2.100:8080/xx //访问不存在的页面文件,查看错误信息
(报错信息结尾能看到软件和版本信息)
2 修改tomcat配置文件隐藏报错时显示的软件信息
[root@web33 ~]# yum -y install java-1.8.0-openjdk-devel [root@web33 ~]# cd
/usr/local/tomcat/lib/ [root@web33 lib]# jar -xf catalina.jar [root@web33 lib]#
vim org/apache/catalina/util/ServerInfo.propertie server.info=wahaha
server.number=0.0.0.0 server.built=Dec 1 2015 22:30:46 UTC [root@web33 lib]#
/usr/local/tomcat/bin/shutdown.sh [root@web33 lib]#
/usr/local/tomcat/bin/startup.sh 注意如果tomcat服务起不来,执行以下操作后再次启动: [root@web33 lib]#
mv /dev/random{,.bak} [root@web33 lib]# ln -s /dev/urandom /dev/random
3 修改配置文件隐藏f12显示的软件信息
在8080端口配置项中加入server=“wahaha”
[root@web33 lib]# vim /usr/local/tomcat/conf/server.xml 69 <Connector
port="8080" protocol="HTTP/1.1" 70 connectionTimeout="20000" 71
redirectPort="8443" server="wahaha"/>
访问测试
[root@web33 lib]# curl -I http://192.168.4.33:8080 HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8 Transfer-Encoding: chunked Date: Mon, 10
Dec 2018 08:16:15 GMT Server: wahaha //软件信息已经改变
4 降级启动
默认tomcat使用系统高级管理员账户root启动服务,启动服务尽量使用普通用户 [root@web1 ~]# useradd tomcat
[root@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
//修改tomcat目录的权限,让tomcat账户对该目录有操作权限 [root@web1 ~]# su -c
/usr/local/tomcat/bin/startup.sh tomcat
//使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务 [root@web1 ~]# chmod +x
/etc/rc.local //该文件为开机启动文件 [root@web1 ~]# vim /etc/rc.local //修改文件,添加如下内容 su -c
/usr/local/tomcat/bin/startup.sh tomcat
五 使用diff和patch工具打补丁
优化提升常见网络服务的安全性,主要完成以下任务操作
–使用diff对比文件差异
–使用diff生成补丁文件
–使用patch命令为旧版本打补丁
程序是人设计出来的,总是会有这样那样的问题与漏洞,目前的主流解决方法就是为有问题的程序打补丁,升级新版本。
在Linux系统中diff命令可以为我们生成补丁文件,然后使用patch命令为有问题的程序代码打补丁
1 编写两个版本的脚本,一个为v1版本,一个为v2版本。
[root@web33 ~]# vim /test1.sh #!/bin/bash echo "hello wrld" [root@web33 ~]#
vim /test2.sh #!/bin/bash echo "hello the world" echo "test file
2 使用diff命令查看不同版本文件的差异
[root@web33 ~]# diff /test1.sh /test2.sh 1c1,2 < echo "hello wrld" --- > echo
"hello the world" > echo "test file" [root@web33 ~]# diff -u /test1.sh
/test2.sh --- /test1.sh 2018-12-10 16:44:55.141103586 +0800 +++ /test2.sh
2018-12-10 16:45:17.686103586 +0800 @@ -1 +1,2 @@ //怎么把第一个文件变成第二个文件 #!/bin/bash
//第一行不变 -echo "hello wrld" //删除第二行 +echo "hello the world" //加入这一行 +echo "test
file" //再加入这一行
diff制作补丁文件的原理:告诉我们怎么修改第一个文件后能得到第二个文件。
这样如果第一个版本的脚本有漏洞,我们不需要将整个脚本都替换,仅需要修改有问题的一小部分代码即可,diff刚好可以满足这个需求!
像Linux内核这样的大块头,一旦发现有一个小漏洞,我们不可能把整个内核都重新下载,全部替换一遍,而仅需要更新有问题的那一小部分代码即可!
diff命令常用选项:
-u 输出统一内容的头部信息(打补丁使用),计算机知道是哪个文件需要修改
-r 递归对比目录中的所有资源(可以对比目录)
-a 所有文件视为文本(包括二进制程序)
-N 无文件视为空文件(空文件怎么变成第二个文件)
-N选项备注说明:
A目录下没有txt文件,B目录下有txt文件
diff比较两个目录时,默认会提示txt仅在B目录有(无法对比差异,修复文件)
diff比较时使用N选项,则diff会拿B下的txt与A下的空文件对比,补丁信息会明确说明如何从空文件修改后变成txt文件,打补丁即可成功!
3 使用patch命令对单文件代码打补丁
1)生成补丁文件 [root@web33 ~]# diff -u /test1.sh /test2.sh > test.patch [root@web33
~]# cat test.patch --- /test1.sh 2018-12-10 16:44:55.141103586 +0800 +++
/test2.sh 2018-12-10 16:45:17.686103586 +0800 @@ -1 +1,2 @@ -echo "hello wrld"
+echo "hello the world" +echo "test file"
2)安装软件,准备测试环境
[root@web33 ~]# yum -y install patch [root@web33 ~]# cd /mnt [root@web33 mnt]#
cat test1.sh #!/bin/bash echo "hello wrld" [root@web33 mnt]# cat test2.sh
#!/bin/bash echo "hello the world" echo "test file"
3)使用patch命令打补丁
在代码相同目录下为代码打补丁
[root@web33 mnt]# patch -p0 < test.patch //patch
-pnum(其中num为数字,指定删除补丁文件中多少层路径前缀) //如原始路径为/u/howard/src/blurfl/blurfl.c
//-p0则整个路径不变 //-p1则修改路径为u/howard/src/blurfl/blurfl.c //-p4则修改路径为blurfl/blurfl.c
//-R(reverse)反向修复,-E修复后如果文件为空,则删除该文件 [root@web33 mnt]# cat test1.sh
//打完补丁后文件内容自动同步 #!/bin/bash echo "hello the world" echo "test file" [root@web33
mnt]# patch -RE < test.patch //还原旧版本,反向修复
4 对比目录中所有文件的差异
1) 准备环境
[root@web33 ~]# echo "hello world" > source1/test.sh [root@web33 ~]# echo
"hello the world" > source2/test.sh [root@web33 ~]# echo "data" >
source2/tmp.txt [root@web33 ~]# cp /bin/find source1/ [root@web33 ~]# cp
/bin/find source2/ [root@web33 ~]# echo "11" >> source2/find [root@web33 ~]#
tree source1 source1 ├── find └── test.sh [root@web33 ~]# tree source2 source2
├── find ├── test.sh └── tmp.txt
2)使用前面创建的source1和source2目录下的代码为素材,生成补丁文件
[root@web33 ~]# diff -uraN source1 source2 > patch
3)使用patch命令为代码打补丁
[root@web33 ~]# cd source1 [root@web33 source1]# patch -p1 < ../patch patching
file find patching file test.sh patching file tmp.txt [root@web33 source1]# ls
//打补丁成功 find test.sh tmp.txt [root@web33 source1]# md5sum find
dae5fe536814ad6dc6108cafc7e2f600 find [root@web33 source1]# md5sum
/root/source2/find dae5fe536814ad6dc6108cafc7e2f600 /root/source2/find
如果打补丁出错,用如下命令还原
[root@web33 source1]# patch -R -p1 < ../patch [root@web33 source1]# ls find
test.sh
4)在其他目录打补丁
[root@web33 source1]# cd /opt [root@web33 opt]# diff -ruNa /root/source1
/root/source2 > /root/x.patch [root@web33 opt]# cd /root/source1 [root@web33
source1]# pwd /root/source1 [root@web33 source1]# patch -p3 < /root/x.patch
//删除前面几级目录(针对当前所在目录) patching file find patching file test.sh patching file
tmp.txt
注意:
[root@web33 source1]# cat /root/x.patch --- /root/source1/find 2018-12-10
17:52:08.185103586 +0800 +++ /root/source2/find 2018-12-10 17:33:12.567103586
+0800
热门工具 换一换