V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ioiioi
V2EX  ›  Linux

请分享一下针对linux的防范措施

  •  
  •   ioiioi · 2012-05-21 15:52:22 +08:00 · 4589 次点击
    这是一个创建于 4604 天前的主题,其中的信息可能已经有所发展或是发生改变。
    hi,最近我管理的一台服务器被入侵了,造成的影响是:
    1、这台服务器被黑客利用,干了非法的勾当,惊动了高层;
    2、黑客将日志全删了,找不到入侵的时间和动作;

    目前,我的压力非常大,存在相同漏洞的服务器还有50台,有没有运维的兄弟说说今后如何加固这台服务器,包括事前防范和事后追踪这两个方面来谈。

    我想到的有:

    一、事前防范
    如何防止暴力破解

    二、事后追踪
    如何保证日志不被删除
    13 条回复    1970-01-01 08:00:00 +08:00
    eric_q
        1
    eric_q  
       2012-05-21 16:03:06 +08:00
    只允许ssh-key登录禁止密码登录
    禁止root用户

    denyhost防暴破,定期分析日志

    sshd只监听内网连接
    ratazzi
        2
    ratazzi  
       2012-05-21 16:07:16 +08:00
    fail2ban 可以针对 ftp ssh 等服务暴力破解等自动生成 iptables 规则进行防范
    ioiioi
        3
    ioiioi  
    OP
       2012-05-21 16:37:43 +08:00
    嗯,fail2ban是可以防一下,另外,假如不幸被攻破,黑客利用root权限进行非法操作,我如何保证日志不被其删除?
    ioiioi
        4
    ioiioi  
    OP
       2012-05-21 16:38:38 +08:00
    @eric_q
    实际上我很怀疑是内网的用户直接用root来操作本服务器,只是他将日志删除了,我们找不到罪证。
    kfc315
        5
    kfc315  
       2012-05-21 16:44:52 +08:00
    日志定时传送到可信服务器。
    ri0day
        6
    ri0day  
       2012-05-21 17:12:18 +08:00   ❤️ 1
    1.所有服务或者程序分配一个账号来跑并设置成不能登录,就算你应用有问题通过应用入侵了也干不了事情。如果内部处理逻辑的程序只bind内网地址。有条件的话对服务做chroot
    2.root不能远程登录。用户使用证书登录。
    3.重要文件备份
    4.iptables只开启要用的端口
    5.监控日志。发现特定条件触发报警。
    ioiioi
        7
    ioiioi  
    OP
       2012-05-21 17:22:54 +08:00
    hmm,这些服务器都是部署在客户处,可信服务器也只能部署在互联网上,如何保证日志的转发是安全的,不会被截获?
    ri0day
        8
    ri0day  
       2012-05-21 17:32:44 +08:00
    你确定他删除了日志 就找不到证据么。。看看每个用户目录下的 .bash_history,以及 btmp ,utmp 这些文件。
    dndx
        9
    dndx  
       2012-05-21 17:56:34 +08:00
    惊动了高层这句话把我震到了,敢问LZ是特殊部门?
    9hills
        10
    9hills  
       2012-05-21 18:35:26 +08:00
    @ioiioi 那就是管理问题了。
    首先有很多人有root权限么?root权限应该只给极少数的人。
    其次日志要中心化存储,他要删只能删本地日志。日志是系统核心,一定要妥善管理。
    把root密码设为随机数,统一用sudo,谁在那时提权一看便知。

    最后,该报警就报警。
    ioiioi
        11
    ioiioi  
    OP
       2012-05-21 18:59:14 +08:00
    @dndx
    理解有误,理解有误,高层指的是单位的领导

    @9hills
    嗯,的确,之前的管理不是很规范,我总结了一下:

    1、维护人员分配非特权账号,并且通过ssh-key登录;
    2、日志要通过加密隧道,上传到中心服务器;譬如syslog-ng或rsyslog均可
    3、监控日志,发现特定条件触发报警,不过这部分我心里还没谱,不知道通过何种解决方案实现。
    4、有条件的对应用进行chroot;
    5、iptables开放特定端口

    另外,不知道SElinux和AppArmor不知道效果如何?
    cyg07
        12
    cyg07  
       2012-05-23 14:39:44 +08:00
    你的LINUX提供了什么服务?
    WEB还是其它的,是不是运行在ROOT权限下?如页面的执行权限。
    更多的原因是服务运行在一个不应该运行的权限下导致的。
    clino
        13
    clino  
       2012-05-23 15:02:55 +08:00
    我刚在所有服务器上装了 denyhosts

    另外,这个是不是楼主po的? http://www.sxsoft.com/index.php/proj/content/show/57428 linux下通过http post上传日志文件
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2636 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:41 · PVG 19:41 · LAX 03:41 · JFK 06:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.